CISA រាយការណ៍ពីកំហុស Microsoft Office និង HPE OneView ថាកំពុងត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្ម

ទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធសហរដ្ឋអាមេរិក (CISA) កាលពីថ្ងៃពុធ បានបន្ថែមចំណុចខ្វះខាតសុវត្ថិភាពពីរដែលប៉ះពាល់ដល់ Microsoft Office និង Hewlett Packard Enterprise (HPE) OneView ទៅក្នុងកាតាឡុកចំណុចខ្សោយដែលគេស្គាល់ (KEV) របស់ខ្លួន ដោយលើកឡើងពីភស្តុតាងនៃការកេងប្រវ័ញ្ចសកម្ម។

ចំណុចខ្សោយទាំងនេះត្រូវបានរាយខាងក្រោម -

-CVE-2009-0556 (ពិន្ទុ CVSS: 8.8) - ចំណុចខ្សោយចាក់កូដនៅក្នុង Microsoft Office PowerPoint ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយប្រតិបត្តិកូដតាមអំពើចិត្តតាមរយៈការខូចខាតអង្គចងចាំ

-CVE-2025-37164 (ពិន្ទុ CVSS: 10.0) - ចំណុចខ្សោយចាក់កូដនៅក្នុង HPW OneView ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមិនបានផ្ទៀងផ្ទាត់ពីចម្ងាយអនុវត្តការប្រតិបត្តិកូដពីចម្ងាយ

ព័ត៌មានលម្អិតនៃ CVE-2025-37164 បានលេចចេញកាលពីខែមុន នៅពេលដែល HPE បាននិយាយថាចំណុចខ្សោយនេះប៉ះពាល់ដល់កំណែទាំងអស់នៃកម្មវិធីមុនកំណែ 11.00។ ក្រុមហ៊ុនក៏បានផ្តល់ការជួសជុលបន្ទាន់សម្រាប់ OneView កំណែ 5.20 ដល់ 10។

វិសាលភាព និងប្រភពនៃការវាយប្រហារដែលផ្តោតលើចំណុចខ្វះខាតទាំងពីរនេះមិនទាន់ច្បាស់លាស់នៅឡើយទេ ហើយហាក់ដូចជាមិនមានរបាយការណ៍សាធារណៈណាមួយដែលសំដៅទៅលើការកេងប្រវ័ញ្ចរបស់ពួកគេនៅក្នុងធម្មជាតិនោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ របាយការណ៍មួយពី eSentire នៅថ្ងៃទី 23 ខែធ្នូ ឆ្នាំ 2025 បានបង្ហាញពីការបញ្ចេញព័ត៌មានលម្អិតអំពីការកេងប្រវ័ញ្ចភស្តុតាងនៃគំនិត (PoC) សម្រាប់ CVE-2025-37164។

eSentire បាននិយាយថា "ភាពអាចរកបានជាសាធារណៈនៃកូដកេងប្រវ័ញ្ច PoC បង្កើនហានិភ័យយ៉ាងខ្លាំងដល់អង្គការដែលកំពុងដំណើរការកំណែដែលរងផលប៉ះពាល់នៃកម្មវិធី"។ "ដោយសារភាពងាយរងគ្រោះប៉ះពាល់ដល់កំណែទាំងអស់មុន 11.0 អង្គការនានាត្រូវបានណែនាំយ៉ាងខ្លាំងឱ្យអនុវត្តការអាប់ដេតដែលត្រូវការដើម្បីកាត់បន្ថយហានិភ័យដែលអាចកើតមាននៃការកេងប្រវ័ញ្ច"។

យោងតាម ​​Binding Operational Directive (BOD) 22-01 ទីភ្នាក់ងារ Federal Civilian Executive Branch (FCEB) ត្រូវបានណែនាំឱ្យអនុវត្តការជួសជុលចាំបាច់ត្រឹមថ្ងៃទី 28 ខែមករា ឆ្នាំ 2026 ដើម្បីការពារបណ្តាញរបស់ពួកគេពីការគំរាមកំហែងសកម្ម។