美国网络安全和基础设施安全局（CISA）周一在已知漏洞（KEV）目录中增加了一个影响 Acclaim Systems USAHERDS 的高严重性安全漏洞，该漏洞已得到修补，但仍有证据表明该漏洞仍在被利用。

该漏洞名为 CVE-2021-44207（CVSS 得分：8.1），是 Acclaim USAHERDS 中的一个硬编码静态凭据漏洞，攻击者可利用该漏洞在易受影响的服务器上执行任意代码。

具体来说，它涉及在 7.4.0.1 及以前版本中使用静态 ValidationKey 和 DecryptionKey 值，这些值可被用于在运行应用程序的服务器上实现远程代码执行。也就是说，攻击者首先必须利用其他手段获取密钥。

“这些密钥用于为应用程序 ViewState 提供安全保护，”谷歌旗下的曼迪安特公司（Mandiant）在 2021 年 12 月针对该漏洞发布的公告中说。“掌握这些密钥的威胁行为者可以诱骗应用服务器反序列化恶意制作的 ViewState 数据。”

“知道网络应用程序验证密钥（validationKey）和解密密钥（decryptionKey）的威胁行为者可以构建一个恶意的 ViewState，该 ViewState 可以通过 MAC 检查并被服务器反序列化。这种反序列化可导致在服务器上执行代码。”

虽然没有关于 CVE-2021-44207 在现实世界攻击中被武器化的新报告，但该漏洞早在 2021 年就被与中国有关联的 APT41 威胁行为者确定为零日漏洞，并在针对美国六个州政府网络的攻击中被滥用。

建议联邦文职行政部门（FCEB）机构在 2025 年 1 月 13 日前应用供应商提供的缓解措施，以保护其网络免受主动威胁。

Adobe就ColdFusion（CVE-2024-53961，CVSS评分：7.8）中的一个关键安全漏洞发出警告，称该漏洞已存在一个已知的概念验证（PoC）漏洞，可导致任意文件系统读取。

该漏洞已在 ColdFusion 2021 Update 18 和 ColdFusion 2023 Update 12 中得到解决。建议用户尽快打上补丁，以降低潜在风险。