游乐游手机版
首页/科技数码/文章详情

CISA 将 Citrix 和 Git 漏洞列入已知被利用漏洞目录

时间:2025-12-15 20:07
CISA已指示所有联邦民事行政部门(FCEB)机构最迟于2025年9月15日前修复这些漏洞。该机构强调,利用这些漏洞可能使攻击者获得提升的权限、执行代码或劫持Git工作流程。 美国网络安全和基础设施

CISA已指示所有联邦民事行政部门(FCEB)机构最迟于2025年9月15日前修复这些漏洞。该机构强调,利用这些漏洞可能使攻击者获得提升的权限、执行代码或劫持Git工作流程。

美国网络安全和基础设施安全局(CISA)在其"已知被利用漏洞"(KEV)目录中新增了三项漏洞,警告称恶意攻击者正在野外积极利用这些漏洞。这些漏洞包括两个影响Citrix Session Recording的漏洞和一个Git中的严重问题。

联邦机构面临重大风险

CISA表示:"这类漏洞是恶意网络攻击者的常见攻击媒介,对联邦企业构成重大风险。"

第一个Citrix漏洞编号为CVE-2024-8068,是Citrix Session Recording中的一个权限提升漏洞。该问题源于权限管理不当,允许攻击者将访问权限提升至NetworkService账户。但攻击者必须已经是目标会话记录服务器所在Windows Active Directory域中的认证用户。该漏洞CVSS v4.0评分为5.1,属于中等严重程度,但在Citrix软件与身份系统紧密集成的企业环境中仍具危险性。

Citrix漏洞可导致远程代码执行

第二个Citrix漏洞CVE-2024-8069由Citrix Session Recording中不受信任数据的反序列化引起。该漏洞可使攻击者在NetworkService账户权限下执行有限的远程代码。要利用此漏洞,攻击者必须与会话记录服务器处于同一内网的认证用户。与CVE-2024-8068类似,其CVSS v4.0评分为5.1,但由于能实现代码执行而备受关注。Citrix已发布补丁,Cloud Software Group强烈建议受影响客户将当前发布版(CR)和长期服务发布版(LTSR)分支都更新至最新修复版本。

Git漏洞引发供应链攻击担忧

第三个漏洞影响全球广泛使用的开发者工具Git,编号为CVE-2025-48384。该漏洞源于Git处理配置值中回车(CR)和换行(LF)字符的方式。在某些情况下,带有尾随回车的Git子模块路径可能被错误解析,导致子模块被检出到错误位置。如果存在指向子模块hooks目录的符号链接,且子模块包含恶意的post-checkout钩子,脚本可能在检出后无意中执行。该漏洞CVSS v4.0评分高达8.1,远高于Citrix漏洞,因为它为供应链式攻击打开了大门。Git已在2.43.7、2.44.4、2.45.4、2.46.4、2.47.3、2.48.2、2.49.1和2.50.1版本中修复此问题。

联邦机构限期修复

CISA已指示所有联邦民事行政部门(FCEB)机构最迟于2025年9月15日前修复这些漏洞。该机构强调,利用这些漏洞可能使攻击者获得提升的权限、执行代码或劫持Git工作流程。

来源:https://www.51cto.com/article/823836.html
上一篇从发现到恢复,看瑞数信息如何构建“抗毁重构”实战路径 下一篇苹果iOS 26升级Apple Music歌词翻译与发音功能
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
LiblibAI云端WebUI降低AI绘画部署门槛
科技数码 · 2026-07-02

LiblibAI云端WebUI降低AI绘画部署门槛

LiblibAI在线WebUI的核心优势在于——只需通过浏览器即可流畅运行Stable Diffusion,无需自行搭建本地环境。云端直接处理运算,模型即选即试,大幅降低了AI绘画的创作门槛。对于轻量创作和模型快速测试来说,体验相当顺畅,但用户仍需重视数据隐私保护和版权合规等问题。 过去使用Stab

微软因用户不安叫停Edge浏览器AI历史搜索功能
科技数码 · 2026-07-02

微软因用户不安叫停Edge浏览器AI历史搜索功能

微软紧急暂停Edge浏览器AI历史搜索功能,该功能因被用户吐槽“令人不安”而暂缓部署。尽管微软强调所有AI处理在设备端完成且数据不上传云端,但用户仍不信任。此举与WindowsK2计划减少功能堆砌的理念一致。

红魔游戏平板5 Pro发布 4999元起售将登陆全球市场
科技数码 · 2026-07-02

红魔游戏平板5 Pro发布 4999元起售将登陆全球市场

【CNMO科技消息】近日,红魔游戏平板5 Pro正式发布。这款平板从定位上就明确瞄准“极致游戏”体验,外观方面带来了一个重磅亮点——首次引入RGB水冷散热系统,背部那条可视化的水路通道,配合纯平透明背板设计,核心配置信息一览无余,科技感十足。 图源网络 屏幕方面同样表现突出。一块9 06英寸OLED

杭州全国首所机器人学校首批30台机器人入学
科技数码 · 2026-07-02

杭州全国首所机器人学校首批30台机器人入学

30台机器人整齐列队,有的刚从生产线卸下,机械零件还带着崭新的“工业气息”;有的已搭载运动控制模块,能稳健地小跑、跳跃几下。它们来自不同制造工厂,外形与功能各有千秋,但此刻都拥有了同一个身份——杭州机器人学校的第一批入学新生。 6月30日,杭州经信正式发布:由浙江大学机器人研究院、浙江省质量科学研究

美国计划发射航天器托举天文卫星
科技数码 · 2026-07-02

美国计划发射航天器托举天文卫星

就在最近,NASA公布了一项非常果断的干预计划——他们定于6月30日实施一次“卫星维修任务”,派遣一台名为“连接”号的机器人服务卫星,为一颗超期服役的天文卫星延长运行寿命。这颗卫星是“尼尔·格雷尔斯·斯威夫特天文台”,其轨道高度正在不断衰减,如果不进行干预,今年年底前很可能会坠入地球大气层并烧毁。