【安全资讯】CISA确认四款企业软件漏洞正遭活跃利用

概要：

美国网络安全和基础设施安全局（CISA）近日发出警告，确认四款企业软件中的安全漏洞正遭到黑客的活跃利用。这些漏洞涉及Versa、Zimbra、Vite和Prettier等广泛使用的软件，已被添加到CISA的已知被利用漏洞（KEV）目录，凸显了企业软件供应链面临的严峻威胁。

主要内容：

CISA确认的四项漏洞中，CVE-2025-31125是一个高严重性的访问控制不当问题，影响暴露在网络的开发实例，可导致非授权文件泄露。CVE-2025-34026则是Versa Concerto SD-WAN编排平台中的一个关键身份验证绕过漏洞，由Traefik反向代理配置错误引发，允许攻击者访问包含堆转储和跟踪日志的管理端点。

另外两个漏洞涉及供应链攻击。CVE-2025-54313源于eslint-config-prettier软件包被劫持，攻击者在npm上发布了嵌入恶意代码的版本。安装受影响版本会触发恶意脚本，窃取npm身份验证令牌。CVE-2025-68645是Zimbra Collaboration Suite Webmail Classic UI中的本地文件包含漏洞，源于RestFilter servlet对用户参数处理不当，允许未授权攻击者包含任意文件。

CISA已要求所有受BOD 22-01指令约束的联邦机构在2026年2月12日前应用安全更新或缓解措施，或停止使用受影响产品。这些漏洞的利用活动细节尚未公开，其在勒索软件攻击中的使用状态标记为“未知”。