美国网络安全和基础设施安全局 （CISA） 在其已知利用漏洞 （KEV） 目录中添加了以下漏洞：

• CVE-2024-34102Adobe Commerce 和 Magento 开源 XML 外部实体引用 （XXE） 的不当限制漏洞
• CVE-2024-28995SolarWinds Serv-U 路径遍历漏洞
• CVE-2022-22948VMware vCenter Server 默认文件权限不正确漏洞

以下是添加到 KEV 目录中的缺陷的描述：

CVE-2024-34102（CVSS 评分为 9.8）– 该缺陷是 XML 外部实体引用 （’XXE’） 的不当限制漏洞，可导致任意代码执行。攻击者可以通过发送引用外部实体的构建的 XML 文档来利用此问题。专家指出，利用这个问题不需要用户交互。该漏洞会影响 Adobe Commerce 版本 2.4.7、2.4.6-p5、2.4.5-p7、2.4.4-p8 及更早版本。Adobe警告说，它知道CVE-2024-34102已在针对Adobe Commerce商家的有限攻击中被广泛利用。

CVE-2024-28995（CVSS 评分为 7.5）– 该缺陷是 SolarWinds Serv-U Path 中的一个高严重性目录横向问题，允许攻击者读取主机上的敏感文件。该漏洞由 Hussein Daher 发现并报告。威胁情报公司 GreyNoise 的专家报告称，威胁行为者正在积极利用公开可用的概念验证 （PoC） 漏洞利用代码。

“SolarWinds Serv-U 容易受到目录横向漏洞的影响，该漏洞允许访问读取主机上的敏感文件。”阅读公告。

该漏洞于 6 月 6 日披露，它会影响 Serv-U 15.4.2 HF 1 和以前的版本。

在 Rapid7 发布有关该漏洞和 PoC 漏洞利用代码的技术细节后，GreyNoise 研究人员开始调查该问题。GitHub 用户 bigb0x 还分享了一个概念验证 （PoC） 和一个针对 SolarWinds Serv-U CVE-2024-28995 目录遍历漏洞的批量扫描程序。

“该漏洞非常简单，可以通过向根（）请求访问，并带有参数并设置为所需的文件。这个想法是文件夹，他们试图验证没有路径遍历段 （）。 是文件名。报道灰色噪音。GET/InternalDirInternalFileInternalDir../InternalFile

GreyNoise的研究人员在周末开始观察针对此问题的利用尝试。

一些失败的尝试依赖于公开可用的 PoC 漏洞的副本，而另一些尝试则与对攻击有更好了解的攻击者相关联。

“我们看到人们正在积极地尝试这个漏洞——甚至可能是一个拿着键盘的人。这个漏洞和RCE之间的路线很棘手，所以我们很好奇人们会尝试什么！GreyNoise表示。

CVE-2022-22948（CVSS 评分为 6.5）– vCenter Server 中的信息泄露漏洞，由文件权限不当导致。对 vCenter Server 具有非管理访问权限的恶意执行者可利用此问题获取敏感信息的访问权限。

根据约束性操作指令 （BOD） 22-01：降低已知利用漏洞的重大风险，FCEB 机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。

专家还建议私营组织审查目录并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 8 月 7 日之前修复此漏洞。