上週美國網路安全暨基礎設施安全局（CISA）將3項已知漏洞列入已被用於攻擊行動的漏洞列表（KEV），並要求聯邦機構要在7月17日前完成修補。

這些漏洞分別是：地理位置資訊伺服器GeoServer重大層級程式碼注入漏洞CVE-2022-24816、Linux核心的記憶體釋放後又再存取使用（Use After Free，UAF）漏洞CVE-2022-2586，以及郵件伺服器Roundcube跨網站指令碼（XSS）漏洞CVE-2020-13965，CVSS風險評分為9.8、7.8、6.1。

根據CVSS評分，最嚴重的漏洞是CVE-2022-24816，這項漏洞發生的原因在於，GeoServer採用的開源元件JAI-EXT當中。一旦此應用系統使用jt-jiffle，並允許透過網際網路取得Jiffle指令碼，就有機會導致攻擊者能遠端執行程式碼。2022年4月開發團隊發布1.2.22版GeoServer予以修補，同年8月有研究人員公布相關細節，以及概念性驗證（PoC）攻擊程式碼。

評為高風險層級的Linux核心缺陷CVE-2022-2586，是發生在nft資料表（NF_Tables）的記憶體釋放後又再存取使用漏洞，而有可能被攻擊者用於提升權限。由於nft物件或表示式可以引用不同的nft資料表上的nft資料集，一旦該資料表被刪除，就會觸發漏洞。這項漏洞是在2022年5月舉行的漏洞挖掘競賽Pwn2Own Vancouver揭露，Linux基金會於同年8月予以修補。

第三個是公布長達4年的漏洞CVE-2020-13965，攻擊者可寄送惡意的XML附件，而在收信人預覽附件的時候觸發，使得攻擊者能繞過系統的指令碼過濾器並執行任意JavaScript程式碼，開發團隊2020年6月發布新版軟體修補。