美国网络安全与基础设施安全局(CISA)于周二将近期披露的 FileZen 漏洞加入已知被利用漏洞(KEV)目录,理由是存在被主动利用的证据。
该漏洞编号为 CVE-2026-25108(CVSS v4 评分:8.7),属于操作系统命令注入漏洞,经过身份验证的用户可通过精心构造的 HTTP 请求执行任意命令。
CISA 表示:“Soliton Systems K.K 的 FileZen 在用户登录受影响产品并发送精心构造的 HTTP 请求时,存在操作系统命令注入漏洞。”
根据日本漏洞通报(JVN),该文件传输产品的以下版本受此漏洞影响:
· 版本 4.2.1 至 4.2.8
· 版本 5.0.0 至 5.0.10
Soliton 在其通告中指出,仅当启用 FileZen 病毒检查选项时,该漏洞才可能被成功利用,并补充称 “已收到至少一起因利用该漏洞造成损害的报告”。
这家日本科技公司还透露,攻击者必须使用普通用户权限登录 Web 界面才能实施攻击。
建议用户更新至 5.0.11 或更高版本以缓解威胁。
该公司补充道:“如果你已遭受攻击或怀疑因该漏洞受害,除更新至 V5.0.11 或更高版本外,还请考虑修改所有用户密码作为预防措施,因为攻击者可能已获取至少一个真实账户的登录权限。”
建议联邦民用行政部门(FCEB)机构在 2026 年 3 月 17 日前完成必要的修复措施,以保障其网络安全。
消息来源:thehackernews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
