CISA 将四个漏洞列入 KEV 涉及 Zimbra Versa Vite eslint

四个漏洞为何成为 KEV 收录的对象？涉及的 Zimbra Vers a Vite eslint 等软件为何风险突出？当前有哪些修复版本已发布，利用态势有何变化？联邦机构为何要求在 2026 年 2 月前完成修复？这背后是否隐藏更广的供应链威胁与木马风险？业内人士需要如何应对以降低潜在损失？

美国网络安全与基础设施安全局（CISA）周四将四个已知被利用漏洞（KEV）正式收录在目录中，理由是已有证据表明这些漏洞在野外被主动利用。涉及的软件及要点如下：CVE-2025-68645 出现在 Synacor Zimbra Collaboration Suite（ZCS）中，为 PHP 远程文件包含漏洞，攻击者可在未认证的情况下向 /h/rest 端点发起请求从 WebRoot 目录窃取任意文件，已在 2025 年 11 月发布的版本 10.1.13 中修复。CVE-2025-34026 出现在 Versa Concerto SD-WAN 编排平台，存在身份认证绕过，攻击者可直接访问管理端点，已在 2025 年 4 月的版本 12.2.1 GA 中修复。CVE-2025-31125 出现在 Vite/Vitejs，存在不当的访问控制漏洞，攻击者可通过 ?inline&import 或 ?raw?import 将任意文件内容返回浏览器，已在 2025 年 3 月的多版本中修复，覆盖 6.2.4、6.1.3、6.0.13、5.4.16 与 4.5.11。CVE-2025-54313 为 eslint-config-prettier 的嵌入式恶意代码漏洞，可能执行名为 Scavenger Loader 的恶意 DLL，用于窃取信息。

此外，CVE-2025-54313 还指向对 eslint-config-prettier 及另外六个 npm 包的供应链攻击，涉及 eslint-plugin-prettier、synckit、@pkgr/core、napi-postinstall、got-fetch，以及 is 包，于 2025 年 7 月曝光。钓鱼活动曾针对包维护者，发送伪造链接以窃取凭证，进而发布带木马的版本。CrowdSec 数据显示，对 CVE-2025-68645 的利用行动自 2026 年 1 月 14 日起持续，目前尚无关于其他漏洞在野外被利用的公开细节。

按照绑定运营指令（BOD）22-01，联邦民用行政分支机构（FCEB）需在 2026 年 2 月 12 日前完成必要修复，以降低正在进行的威胁。重要的是，供应链相关的恶意活动提醒各方加强对依赖包的信任与管控。

截至目前，针对 CVE-2025-68645 的利用已在全球范围持续活跃，显示出对企业邮件、存储及用户端应用的高风险攻击向度。其他三起漏洞虽尚无公开的野外利用细节，但其风险级别与潜在影响不容忽视，相关厂商已陆续发布修复版本并建议尽早升级。政府与企业均需结合自身资产组合，优先处理受影响的软件栈中的核心组件与依赖链。对供应链攻击的防范更应从包管理、版本锁定与源头信誉评估等多维度着手。

专家建议尽快应用厂商提供的补丁，特别是 Zimbra、Versa Concerto、Vite 与 eslint-config-prettier 及相关生态包的最新版本。同时应加强对依赖链的监控与 SBOM（软件物料清单）的管理，审慎评估第三方依赖的信任度与更新频率。对于钓鱼邮件攻击，应强化邮件网关检测、员工教育与多因素认证，减小凭证被窃取后的二次利用风险。政府机构与企业在遵循 BOD 22-01 的同时，应建立定期的漏洞评估与应急响应演练，确保快速隔离与修复。

此次公布的多起漏洞涉及广泛的软件生态与供应链关系，尤其是 eslint-config-prettier 及相关 npm 包的关联攻击，凸显了现代软件开发中供应链安全的脆弱性。2025 年 7 月的公开披露揭示了针对包维护者的钓鱼策略及其潜在的影响力，提示开发团队在升级与发布时需更加严格地验证来源与变更记录。