当前位置: 首页
科技数码
CISA 将 Citrix 和 Git 漏洞列入已知被利用漏洞目录

CISA 将 Citrix 和 Git 漏洞列入已知被利用漏洞目录

热心网友 时间:2025-12-15
转载

CISA已指示所有联邦民事行政部门(FCEB)机构最迟于2025年9月15日前修复这些漏洞。该机构强调,利用这些漏洞可能使攻击者获得提升的权限、执行代码或劫持Git工作流程。 美国网络安全和基础设施

CISA已指示所有联邦民事行政部门(FCEB)机构最迟于2025年9月15日前修复这些漏洞。该机构强调,利用这些漏洞可能使攻击者获得提升的权限、执行代码或劫持Git工作流程。

美国网络安全和基础设施安全局(CISA)在其"已知被利用漏洞"(KEV)目录中新增了三项漏洞,警告称恶意攻击者正在野外积极利用这些漏洞。这些漏洞包括两个影响Citrix Session Recording的漏洞和一个Git中的严重问题。

联邦机构面临重大风险

CISA表示:"这类漏洞是恶意网络攻击者的常见攻击媒介,对联邦企业构成重大风险。"

第一个Citrix漏洞编号为CVE-2024-8068,是Citrix Session Recording中的一个权限提升漏洞。该问题源于权限管理不当,允许攻击者将访问权限提升至NetworkService账户。但攻击者必须已经是目标会话记录服务器所在Windows Active Directory域中的认证用户。该漏洞CVSS v4.0评分为5.1,属于中等严重程度,但在Citrix软件与身份系统紧密集成的企业环境中仍具危险性。

Citrix漏洞可导致远程代码执行

第二个Citrix漏洞CVE-2024-8069由Citrix Session Recording中不受信任数据的反序列化引起。该漏洞可使攻击者在NetworkService账户权限下执行有限的远程代码。要利用此漏洞,攻击者必须与会话记录服务器处于同一内网的认证用户。与CVE-2024-8068类似,其CVSS v4.0评分为5.1,但由于能实现代码执行而备受关注。Citrix已发布补丁,Cloud Software Group强烈建议受影响客户将当前发布版(CR)和长期服务发布版(LTSR)分支都更新至最新修复版本。

Git漏洞引发供应链攻击担忧

第三个漏洞影响全球广泛使用的开发者工具Git,编号为CVE-2025-48384。该漏洞源于Git处理配置值中回车(CR)和换行(LF)字符的方式。在某些情况下,带有尾随回车的Git子模块路径可能被错误解析,导致子模块被检出到错误位置。如果存在指向子模块hooks目录的符号链接,且子模块包含恶意的post-checkout钩子,脚本可能在检出后无意中执行。该漏洞CVSS v4.0评分高达8.1,远高于Citrix漏洞,因为它为供应链式攻击打开了大门。Git已在2.43.7、2.44.4、2.45.4、2.46.4、2.47.3、2.48.2、2.49.1和2.50.1版本中修复此问题。

联邦机构限期修复

CISA已指示所有联邦民事行政部门(FCEB)机构最迟于2025年9月15日前修复这些漏洞。该机构强调,利用这些漏洞可能使攻击者获得提升的权限、执行代码或劫持Git工作流程。

来源:https://www.51cto.com/article/823836.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
Meta扎克伯格坦承AI智能体发展不及预期,超级智能仍需时间

Meta扎克伯格坦承AI智能体发展不及预期,超级智能仍需时间

IT之家 7 月 3 日消息,据《商业内幕》今天报道,Meta 首席执行官马克 · 扎克伯格在上周四的一场内部全员会中表示,公司仍在努力实现“超级智能”(Superintelligence),但目前还需要投入更多时间和精力。据两位参会人士透露,扎克伯格表示,Meta 正在向人工智能领域投入大量资源,

时间:2026-07-13 14:42
Agentic AI重构影像创作,影石Insta360联

Agentic AI重构影像创作,影石Insta360联

全民影像记录时代到来,全景相机、运动相机、航拍无人机走进大众生活,每个人都能随手拍摄海量视频素材,但剪辑繁琐、高光筛选耗时、全景素材适配难等行业痛点始终未能彻底解决。市面上主流剪辑工具大多只聚焦后期编辑,平台适配流程复杂、模板同质化严重,针对360°全景画面的智能制作能力更是长期空白。与此同时,全球

时间:2026-07-13 14:40
微软Teams加强第三方AI智能体权限管理,需会议组织者确认后放行

微软Teams加强第三方AI智能体权限管理,需会议组织者确认后放行

IT之家 7 月 6 日消息,微软发文,宣布为 Microsoft Teams 会议应用推出全新的 AI 机器人管理策略,当第三方 AI 机器人尝试加入会议时,必须先获得会议组织者批准后才能进入。据介绍,目前微软已在 Teams 管理中心新增“Manage external bots and the

时间:2026-07-13 14:36
小猿AI接入多模态AI能力,推动智能学习体验升级

小猿AI接入多模态AI能力,推动智能学习体验升级

小猿AI升级为全学科AI学习助手,强化多模态能力,支持图像识别、文本理解与题目解析;拍照后可智能分析题型、匹配知识点并推荐练习;语文英语模块新增语句纠错、单词解释及作文辅助功能。小猿AI近期在产品能力上迎来重要升级,正式强化多模态AI能力,使其在图像识别、文本理解与题目解析方面表现更加全面。据产品体

时间:2026-07-13 14:19
阶跃AI推动多模态AI发展:语音与内容生成能力持续增强

阶跃AI推动多模态AI发展:语音与内容生成能力持续增强

阶跃AI正加速构建多模态AI能力,重点布局语音识别与生成、跨模态内容理解;强化语音交互,支持自然语音输入输出;提升图文理解能力,拓展至营销文案、知识整理等智能写作场景;向全面智能助手演进。阶跃AI正在加速推进多模态AI能力建设,重点布局语音识别、语音生成以及跨模态内容理解能力。在最新技术方向中,阶跃

时间:2026-07-13 14:16
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