轉知：【漏洞預警】CISA新增4個已知遭駭客利用之漏洞至KEV目錄(2025/06/09-2025/06/15)。

跳到主要內容區

轉知：【漏洞預警】CISA新增4個已知遭駭客利用之漏洞至KEV目錄(2025/06/09-2025/06/15)。

　

教育機構ANA通報平台

發佈編號	TACERT-ANA-2025061809062020	發佈時間	2025-06-18 09:40:20
事故類型	ANA-漏洞預警	發現時間	2025-06-18 09:40:20
影響等級	低
[主旨說明:]【漏洞預警】CISA新增4個已知遭駭客利用之漏洞至KEV目錄(2025/06/09-2025/06/15)
[內容說明:] 轉發台灣電腦網路危機處理暨協調中心 TWCERTCC-200-202506-00000011 1. 【CVE-2024-42009】RoundCube Webmail Cross-Site Scripting Vulnerability (CVSS v3.1: 9.3) 【是否遭勒索軟體利用:未知】 RoundCube Webmail存在跨網站指令碼漏洞，可能允許遠端攻擊者利用program/actions/mail/show.php中message_body()函式的資料反清洗問題，透過特製的電子郵件竊取及傳送受害者的電子郵件。【影響平台】請參考官方所列的影響版本 https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8 2. 【CVE-2025-32433】Erlang Erlang/OTP SSH Server Missing Authentication for Critical Function Vulnerability (CVSS v3.1: 10.0) 【是否遭勒索軟體利用:未知】 Erlang/OTP SSH伺服器存在關鍵功能驗證缺失漏洞。該漏洞可能允許攻擊者在未提供有效憑證的情況下執行任意指令，進而導致未經驗證的遠端程式碼執行。惡意使用者可利用SSH通訊協定訊息處理方式的漏洞，未經授權存取受影響的系統。此漏洞可能影響多種使用Erlang/OTP SSH伺服器的產品，包括但不限於Cisco、NetApp和SUSE。【影響平台】請參考官方所列的影響版本 https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2 3. 【CVE-2025-33053】Web Distributed Authoring and Versioning (WebDAV) External Control of File Name or Path Vulnerability (CVSS v3.1: 8.8) 【是否遭勒索軟體利用:未知】 WebDAV存在檔案名稱或路徑的外部控制漏洞。該漏洞可能允許未經授權的攻擊者透過網路遠端執行程式碼。此漏洞可能影響多種實作WebDAV的產品，包括但不限於Microsoft Windows。【影響平台】請參考官方所列的影響版本 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33053 4. 【CVE-2025-24016】Wazuh Server Deserialization of Untrusted Data Vulnerability (CVSS v3.1: 9.9) 【是否遭勒索軟體利用:未知】 Wazuh存在不受信任資料的反序列化漏洞，該漏洞可導致在Wazuh伺服器上執行遠端程式碼。【影響平台】請參考官方所列的影響版本 https://github.com/wazuh/wazuh/security/advisories/GHSA-hcrc-79hj-m3qh 情資分享等級: WHITE(情資內容為可公開揭露之資訊) 煩請貴單位協助公告或轉發
[影響平台:] 詳細內容於內容說明欄之影響平台
[建議措施:] 1. 【CVE-2024-42009】官方已針對漏洞釋出修復更新，請更新至相關版本 https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8 2. 【CVE-2025-32433】官方已針對漏洞釋出修復更新，請更新至相關版本 https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2 3. 【CVE-2025-33053】官方已針對漏洞釋出修復更新，請更新至相關版本 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-33053 4. 【CVE-2025-24016】官方已針對漏洞釋出修復更新，請更新至相關版本 https://github.com/wazuh/wazuh/security/advisories/GHSA-hcrc-79hj-m3qh
[參考資料:]

(此通報僅在於告知相關資訊，並非為資安事件)，如果您對此通報的內容有疑問或有關於此事件的建議，歡迎與我們連絡。

教育機構資安通報應變小組
網址：https://info.cert.tanet.edu.tw/
專線電話：07-5250211
網路電話：98400000
E-Mail：service@cert.tanet.edu.tw

　

參考連結：https://www.tcrc.edu.tw/new/new-list/cisa-4-kev-2025-06-09-2025-06-15

單位: 網路系統組

承辦人: 網路系統組

分機: 11721

瀏覽數: