CISA将Apple、Craft CMS和Laravel漏洞列入KEV目录，要求4月3日前修补

美国网络安全和基础设施安全局（CISA）周五将五个影响Apple、Craft CMS和Laravel Livewire的安全漏洞添加到其已知被利用漏洞（KEV）目录中，敦促联邦机构在2026年4月3日前修补这些漏洞。

已被利用的漏洞列表如下：

CVE-2025-31277（CVSS评分：8.8）- Apple WebKit中的漏洞，处理恶意制作的网页内容时可能导致内存损坏。（已于2025年7月修复）

CVE-2025-43510（CVSS评分：7.8）- Apple内核组件中的内存损坏漏洞，可能允许恶意应用程序导致进程间共享内存发生意外变化。（已于2025年12月修复）

CVE-2025-43520（CVSS评分：8.8）- Apple内核组件中的内存损坏漏洞，可能允许恶意应用程序导致意外系统终止或写入内核内存。（已于2025年12月修复）

CVE-2025-32432（CVSS评分：10.0）- Craft CMS中的代码注入漏洞，可能允许远程攻击者执行任意代码。（已于2025年4月修复）

CVE-2025-54068（CVSS评分：9.8）- Laravel Livewire中的代码注入漏洞，可能允许未经身份验证的攻击者在特定情况下实现远程命令执行。（已于2025年7月修复）

三个Apple漏洞被添加到KEV目录是在谷歌威胁情报小组（GTIG）、iVerify和Lookout报告名为"Coruna"的iOS漏洞利用工具包之后。该漏洞利用工具包被用于针对iOS 16.0至16.6.1版本的iPhone进行攻击，作为水坑攻击的一部分，旨在部署具有监控功能的LightSpy恶意软件。

Craft CMS和Laravel Livewire漏洞的添加反映了这些流行的Web开发框架正成为攻击者的目标。CVE-2025-32432和CVE-2025-54068都是代码注入漏洞，允许攻击者在受影响的系统上执行任意代码。

CISA表示："这些类型的漏洞是恶意网络行为者频繁的攻击媒介，对联邦企业构成重大风险。"

联邦民事行政分支机构（FCEB）机构已被命令在2026年4月3日前应用这些漏洞的修复程序。

防护建议：

• 立即更新所有Apple设备到最新版本
• 使用Craft CMS和Laravel Livewire的组织应尽快应用安全补丁
• 定期审查系统日志以发现可疑活动
• 实施网络分段以限制潜在漏洞利用的影响