美國網路安全暨基礎設施安全管理署(CISA)本周公告將兩個漏洞,包括微軟Office一個2009年的老漏洞,以及HPE風險值10.0的漏洞,列入已發生攻擊或濫用活動名單,呼籲聯邦政府機關儘速修補。
這兩個剛被CISA加入已知遭利用漏洞目錄(Known Exploited Vulnerability,KEV)的漏洞,分別是CVE-2009-0556以及CVE-2025-37164。
CVE-2009-0556是微軟2009年就修補的PowerPoint程式碼注入漏洞。攻擊者可傳送變造過的PowerPoint檔案,經由使用者開啟觸發。成功濫用本漏洞可使攻擊者完全控制受害電腦,可安裝程式、讀取、變更或刪除資料,或新增高權限的使用者帳號。
CVE-2025-37164存在於HPE基礎架構管理軟體OneView,可讓遠端未經驗證的攻擊者濫用,發動遠端程式碼執行,風險值高達10.0。HPE去年12月已釋出可套用於v5.20至v10.20的安全熱修補程式,並建議用戶升級至已修補的v11.00或更新版本。
HPE當時未說明本漏洞是否有濫用的情形。該公司也尚未回應The Register,攻擊是否發生在客戶端、有多少組織受影響,或是造成什麼後果。
CISA同時發布安全公告BOD 22-01,要求聯邦政府機構儘速完成環境盤點及安裝修補程式。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
Advertisement