美国网络安全和基础设施安全局（CISA）扩充了其已知漏洞（KEV）目录，突出强调了目前在野外被利用的五个安全漏洞。这些漏洞横跨微软、思科、Atlassian 和 Metabase 产品，对处理敏感数据或暴露于公共网络的系统构成重大风险。

1. CVE-2024-43451 (CVSS 6.5)： NTLM 哈希值泄露漏洞

该漏洞因其触发简单而特别令人担忧。据微软称，与恶意文件的最小交互（如单击或右键单击操作）可能会将用户的 NTLMv2 哈希值暴露给远程攻击者。NTLM 哈希值是用户的加密凭据，攻击者可以通过它验证被攻击用户的身份，从而访问敏感资源。

2. CVE-2024-49039 (CVSS 8.8)： Windows 任务调度程序权限提升漏洞

由 Google 的威胁分析小组发现，此漏洞允许攻击者执行特制的应用程序，将权限从低完整性 AppContainer 环境提升到中完整性级别。这种权限升级可使攻击者运行通常仅限于高权限账户的 RPC 功能，从而在未经授权的情况下访问原本受保护的资源。

3. CVE-2021-41277 (CVSS 10)： Metabase GeoJSON API 本地文件包含漏洞

Metabase 是一个广泛使用的开源商业智能平台，它隐藏着一个关键漏洞，允许攻击者利用 GeoJSON API 进行本地文件包含。该漏洞可导致未经授权的数据访问和系统泄露，突出表明了及时进行软件更新和安全配置实践的重要性。

4. CVE-2014-2120： Cisco ASA WebVPN 跨站脚本漏洞

该漏洞存在于 Cisco Adaptive Security Appliance (ASA) 软件的 WebVPN 登录页面中，攻击者可利用该漏洞注入恶意脚本，从而可能泄露用户凭据并为会话劫持提供便利。这一遗留漏洞的持续存在强调了全面漏洞管理计划的重要性，以及解决所有系统漏洞（无论其使用年限长短）的必要性。

5. CVE-2021-26086 (CVSS 5.3)： Atlassian Jira 服务器和数据中心路径遍历漏洞

Atlassian Jira Server and Data Center 存在此漏洞，攻击者可利用路径遍历漏洞，在未经授权的情况下访问敏感文件。该漏洞凸显了安全编码实践的重要性，以及进行持续安全测试以识别和修复软件应用程序漏洞的必要性。

减轻威胁

CISA 要求联邦经济与商业委员会各机构在 2024 年 12 月 3 日前修补这些漏洞，这是对各行业组织优先进行漏洞管理的重要提醒。