美国网络安全和基础设施安全局（CISA）于本周二在其已知被利用漏洞（KEV）目录中新增了四个安全漏洞，美国并指出这些漏洞已在野外被积极利用 。紧急

新增漏洞详情

以下为新增漏洞的提醒具体信息：

CVE-2024-45195（CVSS评分：7.5/9.8）：Apache OFBiz中的强制浏览漏洞 ，允许远程攻击者未经授权访问服务器并执行任意代码（已于2024年9月修复）。源码库漏洞CVE-2024-29059（CVSS评分：7.5） ：Microsoft .NET Framework中的遭利信息泄露漏洞，可能暴露ObjRef URI并导致远程代码执行（已于2024年3月修复） 。用需CVE-2018-9276（CVSS评分 ：7.2） ：Paessler PRTG网络监控器中的年月操作系统命令注入漏洞 ，云计算允许具有管理员权限的日前攻击者通过PRTG系统管理员Web控制台执行命令（已于2018年4月修复） 。CVE-2018-19410（CVSS评分 ：9.8）：Paessler PRTG网络监控器中的修复本地文件包含漏洞，允许未经身份验证的亿华云美国远程攻击者创建具有读写权限的用户（已于2018年4月修复） 。漏洞修复与应对措施

尽管这些漏洞已由相关厂商修复，紧急但目前尚无公开报告显示这些漏洞在现实攻击中如何被利用 。提醒CISA敦促联邦民事行政部门（FCEB）机构在2025年2月25日前应用必要的免费模板漏洞修复措施，以防范潜在威胁 
。遭利

此次新增的用需漏洞涉及多个广泛使用的系统和框架，服务器租用及时修复对于保障网络安全至关重要。各机构应尽快采取行动，确保系统安全
。