<span class=“js_title_inner“>CISA:四款企业软件中的漏洞已遭利用</span>
聚焦源代码安全网罗国内外最新资讯编译代码卫士美国网络安全与基础设施安全局CISA警告称Versa和Zimbra开发的企业软件、Vite前端工具框架以及Prettier代码格式化工具中的四个漏洞正遭受活跃攻击。这些安全问题已被列入CISA的已知可利用漏洞KEV目录表明该机构已掌握黑客在现实攻击中利用这些漏洞的证据。其中一个漏洞为CVE-2025-31125是去年3月披露的一个高危严重性访问控制不当漏洞。当服务器被明确暴露于网络时攻击者可利用该漏洞窃取未授权访问的文件。该漏洞仅影响已暴露的开发环境实例并已在6.2.4、6.1.3、6.0.13、5.4.16及4.5.11版本中修复。另一漏洞是CVE-2025-34026于2025年5月披露是位于Versa Concerto SD-WAN编排平台中严重的身份验证绕过漏洞。该漏洞由Traefik反向代理配置不当引起可导致攻击者访问包括内部Actuator端点在内的管理接口从而泄露堆转储和跟踪日志数据。受影响的产品包括 Concerto 12.1.2 至 12.2.0 版本其它版本也可能受到影响。网络安全公司 ProjectDiscovery 的研究人员于 2025 年 2 月 13 日向供应商报告了这些问题Versa Concerto 向 BleepingComputer 确认已在 2025 年 3 月 7 日修复。第三个已遭利用漏洞是 CVE-2025-54313它是一个由于供应链受攻击导致的高危漏洞影响了用于解决代码检查工具 ESLint 与 Prettier 代码格式化工具之间冲突的 eslint-config-prettier 包。去年 7 月黑客劫持了多个流行的 JavaScript 库其中包括 eslint-config-prettier并在 npm 上发布了嵌入恶意代码的版本。安装受影响的软件包版本8.10.1、9.1.1、10.1.6和10.1.7会运行恶意的install.js脚本该脚本将在Windows系统上加载node-gyp.dll恶意载荷以窃取npm身份验证令牌。第四个已遭利用的漏洞是CVE-2025-68645于2025年12月22日披露是位于Zimbra Collaboration Suite 10.0和10.1版本中Webmail Classic UI的本地文件包含漏洞。该漏洞源于RestFilter servlet对用户提供参数的处理不当。未经身份验证的攻击者可以利用/h/rest端点包含WebRoot目录中的任意文件。CISA现要求所有受BOD 22-01指令约束的联邦机构必须在2026年2月12日前应用可用的安全更新或供应商建议的缓解措施或停止使用相关产品。该机构尚未分享任何关于漏洞利用活动的具体细节且这些漏洞在勒索软件攻击中的利用状态被标记为“未知”。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读CISA KEV 清单共收录1048个已遭利用漏洞2025年增长20%CISA提醒注意 WHILL Model C2 电动轮椅中的严重漏洞CISA 将已遭利用的 Digiever NVR RCE漏洞纳入KEVReact2Shell30家机构已受陷77k IP地址易受影响被列入 CISA KEVCISA 将 OpenPLC ScadaBR 纳入必修清单原文链接https://www.bleepingcomputer.com/news/security/cisa-confirms-active-exploitation-of-four-enterprise-software-bugs/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~

相关新闻

2026 AI营销榜单发布:原圈科技夺魁,揭示ROI提升300%的秘密

2026 AI营销榜单发布:原圈科技夺魁,揭示ROI提升300%的秘密

本文深度剖析2026年AI营销格局,发布权威五强企业榜单。在众多厂商中,原圈科技凭借其覆盖全周期的AI营销解决方案和超过十年的行业深耕,在技术创新、市场渗透及客户投资回报率等多个维度下表现突出,被普遍视为酒旅、汽车、零售等重…

2026/7/4 22:10:55 阅读更多 →
优化SEO效果的长尾关键词使用方法及解析

优化SEO效果的长尾关键词使用方法及解析

本文将围绕长尾关键词在SEO优化中的重要角色展开。首先,介绍长尾关键词的基本概念,并指出其在搜索引擎排名和流量提升中的独特优势。接着,提供选择和应用这些关键词的具体策略,确保内容与用户需求相匹配。同时,还将探讨…

2026/7/4 22:20:35 阅读更多 →
基于ADRC的电机控制仿真研究:直流电机与永磁同步电机的多重仿真分析

基于ADRC的电机控制仿真研究:直流电机与永磁同步电机的多重仿真分析

基于ADRC的电机控制仿真源文件 模型主要包含: 1.直流电机ADRC仿真 2.永磁同步电机ADRC仿真-速度环 3.永磁同步电机ADRC仿真-电流环 永磁同步电机ADRC仿真-速度环和速度环电机控制领域这两年ADRC的热度肉眼可见地往上窜,这玩意儿抗扰动的特性确实香。今天…

