作者介绍:http://gitee.com/haidragon
本周有四项CVE进入CISA的已知被利用名单。以下是根据利用证据而非原始严重程度排序的补丁,降低风险最大。

2026年6月2日至6月5日期间,有四个CVE进入CISA已知被利用漏洞目录。其中两个针对广泛部署的基础设施:Linux内核容器主机和Android设备。一个攻击运行热门Magento扩展的电商服务器。另一个导致公开互联网上的文件传输设备崩溃。
本周的模式与过去几个月一致。一个四年历史的LinuxCVE因未修补的主机仍大规模存在而重新浮现。谷歌确认的低EPSS但有针对性的部署缺陷,暗示间谍软件式使用而非大规模自动化。广泛安装的Magento模块中未经认证的RCE在被利用后几天内被添加。SolarWinds Serv-U中的拒绝服务漏洞因可访问公共互联网可访问的12,000个实例而获得KEV条目。这些都不是理论上的。
本摘要中包含三个缩略词。CVSS会在0到10的尺度上评分如果有人利用漏洞,其破坏力有多大。EPSS估计未来30天内被利用的概率,以概率和百分位数对比所有追踪的CVE进行。KEV是CISA的缺陷目录,背后有确认的真实世界攻击。严重性和可能性不同:一个9.8且无人攻击的数字可以排在一个已经被活跃使用的7.5之后。完整方法见我们对CVSS与EPSS和KEV的分析,详见 https://www.cloudkey-tech.com/blog/cvss-vs-epss-vs-kev/。
本周KEV遭遇了什么
CISA根据《具有约束力的运营指令22–01》增加了CVEs,该指令要求联邦文职行政部门机构在固定时间内进行修复。这些截止日期是任何需要合理理由以升级补丁至紧急窗口的团队的有用外部标准。
CVE-2022–0492:Linux 内核 cgroups v1 权限升级
添加到KEV:2026年6月2日。FCEB截止日期:2026年6月5日。
CVSS基础评分:7.8(高)。EPSS:34%(第97百分位)。
Linux 内核中的 cgroups v1 功能允许无权限的本地用户在发布代理文件中写入任意文件系统路径。当该 cgroup 中的最后一个进程退出时,内核以 root 身份执行该路径。在挂载了cgroups v1的容器内,攻击者可以通过一个不需一分钟的序列逃逸到主机,包含:挂载cgroup v1内存控制器,创建子cgroup,写入有效载荷路径,设置,生成并终止cgroup中的进程。release_agentrelease_agentnotify_on_release
CVE于2022年被修补。2026年6月的第97百分位EPSS评分反映了一个事实:未打补丁的容器主机运行cgroups v1,在修复修复发布四年后仍被大规模发现和利用。CISA在KEV中添加2022年CVE并非简单的清洁工作。这是攻击者拥有该向量的现成工具并正在使用该向量的信号。
缓解措施:切换到现代发行版默认的cgroups v2。确认没有cgroups v1控制器被挂载在运行中的容器中。应用Seccomp以及AppArmor或SELinux配置文件来限制容器工作负载的安装范围。
CVE-2025–48595:Android 框架整数溢出
新增于 KEV:2026 年 6 月 2 日。
CVSS基础评分:8.4(高)。EPSS:0.5%(第68百分位)。
低EPSS和KEV的上市并不矛盾。它们描述的内容不同。EPSS反映了广泛利用的概率较低;KEV的列名反映了确认的定向利用。这种组合是监控工具部署的典型特征:少数复杂的行为者,大量尚未应用2026年6月安卓安全更新的潜在受害者,以及一个与补丁延迟相当的窗口。
整数溢出存在于Android框架中,影响Android 14、15和16。本地安装且无特殊权限的应用程序会向易受攻击的框架服务发送带有大整数值的恶意意图。整数溢出,导致服务分配一个零字节缓冲区并复制一个大型有效载荷。该负载中的ROP链会禁用SELinux强制执行或生成根壳。攻击者获得系统级权限,访问所有用户数据和设备功能。
修复方法:应用2026年6月的安卓安全更新。对于企业级MDM环境,应将其视为企业自有设备的48小时合规窗口,而非默认的月度周期。
