【安全资讯】CISA将HPE高危漏洞与陈年Office漏洞列入已知被利用漏洞目录

概要：

美国网络安全和基础设施安全局（CISA）近日在其“已知被利用漏洞”（KEV）目录中新增了两个安全漏洞，警示攻击者正在利用HPE OneView管理软件中的一个最高严重性漏洞以及一个存在超过15年的Microsoft Office PowerPoint漏洞。这两个漏洞虽新旧迥异，但均已被用于实际攻击，凸显了无论漏洞新旧，只要可利用就会对未修补系统构成持续威胁。

主要内容：

CISA此次标记的漏洞之一是CVE-2025-37164，这是一个存在于HPE OneView软件中的代码注入漏洞，CVSS评分为满分10.0。HPE OneView是一款用于从中央控制台管理服务器、存储和网络设备的软件。HPE在12月18日的公告中指出，该漏洞可能被利用来注入并执行代码，从而可能完全控制受影响的环境。尽管HPE最初未确认攻击是否已发生，但CISA将其列入KEV目录表明情况已发生变化。安全公司Rapid7随后发布了概念验证利用代码，eSentire警告称，可用利用代码的出现显著降低了攻击者从探测到实际入侵的门槛。

同时被标记的还有CVE-2009-0556，这是一个Microsoft Office PowerPoint代码注入漏洞，CVSS评分为8.8。该漏洞早在2009年由微软确认并修补，当用户打开特制的PowerPoint文件时，远程攻击者可通过内存损坏执行任意代码。尽管补丁已发布多年，但其出现在KEV目录中表明，未打补丁或不受支持的系统仍在被成功攻击。

这两个漏洞的共同点在于其均已被活跃利用。HPE漏洞是影响现代数据中心基础设施的新兴高危威胁，而Office漏洞则是一个本应早已通过修补消除的“古董级”安全风险。攻击者的成功利用表明，只要漏洞利用途径仍然有效，漏洞的“年龄”并非障碍。这起事件强调了及时应用安全补丁和淘汰老旧、不受支持软件的重要性，以应对持续演变的网络威胁。