美国网络安全和基础设施安全局 （CISA） 将 Versa Director 错误添加到其已知被利用的漏洞目录中。

美国网络安全和基础设施安全局 （CISA） 将 Versa Director 危险文件类型上传漏洞 CVE-2024-39717（CVSS 评分：6.6）添加到其已知利用漏洞 （KEV） 目录中。

漏洞 CVE-2024-39717 位于 Versa Director GUI 中的“更改网站图标”功能中，它允许具有特定权限的管理员上传伪装成 PNG 图像的恶意文件。利用此漏洞需要具有必要权限的用户成功进行身份验证。尽管细节有限，但 Versa Networks 证实了由于客户未能实施建议的防火墙指南而利用漏洞的案例。这种疏忽允许攻击者利用漏洞，而无需访问 GUI。

“Versa Networks了解到一个已确认的客户报告实例，由于2015年和2017年发布的防火墙指南并未由该客户实施，因此该漏洞被利用。”公告中写道。“这种未实现导致不良行为者能够在不使用 GUI 的情况下利用此漏洞。”

根据具有约束力的操作指令 （BOD） 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中缺陷的攻击。

专家还建议私营组织查看 Catalog 并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2024 年 9 月 13 日之前修复此漏洞。