美国网络安全和基础设施安全局 (CISA) 周二在其已知被利用漏洞 (KEV) 目录中添加了一个影响 TP-Link TL-WA855RE Wi-Fi Ranger 扩展器的高严重性安全漏洞,理由是主动利用漏洞。
该漏洞 CVE-2020-24363(CVSS 评分:8.8)涉及缺少身份验证的情况,该身份验证可能会被滥用来获得对易受攻击设备的提升访问权限。
该机构表示:“此漏洞可能允许未经身份验证的攻击者(在同一网络上)提交 TDDP_RESET POST 请求以恢复出厂设置并重新启动。“然后,攻击者可以通过设置新的管理密码来获得不正确的访问控制。”
根据 malwrforensics 的说法,该问题已在固件版本 TL-WA855RE(EU)_V5_200731 中得到修复。然而,值得注意的是,该产品已达到生命周期终止 (EoL) 状态,这意味着它不太可能收到任何补丁或更新。建议 Wi-Fi 范围扩展器的用户更换较新的型号以获得最佳保护。
CISA 尚未透露有关该漏洞如何在野外被利用、由谁利用或此类攻击的规模的任何细节。
WhatsApp 上周披露的 KEV 目录中还添加了一个安全漏洞(CVE-2025-55177,CVSS 评分:5.4),该漏洞被利用为高度针对性的间谍软件活动的一部分,将其与 Apple iOS、iPadOS 和 macOS 漏洞(CVE-2025-43300,CVSS 评分:8.8)链接起来。
关于谁成为攻击目标以及哪个商业间谍软件供应商是攻击的幕后黑手知之甚少,但 WhatsApp 告诉 The Hacker News,它向不到 200 名可能成为攻击目标的用户发送了应用内威胁通知。
建议联邦文职行政部门 (FCEB) 机构在 2025 年 9 月 23 日之前针对这两个漏洞采取必要的缓解措施,以应对主动威胁。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
