5月23日美国网络安全暨基础设施安全局（CISA）将开源数据处理框架Apache Flink漏洞CVE-2020-17519，列入已被利用的漏洞名单（KEV），并要求联邦机构于6月13日前完成修补。

这项漏洞源自于1.11.0版Flink导入的变更，攻击者可借由JobManager处理进程的REST界面，在本机的文件系统读取任意文件，CVSS风险评为7.5分，IT人员应升级1.11.3或1.12.0以上的版本来缓解漏洞。

虽然CISA并未透露有关漏洞被利用的相关细节，无从得知攻击者的身分及目的，但值得留意的是，Apache基金会于2021年1月公告、修补这项漏洞，相关信息已被公布超过3年，也有研究人员公布概念性验证的攻击代码，这代表攻击者相关利用漏洞不需自行从头研究，后续可能有更多攻击者加入尝试利用漏洞的行列。