CVE-2026–45247:Mirasvit 全页缓存加热器反序列化(Magento / Adobe Commerce)
添加到KEV:2026年6月3日。
CVSS基础评分:9.8(危急)。EPSS:6.1%(第91百分位)。
这是通过 Mirasvit 全页缓存加温扩展(适用于 Magento 2 和 Adobe Commerce)中进行的非认证远程代码执行,这些扩展均为 1.11.12 之前的版本。攻击路径需要一个 HTTP 请求。cookie中一个base64编码的序列化PHP对象在未经过验证的情况下到达扩展。应用程序依赖树中的一条小工具链在网页服务器上下文下执行任意命令。CacheWarmer
无需身份验证。针对游戏平台和商业电子商务网站的活动中,美国、英国、法国和澳大利亚被观察到积极利用。利用模式利用自动扫描识别未打补丁的 Magento 实例,随后进行有效载荷的交付。CISA是在补丁发布三天后才添加CVE,这意味着攻击者在大多数管理员还没来得及应用修复前就已经利用了漏洞。
修复:更新至Mirasvit全页缓存暖包1.11.12或更高版本,发布日期为2026年5月25日。如果阻挡即时补丁,禁用扩展,并实现 WAF 规则,阻止 cookie 值中 base64 编码的序列化 PHP 负载。
CVE-2026–28318:SolarWinds Serv-U 无控资源消耗
添加到KEV:2026年6月5日。FCEB截止日期:2026年6月19日。
CVSS基础评分:7.5(高)。EPSS:6.7%(第91百分位)。
未经认证的攻击者可以通过发送带有异常压缩有效载荷头部的定制POST请求,导致SolarWinds Serv-U崩溃。在解压期间,Serv-U服务耗尽系统资源并终止。无需认证。无需用户操作。该攻击仅需对Serv-U监听器的网络访问。Content-Encoding: deflate
国防部的分类可能低估了其实际操作影响。Serv-U 作为托管文件传输设备部署于医疗、政府和金融服务环境中。在计划中的转移窗口内发生针对性的崩溃,会在事故本身之外,造成下游的合规漏洞和运营失败。Shodan在KEV上市时已在公共互联网上索引了超过12,000个Serv-U实例。
修复:升级到 SolarWinds Serv-U 15.5.4 热修复 1。对于无法立即打补丁的环境,限制对Serv-you的入站访问只能在网络边界的已知合作伙伴IP范围内。
本周你应该更改队列中的哪些内容
本周的KEV新增内容涵盖了四大不同的攻击面:容器基础设施、移动设备、电子商务服务器和文件传输设备。这四个都有可用的修复方法。这四人都被确认被剥削。
具体步骤:
- Linux 容器主机:审核所有容器工作负载是否存在 cgroups v1 挂载。在有内核时应用补丁,并为新工作负载强制使用 cgroups v2。确认AppArmor或SELinux配置文件是否被强制执行,而不是许可模式。
- Android车队:对企业自有设备实施2026年6月安卓安全更新的48小时合规窗口。访问企业邮件或VPN的个人设备需要注册或隔离执行来弥补同样的差距。
- Magento和Adobe Commerce:现在可以对所有电商实例运行。任何低于1.11.12的版本都是开放的RCE向量,背后有积极的利用。更新或禁用。
composer show mirasvit/module-cache-warmer - SolarWinds Serv-U:在6月19日前对每个实例应用Hotfix 1。移除Serv-U监听者的公共互联网暴露,因为传输端点可以被定位为已知的合作伙伴地址。
KEV本身就是个短名单。本周,它新增了四个已被确认处于主动攻击工具中的CVE。清除所有四个可以消除已知的利用路径。这正是列表的意义,也是建议先按KEV状态排序补丁队列的理由。
CloudKey会将每一次KEV新增数据与你的真实资产库存进行追踪,这样你就能在一小时内看到哪些系统需要关注。阅读原始摘要并探索VulnMonitor,详情请见 https://www.cloudkey-tech.com/blog/cve-digest-2026-06-09/。