2026/7/3 15:34:34 阅读更多 →

最新新闻

AMD ROCm 7.1.1正式支持Windows:本地AI电影制作全栈落地

AMD ROCm 7.1.1正式支持Windows:本地AI电影制作全栈落地

1. 项目概述:当本地AI电影制作从“概念图”变成“开机键”2025年11月26日,我盯着终端里一行绿色的True输出,手有点抖。不是因为咖啡喝多了,而是因为torch.cuda.is_available()终于没再报错——它真真切切地返回了True,…

2026/7/4 23:15:05 阅读更多 →
基于OpenCV与深度学习的车牌识别系统开发实践

基于OpenCV与深度学习的车牌识别系统开发实践

1. 项目概述这个车牌识别系统是我在指导学弟学妹毕业设计时开发的一个典型案例。作为一个结合了传统图像处理和深度学习技术的实用项目,它完美展现了如何将学术知识与工程实践相结合。系统采用PythonOpenCV作为基础框架,融入机器学习算法,实现…

2026/7/4 23:13:04 阅读更多 →
突破60帧限制:WaveTools鸣潮工具箱的智能游戏优化革命

突破60帧限制:WaveTools鸣潮工具箱的智能游戏优化革命

突破60帧限制:WaveTools鸣潮工具箱的智能游戏优化革命 【免费下载链接】WaveTools 🧰鸣潮工具箱 项目地址: https://gitcode.com/gh_mirrors/wa/WaveTools 当你为《鸣潮》的帧率限制感到困扰时,当你发现高性能硬件在游戏中无法完全发挥…

2026/7/4 23:13:04 阅读更多 →
C语言实现置换加密算法:从原理到代码的完整实践

C语言实现置换加密算法:从原理到代码的完整实践

1. 项目概述:从古典密码到现代编程实践最近在整理一些基础的安全编程资料,发现很多朋友对古典密码学挺感兴趣,尤其是想用C语言亲手实现一下。这让我想起了当年在学校里第一次用C写凯撒密码和维吉尼亚密码的经历,那种看着明文经过自…

2026/7/4 23:11:03 阅读更多 →
终极窗口自由:3分钟掌握WindowResizer的完整解决方案

终极窗口自由:3分钟掌握WindowResizer的完整解决方案

终极窗口自由:3分钟掌握WindowResizer的完整解决方案 【免费下载链接】WindowResizer 一个可以强制调整应用程序窗口大小的工具 项目地址: https://gitcode.com/gh_mirrors/wi/WindowResizer 还在为那些顽固的Windows窗口而烦恼吗?某些程序窗口无…

2026/7/4 23:11:03 阅读更多 →
AI 音乐生成评审:旋律之外,还要检查结构和版权风险

AI 音乐生成评审:旋律之外,还要检查结构和版权风险

AI 音乐生成评审:旋律之外,还要检查结构和版权风险 一、好听不是唯一验收标准 AI 音乐生成工具很容易让人被第一段旋律打动。但真正进入创作流程时,只说“好听”远远不够。作品需要结构完整、段落清晰、风格一致、可编辑,还要避…

2026/7/4 23:11:03 阅读更多 →

日新闻

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 发布:关键安全修复版本,多项问题得到解决

Memcached 1.6.43 正式发布,这是一个关键的安全修复版本,修复了多个方面的问题,还对部分功能进行了优化。 安全修复亮点 此次发布在安全修复上表现突出。binprot 避免了项目引用计数溢出,mcmc 因安全问题提升了上游版本号&#xf…

2026/7/4 0:04:29 阅读更多 →
终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案

终极指南:使用HMCL启动器跨平台畅玩Minecraft的完整解决方案 【免费下载链接】HMCL A Minecraft Launcher which is multi-functional, cross-platform and popular 项目地址: https://gitcode.com/gh_mirrors/hm/HMCL HMCL(Hello Minecraft! Lau…

2026/7/4 0:06:29 阅读更多 →
KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

KMX63与PIC18F66K40在嵌入式HMI中的硬件协同与低功耗设计

1. KMX63与PIC18F66K40的硬件协同架构解析KMX63作为一款三轴加速度计和磁力计组合传感器,与PIC18F66K40微控制器的搭配堪称嵌入式HMI开发的黄金组合。这套硬件组合的核心优势在于KMX63提供的高精度运动感知能力与PIC18F66K40强大的信号处理能力形成了完美互补。KMX6…

2026/7/4 0:06:29 阅读更多 →

周新闻

月新闻