【漏洞预警】CISA新增9个已知遭骇客利用之漏洞至KEV目录(2025/06/02-2025/06/08)

转发 台湾电脑网路危机处理暨协调中心 TWCERTCC-200-202506-00000003

1.【CVE-2021-32030】ASUS Routers Improper Authentication Vulnerability (CVSS v3.1: 9.8)
【是否遭勒索软体利用:未知】 ASUS Lyra Mini和ASUS GT-AC2900装置存在不当验证漏洞，攻击者可未经授权存取管理介面。
【影响平台】 ASUS GT-AC2900 3.0.04.386.42643之前的版本 ASUS Lyra Mini 3.0.0.4_384_46630之前的版本

2.【CVE-2025-3935】ConnectWise ScreenConnect Improper Authentication Vulnerability (CVSS v3.1: 7.2)
【是否遭勒索软体利用:未知】 ConnectWise ScreenConnect存在不当验证漏洞。此漏洞可能允许ViewState程式码注入攻击，若机器金钥遭到泄漏，攻击者可能借此远端执行任意程式码。
【影响平台】请参考官方所列的影响版本
https://www.connectwise.com/company/trust/security-bulletins/screenconnect-security-patch-2025.4

3.【CVE-2025-35939】Craft CMS External Control of Assumed-Immutable Web Parameter Vulnerability (CVSS v3.1: 5.3)
【是否遭勒索软体利用:未知】 Craft CMS存在对可变网页参数未充分验证的漏洞。攻击者可利用此漏洞，将任意内容(如PHP程式码)写入伺服器指定本机档案路径，可能导致远端程式码执行。
【影响平台】 Craft CMS 4.15.3(不含)之前的版本 Craft CMS 5.00至5.7.5(不含)的版本

4.【CVE-2024-56145】Craft CMS Code Injection Vulnerability (CVSS v3.1: 9.8)
【是否遭勒索软体利用:未知】 Craft CMS存在程式码注入漏洞。若受影响版本的使用者在其php.ini设定中启用了register_argc_argv，则容易受到远端程式码执行的攻击。
【影响平台】请参考官方所列的影响版本
https://github.com/craftcms/cms/security/advisories/GHSA-2p6p-9rc9-62j9

5.【CVE-2023-39780】ASUS RT-AX55 Routers OS Command Injection Vulnerability (CVSS v3.1: 8.8)
【是否遭勒索软体利用:未知】 ASUS RT-AX55装置存在作业系统指令注入漏洞，远端且已验证的攻击者可能借此执行任意指令。
【影响平台】 ASUS RT-AX55 3.0.0.4386.51598

6.【CVE-2025-21479】Qualcomm Multiple Chipsets Incorrect Authorization Vulnerability (CVSS v3.1: 8.6)
【是否遭勒索软体利用:未知】 多款Qualcomm晶片组存在不当授权漏洞。此漏洞可在执行特定指令顺序时，在GPU micronode执行未经授权的指令，导致记忆体损毁。
【影响平台】请参考官方所列的影响版本
https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html

7.【CVE-2025-21480】Qualcomm Multiple Chipsets Incorrect Authorization Vulnerability (CVSS v3.1: 8.6)
【是否遭勒索软体利用:未知】 多款Qualcomm晶片组存在不当授权漏洞。此漏洞可在执行特定指令顺序时，在GPU micronode执行未经授权的指令，导致记忆体损毁。
【影响平台】请参考官方所列的影响版本
https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html

8.【CVE-2025-27038】Qualcomm Multiple Chipsets Use-After-Free Vulnerability (CVSS v3.1: 7.5)
【是否遭勒索软体利用:未知】 多款Qualcomm晶片组存在记忆体释放后使用漏洞。此漏洞可在Chrome浏览器使用Adreno GPU驱动程式渲染图形时造成记忆体损毁。
【影响平台】请参考官方所列的影响版本
https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html

9.【CVE-2025-5419】Google Chromium V8 Out-of-Bounds Read and Write Vulnerability (CVSS v3.1: 8.8)
【是否遭勒索软体利用:未知】 Google Chromium V8存在越界读写漏洞，远端攻击者可透过特制的HTML页面，利用该漏洞进行堆积记忆体损毁攻击。此漏洞可能影响多款使用Chromium的网页浏览器，包括但不限于Google Chrome、Microsoft Edge和Opera。
【影响平台】请参考官方所列的影响版本
https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop.html

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

烦请贵单位协助公告或转发

详细内容于内容说明栏之影响平台

1.【CVE-2021-32030】 受影响的产品可能已达到生命周期终止(EoL)或服务终止(EoS)。建议使用者停止使用相关产品。

2.【CVE-2025-3935】 官方已针对漏洞释出修复更新，请更新至相关版本
https://www.connectwise.com/company/trust/security-bulletins/screenconnect-security-patch-2025.4

3.【CVE-2025-35939】 官方已针对漏洞释出修复更新，请更新至相关版本
https://github.com/craftcms/cms/releases/tag/4.15.3
https://github.com/craftcms/cms/releases/tag/5.7.5

4.【CVE-2024-56145】 官方已针对漏洞释出修复更新，请更新至相关版本
https://github.com/craftcms/cms/security/advisories/GHSA-2p6p-9rc9-62j9

5.【CVE-2023-39780】 对应产品升级至以下版本(或更高) ASUS RT-AX55 3.0.0.4.386_53119

6.【CVE-2025-21479】 官方已针对漏洞释出修复更新，请更新至相关版本
https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html

7.【CVE-2025-21480】 官方已针对漏洞释出修复更新，请更新至相关版本
https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html

8.【CVE-2025-27038】 官方已针对漏洞释出修复更新，请更新至相关版本
https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html

9.【CVE-2025-5419】 官方已针对漏洞释出修复更新，请更新至相关版本
https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop.html