美国网络安全与基础设施安全局（CISA）已将两个关键安全漏洞添加到其已知被利用漏洞（KEV）目录中，称有证据表明这些漏洞在现实中已被积极利用。这两个漏洞编号分别为 CVE-2025-0111 和 CVE-2025-23209，对使用 Palo Alto Networks 的 PAN-OS 防火墙软件以及 Craft CMS的机构构成了重大风险。

CVE-2025-0111：PAN-OS 已认证文件读取漏洞

在 Palo Alto Networks 的 PAN-OS 中发现的一个新安全漏洞，编号为 CVE-2025-0111。该漏洞使得已通过认证且能访问防火墙管理 Web 界面的攻击者，能够读取系统中 “nonody” 用户可读取的文件。虽然该漏洞最初于 2025 年 2 月 12 日得到修复，但 Palo Alto Networks 随后更新了其安全公告，警告称攻击者正在积极地将 CVE-2025-0111 与另外两个漏洞（CVE-2025-0108 和 CVE-2024-9474）结合起来，在持续的网络攻击中利用 PAN-OS 防火墙。

CVE-2025-23209：Craft CMS 远程代码执行（RCE）漏洞

Craft 是一款广泛使用的内容管理系统（CMS），旨在创建数字体验，现已发现它存在一个编号为 CVE-2025-23209 的远程代码执行（RCE）漏洞。该漏洞影响已安装的 Craft 4 和 Craft 5 版本，且这些版本的安全密钥已遭泄露。利用此漏洞的攻击者可以在受影响的系统上执行任意代码，这可能会导致未经授权的访问以及系统被接管。

该漏洞已在 Craft 5.5.8 和 4.13.8 版本中得到修复。无法立即升级到已修复版本的用户，建议轮换其安全密钥并实施严格的访问控制措施，以降低风险。

实施补丁的紧迫性

鉴于这些漏洞正被积极利用，美国网络安全与基础设施安全局（CISA）已要求所有联邦民用行政部门（FCEB）机构在 2025 年 3 月 13 日前应用必要的补丁。