美國CISA 緊急示警：五個企業軟體漏洞已被實際攻擊利用，涵蓋 VMware vCenter、Zimbra 等關鍵系統

美國網路安全暨基礎設施安全局（CISA）於上週將五個影響企業關鍵軟體的資安漏洞納入「已知遭利用漏洞目錄」（KEV），證實這些漏洞已被實際攻擊利用。受影響產品涵蓋 VMware vCenter Server、Zimbra 協作套件、Versa Concerto SD-WAN 平台、Vite 前端開發框架，以及 eslint-config-prettier 套件。依據約束性作業指令（BOD 22-01），聯邦民事行政機關（FCEB）須於 2026 年 2 月 12 日至 13 日前完成修補，以確保網路安全。

五個漏洞影響範圍與風險等級

此次納入 KEV 目錄的漏洞涵蓋多種攻擊類型，從遠端程式碼執行、身分驗證繞過到供應鏈攻擊皆有涉及，影響層面廣泛。

CVE-2024-37079 為本次揭露中風險最高的漏洞，CVSS 評分達 9.8 分（重大等級）。該漏洞存在於 VMware vCenter Server 的 DCE/RPC 協定實作中，屬於堆積溢位（Heap Overflow）弱點。攻擊者可透過特製的網路封包，在無需身分驗證的情況下達成遠端程式碼執行（RCE）。此漏洞由奇安信盤古實驗室研究員鄭豪與李子博發現並通報，兩人於 2025 年 4 月的 Black Hat Asia 資安研討會上揭露技術細節。研究指出，該漏洞可與權限提升漏洞 CVE-2024-38813 串聯利用，最終取得 ESXi 主機的未授權 root 存取權限。Broadcom 已於 2024 年 6 月修補此漏洞，並於近期更新公告正式確認該漏洞已被實際攻擊利用。

CVE-2025-34026 影響 Versa Concerto SD-WAN 協調平台，CVSS 評分 9.2 分（重大等級）。該漏洞源於 Traefik 反向代理的配置錯誤，導致攻擊者可繞過身分驗證，存取管理端點與內部 Actuator 端點，進而取得堆積傾印（Heap Dump）與追蹤日誌等敏感資訊。受影響版本為 Concerto 12.1.2 至 12.2.0，其他版本亦可能受到影響。資安業者 ProjectDiscovery 於 2025 年 2 月 13 日向 Versa 通報此問題，Versa 已於 3 月 7 日完成修補，並於 4 月釋出 12.2.1 GA 版本。

CVE-2025-68645 為 Zimbra Collaboration Suite 10.0 與 10.1 版本中的任意檔案讀取（Arbitrary File Read）漏洞，CVSS 評分 8.8 分（高風險等級）。該漏洞於 2025 年 12 月 22 日公開揭露，存在於 Webmail Classic UI 的 RestFilter servlet 中。由於對使用者輸入參數的處理不當，未經驗證的攻擊者可透過 /h/rest 端點，任意讀取 WebRoot 目錄下的檔案。根據資安業者 CrowdSec 的觀測，針對此漏洞的攻擊活動自 2026 年 1 月 14 日起已持續進行。Zimbra 已於 2025 年 11 月釋出 10.1.13 版本修補此問題。

CVE-2025-31125 影響前端開發工具 Vite，CVSS 評分 5.3 分（中風險等級）。該漏洞為存取控制不當問題，於 2025 年 3 月公開揭露。當開發伺服器明確暴露於網路時，攻擊者可透過 ?inline&import 或 ?raw?import 等查詢參數取得非授權檔案內容。此漏洞僅影響暴露於網路的開發環境，已於 2025 年 3 月修補，修補版本包括 6.2.4、6.1.3、6.0.13、5.4.16 及 4.5.11。

CVE-2025-54313 為供應鏈攻擊事件，CVSS 評分 7.5 分（高風險等級）。2025 年 7 月，駭客透過釣魚攻擊鎖定多個 npm 套件維護者，以「驗證電子郵件地址」為由騙取其登入憑證，隨後於 eslint-config-prettier、eslint-plugin-prettier、synckit、@pkgr/core、napi-postinstall、got-fetch 及 is 等七個套件中植入惡意程式。受害版本（8.10.1、9.1.1、10.1.6、10.1.7）安裝後會執行惡意 install.js 腳本，於 Windows 系統上載入名為 Scavenger Loader 的惡意 DLL，竊取 npm 驗證權杖與其他敏感資訊。

攻擊細節尚未公開，勒索軟體關聯性待釐清

CISA 目前尚未公布這些漏洞遭利用的具體攻擊細節，包括攻擊者身分、攻擊規模與受害範圍等資訊均未揭露。此外，這些漏洞是否已被用於勒索軟體攻擊，CISA 標註為「未知」狀態，顯示相關調查仍在進行中。

鑑於受影響產品在企業環境中的普及程度，資安專家建議組織應立即盤點自身環境，確認是否使用受影響版本，並依據風險等級優先完成修補或採取供應商建議的緩解措施。

針對 VMware vCenter Server 與 Versa Concerto 等關鍵基礎設施元件，由於 CVSS 評分均超過 9.0 且可能導致系統完全遭接管，建議列為最優先處理項目。使用 Zimbra 郵件系統的組織應儘速升級至 10.1.13 或更新版本，並檢視系統日誌是否有針對 /h/rest 端點的異常存取紀錄。開發團隊則應檢視專案相依套件，確認是否安裝受污染的 npm 套件版本，並考慮導入相依套件安全掃描工具強化供應鏈安全管理。