美國網路安全和基礎設施安全局 (CISA) 已將以下二個漏洞加入已知利用漏洞 (KEV) 目錄中。

CVE-2023-28432 (CVSS評分- 7.5)- MinIO資訊洩露漏洞

CVE-2021-45046（CVSS 評分：9.0）- Apache Log4j2 反序列化不可信數據漏洞

 

第一個漏洞 CVE-2023-28432 出現在ChatGPT 範例程式使用的物件儲存服務MinIO中。MinIO存在資訊洩露漏洞，其中包含MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，產生敏感資訊洩露，最終可能導致攻擊者以管理員身份登錄MinIO。

CVE-2023-28432 CVSS 影響子分數：3.6，可利用性子分數：3.9，總體 CVSS 分數：7.5

建議措施：這漏洞沒有緩解方式，建議整合dock-cli-scan，或使用GitHub內建的監控等安全工具來防範資訊外露。

 

第二個漏洞 CVE-2021-45046，將影響 Apache Log4j2 日誌庫的遠端執行碼。

影響平台：Apache Log4j 2.0-beta9至215.0(含)版本，但不含2.12.2版本

建議措施：目前Apache Log4j官方網頁已針對此漏洞釋出更新程式，請更新至Log4j 2.16.0版本：https://logging.apache.org/log4j/2.x/security.html

CVE-2021-45046 CVSS 影響子分數：6.0，可利用性子分數：2.2，總體 CVSS 分數：9.0

資料來源：美國國家標準與技術研究院

 

邀請您參與資安合規調查與分析，參與者可獲得下列專屬數據報告：

(1) 資安成熟度第一階評估報告

(2) 供應鏈資安月報：內含國際供應鏈資安政策趨勢、安全漏洞分析。

問卷網址： https://www.surveycake.com/s/34Vme