文章总结： 美国CISA警告Versa、Zimbra、Vite及Prettier相关组件中的四个漏洞正遭活跃利用，并列入已知可利用漏洞目录。这些漏洞涉及访问控制不当、认证绕过、供应链投毒及本地文件包含等风险。CISA要求联邦机构限期修补，建议相关方尽快应用安全更新或缓解措施。 综合评分： 75 文章分类： 漏洞预警,供应链安全,应用安全,网络安全

CISA：四款企业软件中的漏洞已遭利用

Bill Toulas Bill Toulas

代码卫士

2026年1月26日 18:08 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

美国网络安全与基础设施安全局（CISA）警告称，Versa和Zimbra开发的企业软件、Vite前端工具框架以及Prettier代码格式化工具中的四个漏洞正遭受活跃攻击。

这些安全问题已被列入CISA的已知可利用漏洞（KEV）目录，表明该机构已掌握黑客在现实攻击中利用这些漏洞的证据。其中一个漏洞为CVE-2025-31125，是去年3月披露的一个高危严重性访问控制不当漏洞。当服务器被明确暴露于网络时，攻击者可利用该漏洞窃取未授权访问的文件。该漏洞仅影响已暴露的开发环境实例，并已在6.2.4、6.1.3、6.0.13、5.4.16及4.5.11版本中修复。

另一漏洞是CVE-2025-34026，于2025年5月披露，是位于Versa Concerto SD-WAN编排平台中严重的身份验证绕过漏洞。该漏洞由Traefik反向代理配置不当引起，可导致攻击者访问包括内部Actuator端点在内的管理接口，从而泄露堆转储和跟踪日志数据。受影响的产品包括 Concerto 12.1.2 至 12.2.0 版本，其它版本也可能受到影响。网络安全公司 ProjectDiscovery 的研究人员于 2025 年 2 月 13 日向供应商报告了这些问题，Versa Concerto 向 BleepingComputer 确认已在 2025 年 3 月 7 日修复。

第三个已遭利用漏洞是 CVE-2025-54313，它是一个由于供应链受攻击导致的高危漏洞，影响了用于解决代码检查工具 ESLint 与 Prettier 代码格式化工具之间冲突的 eslint-config-prettier 包。去年 7 月，黑客劫持了多个流行的 JavaScript 库，其中包括 “eslint-config-prettier”，并在 npm 上发布了嵌入恶意代码的版本。安装受影响的软件包（版本8.10.1、9.1.1、10.1.6和10.1.7）会运行恶意的install.js脚本，该脚本将在Windows系统上加载node-gyp.dll恶意载荷以窃取npm身份验证令牌。

第四个已遭利用的漏洞是CVE-2025-68645，于2025年12月22日披露，是位于Zimbra Collaboration Suite 10.0和10.1版本中Webmail Classic UI的本地文件包含漏洞。该漏洞源于RestFilter servlet对用户提供参数的处理不当。未经身份验证的攻击者可以利用/h/rest端点包含WebRoot目录中的任意文件。

CISA现要求所有受BOD 22-01指令约束的联邦机构必须在2026年2月12日前应用可用的安全更新或供应商建议的缓解措施，或停止使用相关产品。该机构尚未分享任何关于漏洞利用活动的具体细节，且这些漏洞在勒索软件攻击中的利用状态被标记为“未知”。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

CISA KEV 清单共收录1048个已遭利用漏洞，2025年增长20%

CISA提醒注意 WHILL Model C2 电动轮椅中的严重漏洞

CISA 将已遭利用的 Digiever NVR RCE漏洞纳入KEV

React2Shell：30家机构已受陷77k IP地址易受影响，被列入 CISA KEV

CISA 将 OpenPLC ScadaBR 纳入必修清单

原文链接

https://www.bleepingcomputer.com/news/security/cisa-confirms-active-exploitation-of-four-enterprise-software-bugs/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Bill Toulas Bill Toulas《CISA：四款企业软件中的漏洞已遭利用》