美国 CISA 将 Draytek VigorConnect 和 Kingsoft WPS Office 错误添加到其已知利用漏洞目录中

美国网络安全和基础设施安全局 （CISA） 将 Draytek VigorConnect 和 Kingsoft WPS Office 错误添加到其已知利用漏洞目录中。

美国网络安全和基础设施安全局 （CISA） 已将 Draytek、VigorConnect 和 Kingsoft WPS Office 漏洞添加到其已知利用漏洞 （KEV） 目录中。

以下是这些漏洞的描述：

• CVE-2021-20123漏洞Draytek VigorConnect 路径遍历漏洞：Draytek VigorConnect 1.6.0-B3 中存在一个本地文件包含问题，允许未经身份验证的攻击者利用 DownloadFileServlet 端点的文件下载功能。此缺陷使攻击者能够使用 root 权限从底层操作系统下载任意文件，从而构成重大安全风险。
• CVE-2021-20124漏洞Draytek VigorConnect 路径遍历漏洞：Draytek VigorConnect 1.6.0-B3 中存在一个本地文件包含漏洞，该漏洞会影响 WebServlet 端点的文件下载功能。此漏洞允许未经身份验证的攻击者以 root 权限从底层操作系统下载任意文件，构成严重的安全威胁。
• CVE-2024-7262漏洞金山 WPS Office 路径遍历漏洞：金山 WPS Office 中存在一个路径验证不当漏洞（版本 12.2.0.13110 至 12.2.0.16412），攻击者可以通过promecefpluginhost.exe加载任意的 Windows 库。此缺陷已通过单击式电子表格文档作为武器。

8 月底，Eset 研究人员报告称，与韩国相关的组织 APT-C-60 利用 Windows 版 WPS Office 中的零日漏洞（跟踪为 CVE-2024-7262）在东亚目标的系统中部署 SpyGlace 后门。

WPS Office 是由中国软件公司金山软件开发的一款综合办公生产力套件，在亚洲得到广泛使用。它为用户提供了一系列用于创建、编辑和管理文档、电子表格、演示文稿和 PDF 的工具。

根据 WPS 网站，WPS Office 在全球拥有超过 5 亿活跃用户。

根据具有约束力的操作指令 （BOD） 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。

专家还建议私营组织查看 Catalog 并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 9 月 24 日之前修复此漏洞。