阜阳讯拓网站建设,2016做砸了的小网站,个人公司如何注册,做机械设计的网站美国网络安全和基础设施安全局#xff08;CISA#xff09;周二将影响SolarWinds Web Help Desk#xff08;WHD#xff09;的一个严重安全漏洞添加到其已知被利用漏洞#xff08;KEV#xff09;目录中#xff0c;标记其正在攻击中被积极利用。 该漏洞追踪编号为CVE-2025-…美国网络安全和基础设施安全局CISA周二将影响SolarWinds Web Help DeskWHD的一个严重安全漏洞添加到其已知被利用漏洞KEV目录中标记其正在攻击中被积极利用。该漏洞追踪编号为CVE-2025-40551CVSS评分9.8是一个不可信数据反序列化漏洞可能为远程代码执行铺平道路。CISA表示SolarWinds Web Help Desk包含不可信数据反序列化漏洞可能导致远程代码执行这将允许攻击者在主机上运行命令。该漏洞可在无需身份验证的情况下被利用。SolarWinds上周发布了该漏洞的修复程序同时还修复了CVE-2025-40536CVSS评分8.1、CVE-2025-40537CVSS评分7.5、CVE-2025-40552CVSS评分9.8、CVE-2025-40553CVSS评分9.8和CVE-2025-40554CVSS评分9.8在WHD版本2026.1中。目前尚无关于该漏洞在攻击中如何被武器化、可能的目标对象或此类攻击规模的公开报告。这再次说明威胁行为者正在迅速利用新披露的漏洞。同时被添加到KEV目录的还有三个其他漏洞CVE-2019-19006CVSS评分9.8- Sangoma FreePBX中的身份验证不当漏洞可能允许未授权用户绕过密码验证并访问FreePBX管理员提供的服务CVE-2025-64328CVSS评分8.6- Sangoma FreePBX中的操作系统命令注入漏洞可能允许经过身份验证的已知用户通过testconnection - check_ssh_connect()函数进行认证后命令注入并可能以asterisk用户身份获得对系统的远程访问CVE-2021-39935CVSS评分7.5/6.8- GitLab社区版和企业版中的服务器端请求伪造SSRF漏洞可能允许未授权的外部用户通过CI Lint API执行服务器端请求值得注意的是GreyNoise在2025年3月强调了CVE-2021-39935的利用作为多个平台SSRF漏洞滥用协调激增的一部分包括DotNetNuke、Zimbra Collaboration Suite、Broadcom VMware vCenter、ColumbiaSoft DocumentLocator、BerriAI LiteLLM和Ivanti Connect Secure。根据约束性操作指令BOD22-01降低已知被利用漏洞的重大风险联邦文职行政部门FCEB机构需要在2026年2月6日前修复CVE-2025-40551在2026年2月24日前修复其余漏洞。QAQ1CVE-2025-40551漏洞有多严重会造成什么影响ACVE-2025-40551是一个CVSS评分为9.8的严重漏洞属于不可信数据反序列化漏洞。它可能导致远程代码执行允许攻击者在主机上运行命令最关键的是该漏洞可在无需身份验证的情况下被利用。Q2SolarWinds已经发布修复补丁了吗A是的SolarWinds上周已经发布了CVE-2025-40551的修复程序同时还修复了其他五个漏洞所有修复都包含在WHD版本2026.1中。用户应尽快更新到最新版本。Q3联邦机构需要在什么时候完成漏洞修复A根据约束性操作指令22-01联邦文职行政部门机构需要在2026年2月6日前修复CVE-2025-40551在2026年2月24日前修复其余被添加到KEV目录的漏洞。