【漏洞预警】CISA新增4个已知遭骇客利用之漏洞至KEV目录(2025/06/09-2025/06/15)

转发 台湾电脑网路危机处理暨协调中心 TWCERTCC-200-202506-00000011

1.【CVE-2024-42009】RoundCube Webmail Cross-Site Scripting Vulnerability (CVSS v3.1: 9.3)
【是否遭勒索软体利用:未知】 RoundCube Webmail存在跨网站指令码漏洞，可能允许远端攻击者利用program/actions/mail/show.php中message_body()函式的资料反清洗问题，透过特制的电子邮件窃取及传送受害者的电子邮件。
【影响平台】请参考官方所列的影响版本
https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8

2.【CVE-2025-32433】Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function Vulnerability (CVSS v3.1: 10.0)
【是否遭勒索软体利用:未知】 Erlang/OTP SSH伺服器存在关键功能验证缺失漏洞。该漏洞可能允许攻击者在未提供有效凭证的情况下执行任意指令，进而导致未经验证的远端程式码执行。恶意使用者可利用SSH通讯协定讯息处理方式的漏洞，未经授权存取受影响的系统。此漏洞可能影响多种使用Erlang/OTP SSH伺服器的产品，包括但不限于Cisco、NetApp和SUSE。
【影响平台】请参考官方所列的影响版本
https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2

3.【CVE-2025-33053】Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path Vulnerability (CVSS v3.1: 8.8)
【是否遭勒索软体利用:未知】 WebDAV存在档案名称或路径的外部控制漏洞。该漏洞可能允许未经授权的攻击者透过网路远端执行程式码。此漏洞可能影响多种实作WebDAV的产品，包括但不限于Microsoft Windows。
【影响平台】请参考官方所列的影响版本
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33053

4.【CVE-2025-24016】Wazuh Server Deserialization of Untrusted Data Vulnerability (CVSS v3.1: 9.9)
【是否遭勒索软体利用:未知】 Wazuh存在不受信任资料的反序列化漏洞，该漏洞可导致在Wazuh伺服器上执行远端程式码。
【影响平台】请参考官方所列的影响版本
https://github.com/wazuh/wazuh/security/advisories/GHSA-hcrc-79hj-m3qh

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

烦请贵单位协助公告或转发

详细内容于内容说明栏之影响平台

1.【CVE-2024-42009】 官方已针对漏洞释出修复更新，请更新至相关版本
https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8

2.【CVE-2025-32433】 官方已针对漏洞释出修复更新，请更新至相关版本
https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2

3.【CVE-2025-33053】 官方已针对漏洞释出修复更新，请更新至相关版本
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33053

4.【CVE-2025-24016】 官方已针对漏洞释出修复更新，请更新至相关版本
https://github.com/wazuh/wazuh/security/advisories/GHSA-hcrc-79hj-m3qh