首页 / 新闻动态 / CISA KEV清单一次性新增8个在野漏洞:Quest KA...

CISA KEV清单一次性新增8个在野漏洞:Quest KACE满分与Cisco SD-WAN明日截止,企业IT该如何排优先级

📅 2026-04-22 10:03:49 | 👁️ 阅读 2 | 📂 新闻动态

CISA一天内新增8个在野漏洞,多个产品CVSS达满分

2026年4月20日,美国网络安全和基础设施安全局(CISA)在其"已知被利用漏洞(KEV)"目录中一次性新增8个高危漏洞。这批漏洞涉及Cisco Catalyst SD-WAN Manager、PaperCut NG/MF、JetBrains TeamCity、Quest KACE Systems Management Appliance、Synacor Zimbra Collaboration Suite和Kentico Xperience等企业广泛部署的软件产品。其中多个漏洞CVSS评分达到9.8或10.0满分,且均有攻击者在真实环境中主动利用的证据。

对于企业IT运维人员来说,这条消息需要认真对待。KEV目录虽然是美国联邦机构的强制合规基准,但上榜漏洞意味着"已确认在野利用",绝不仅仅是理论威胁。根据CISA的划分,此次8个漏洞被分为两个紧急层次:Cisco SD-WAN三个漏洞要求联邦机构在2026年4月23日前完成修复;其余5个漏洞的截止日期为2026年5月4日

最高危险:Quest KACE SMA CVE-2025-32975(CVSS 10.0)

本次新增漏洞中危险系数最高的是Quest KACE Systems Management Appliance(SMA)的CVE-2025-32975,CVSS评分达到满分10.0。KACE SMA是企业IT部门广泛用于终端设备管理、软件分发、补丁推送和资产盘点的集中管控平台。漏洞类型为不当认证,攻击者无需有效凭证即可访问受影响接口,进而获得管理员级权限,全面控制被管理的终端设备。

这个漏洞的危害不仅在于满分评分,更在于它的"乘数效应"——一旦KACE SMA被攻陷,攻击者等于同时控制了这套平台所管理的所有终端。对于依赖KACE SMA进行集中运维的企业而言,这相当于整个IT基础设施的"总钥匙"被盗。CISA已确认该漏洞在针对未修补系统的攻击中被观察到。

紧急截止:Cisco Catalyst SD-WAN Manager三个漏洞(4月23日)

另外三个需要立即关注的漏洞来自Cisco Catalyst SD-WAN Manager,编号分别为CVE-2026-20122、CVE-2026-20128和CVE-2026-20133,CISA要求联邦机构于明日(4月23日)前完成修复,紧迫程度极高。

  • CVE-2026-20122:特权API滥用,低权限用户可调用高权限接口,扩大操作范围;
  • CVE-2026-20128:密码可恢复格式存储,凭证以可逆加密存储,攻击者获取配置文件即可还原明文密码;
  • CVE-2026-20133:敏感信息暴露,网络拓扑、设备配置等敏感数据可被未授权访问。

Cisco已证实CVE-2026-20133在2026年3月就已被利用,但官方公告至今尚未更新利用状态,这意味着实际攻击窗口已经打开数周。使用SD-WAN架构的企业应立即检查是否运行了受影响版本,优先安排升级。

打印机系统老熟人:PaperCut CVE-2023-27351(CVSS 9.8)

PaperCut NG/MF的CVE-2023-27351是一个CVSS 9.8的不当认证漏洞,攻击者无需凭证即可访问PaperCut服务器的管理接口,进而控制打印服务器甚至横向移动到内网。这个漏洞曾被Cl0p和LockBit两大顶级勒索软件团伙大规模利用,受害者遍布教育、医疗、金融等行业。此次CISA将其重新纳入KEV关注列表,说明仍有组织在使用未修补版本。对于仍在运行PaperCut的企业IT管理员,务必确认当前版本是否高于受影响的22.0.9/21.2.11。

同期值得关注:Apache Kafka认证绕过(CVSS 9.1)

与CISA KEV更新同期,研究人员还披露了Apache Kafka的两个高危漏洞CVE-2026-33557和CVE-2026-33558,CVSS评分达到9.1。漏洞类型为认证绕过,攻击者在特定配置下可绕过Kafka的SASL/OAUTHBEARER认证机制,以任意用户身份生产或消费消息,进而窃取数据或注入恶意消息流。Kafka作为企业级消息中间件被大量数据管道、日志系统和实时业务系统依赖,此类漏洞一旦被利用,可能造成业务数据泄露或消息完整性破坏。

企业IT运维修复优先级框架

面对密集的高危漏洞公告,IT运维团队的困境不是"不知道要修复",而是"不知道先修哪个"。以下是基于此次漏洞特征给出的优先级建议:

  • 今日立即行动(P0):Cisco Catalyst SD-WAN Manager——明日截止,3月已在野利用;Quest KACE SMA——CVSS 10.0,管控面失守等于全场失守;
  • 本周内完成(P1):PaperCut NG/MF——CVSS 9.8,勒索软件活跃利用载体;Apache Kafka——CVSS 9.1,消息系统认证绕过;
  • 本月内纳入维护窗口(P2):JetBrains TeamCity、Zimbra Collaboration Suite、Kentico Xperience——已有补丁,在野利用已证实,尽快处理。

有一个容易被忽略的原则:不在互联网直接暴露管理界面。本次涉及的KACE SMA、SD-WAN Manager、PaperCut管理控制台,如果面向公网开放,则漏洞利用门槛几乎为零。即使一时无法立即打补丁,将这些界面限制在内网IP范围或VPN后面,也能大幅降低被利用的风险。

作为长期为北京中小企业提供IT外包和兼职网管服务的团队,我们建议客户将上述漏洞对照自己的资产清单逐一排查。如果不确定企业内部是否使用了受影响的软件版本,欢迎联系我们进行专业的漏洞排查和修复支持。

💬 评论 (0)