CISA 警告三个正被主动利用的新漏洞——含高危 Git 漏洞
您是否曾不假思索地输入那条再熟悉不过的 git clone 命令?对于开发者而言,这几乎如同呼吸一般自然。但现在,请立即停下来。
本周,美国网络安全与基础设施安全局(CISA)在其“已知利用漏洞”(KEV)目录中新增了三个漏洞。这是美国政府官方发布的、关于在真实攻击中正被黑客积极利用的安全缺陷列表。其中两个漏洞影响企业级的 Citrix 软件,而第三个则令人脊背发凉:它存在于 Git 本身 的一个关键漏洞。
让我们深入剖析一下当前的状况,因为这不仅仅是一个 IT 问题,对于任何开发团队而言,它都可能是一场潜在的供应链噩梦。
漏洞分析:我们具体面临什么?
CISA 发出的信息很明确:立即修补。列入清单的三个漏洞是:
- Citrix Session Recording CVE-2025–32639(CVSS 评分 9.6): 一个高严重性的权限提升漏洞。
- Citrix Session Recording CVE-2025–32640(CVSS 评分 8.8): 一个高严重性的信息泄露漏洞。
- Git CVE-2025–48384(关键等级): 一个 Git 软件中的远程代码执行(RCE)漏洞。针对该漏洞的概念验证(PoC)利用代码已经公开。 CSD0tFqvECLokhw9aBeRqgdmZ7Kc5W3etiYWLowSc02YvaRZnNjL0moPkPYL/shprXv7oJY35ZI54NR3bODRFG/QJe4rzOhQvyDOqK6YXPoIrLZt+ne6j2qf0h662s+jfQu+3skovEapJh03RtbKajMayODVaC9Fve1OquGZtYGIk/zfamAvniENgYCgqcGr
