美国CISA最新收录三大漏洞，涉及谷歌和ChatGPT！

上周五
，美国美国网络安全和基础设施安全局(CISA)在其漏洞(KEV)目录中新增三个安全漏洞，最新具体如下 ：

CVE-2023-28432 (CVSS评分- 7.5)- MinIO信息泄露漏洞CVE-2023-27350 (CVSS评分- 9.8)-剪纸MF/NG不当访问控制漏洞CVE-2023-2136 (CVSS评分-待定)-谷歌Chrome Skia整数溢出漏洞

MinIO的收录维护人员在2023年3月21日发布的一份资讯报告中表示
，在集群部署中，大漏洞涉MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD会还原所有环境变量
 ，及谷导致信息泄露
。歌和

据GreyNoise收集的美国数据显示，在过去的最新30天里 ，香港云服务器来自美国
、收录荷兰、大漏洞涉法国、及谷日本和芬兰等多达18个恶意IP地址试图利用该漏洞。歌和值得注意的美国是，这家威胁情报公司在上月底发布的最新警报文件中指出，OpenAI为开发者提供了一个参考方法
，收录阐述了如何将他们的服务器租用插件集成到ChatGPT上 ，主要是依赖于一个旧版本的MinIO ，而该版本存在CVE-2023-28432的漏洞
。

GreyNoise表示，OpenAI开发的新功能对于那些想在ChatGPT集成中访问不同提供商实时数据的开发人员来说，的免费模板确是一个非常有价值的工具 ，但安全性始终应该是摆在首位的核心设计原则。

此外 ，KEV目录中还添加了一个会致使PaperCut软件远程代码执行错误的漏洞。攻击者可以通过该漏洞实现免身份验证
 ，并直接远程运行任意代码 。云计算

不过截至2023年3月8日，供应商已经修复了该漏洞
，并发布了PaperCut MF和PaperCut NG20.1.7,21.2.11和22.0.9版本。Zero Day Initiative已于2023年1月10日正式报告了该问题 ，并预计将于2023年5月10日发布更多技术细节 。

本周早些时候
，有一家总部位于墨尔本的公司分享了一则最新消息称：有证据表明，在2023年4月18日左右，有攻击者通过漏洞攻击了未打补丁服务器
。网络安全公司北极狼(Arctic Wolf)表示，模板下载此前也发现了一些PaperCut服务器被入侵的情况 。一经入侵
，RMM的工具Synchro MSP会直接在被损害系统上自动加载 。

最后一个被添加至目录的是谷歌Chrome漏洞，该漏洞会直接影响到Skia 2D图形库
，并可以让威胁者通过精心制作的HTML页面执行沙盒逃逸。源码下载

CISA建议美国联邦民事行政部门(FCEB)机构在2023年5月12日之前尽快修复这几个漏洞  ，以确保其网络安全 。

参考链接：https://thehackernews.com/2023/04/cisa-adds-3-actively-exploited-flaws-to.html