轉知:【漏洞預警】CISA新增3個已知遭駭客利用之漏洞至KEV目錄(2026/03/30-2026/04/05)。
|
教育機構ANA通報平台 |
|
發佈編號 |
TACERT-ANA-2026041002044343 |
發佈時間 |
2026-04-10 14:24:44 |
|
事故類型 |
ANA-漏洞預警 |
發現時間 |
2026-04-10 14:24:44 |
|
影響等級 |
低 |
||
|
[主旨說明:]【漏洞預警】CISA新增3個已知遭駭客利用之漏洞至KEV目錄(2026/03/30-2026/04/05) |
|||
|
[內容說明:] 轉發 台灣電腦網路危機處理暨協調中心 資安訊息警訊 TWCERTCC-200-202604-00000005
【CVE-2026-3055】Citrix NetScaler Out-of-Bounds Read Vulnerability (CVSS v3.1: 9.8) 【是否遭勒索軟體利用:未知】 Citrix NetScaler ADC、NetScaler Gateway 以及 NetScaler ADC FIPS 和 NDcPP 在被配置為 SAML IDP時,存在越界讀取漏洞,可能導致記憶體過度讀取。
【CVE-2026-5281】Google Dawn Use-After-Free Vulnerability (CVSS v3.1: 8.8) 【是否遭勒索軟體利用:未知】 Google Dawn 存在使用釋放後記憶體漏洞,可能允許已入侵渲染程序的遠端攻擊者,透過特製的 HTML 頁面執行任意程式碼。此漏洞可能影響多個基於 Chromium 的產品,包括但不限於 Google Chrome、Microsoft Edge 及 Opera。
【CVE-2026-3502】TrueConf Client Download of Code Without Integrity Check Vulnerability (CVSS v3.1: 7.8) 【是否遭勒索軟體利用:未知】 TrueConf Client 存在下載程式碼時未進行完整性檢查的漏洞。攻擊者若能影響更新傳輸路徑,可能替換為經竄改的更新酬載;一旦被更新程式執行或安裝,可能導致在更新程序或使用者權限範圍內執行任意程式碼。
情資分享等級: WHITE(情資內容為可公開揭露之資訊) 煩請貴單位協助轉發與通知轄下各單位知悉 |
|||
|
[影響平台:] 【CVE-2026-3055】請參考官方所列的影響版本 https://support.citrix.com/support-home/home
【CVE-2026-5281】請參考官方所列的影響版本 https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html
【CVE-2026-3502】TrueConf 8.1.0至8.5.2(含)的版本 |
|||
|
[建議措施:] 【CVE-2026-3055】 官方已針對漏洞釋出修復更新,請更新至相關版本 https://support.citrix.com/support-home/home
【CVE-2026-5281】 官方已針對漏洞釋出修復更新,請更新至相關版本 https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html
【CVE-2026-3502】 對應產品升級至以下版本(或更高) TrueConf 8.5.3.884 |
|||
|
[參考資料:] |
|||
|
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。 |
|
教育機構資安通報應變小組 |
參考連結:https://www.tcrc.edu.tw/new/new-list/cisa-3-kev-2026-03-30-2026-04-05
