上周美国网络安全暨基础设施安全局（CISA）将3项已知漏洞列入已被用于攻击行动的漏洞列表（KEV），并要求联邦机构要在7月17日前完成修补。

这些漏洞分别是：地理位置信息服务器GeoServer重大层级代码注入漏洞CVE-2022-24816、Linux内核的内存释放后又再存取使用（Use After Free，UAF）漏洞CVE-2022-2586，以及邮件服务器Roundcube跨网站脚本（XSS）漏洞CVE-2020-13965，CVSS风险评分为9.8、7.8、6.1。

根据CVSS评分，最严重的漏洞是CVE-2022-24816，这项漏洞发生的原因在于，GeoServer采用的开源组件JAI-EXT当中。一旦此应用系统使用jt-jiffle，并允许通过互联网取得Jiffle脚本，就有机会导致攻击者能远程运行代码。2022年4月开发团队发布1.2.22版GeoServer予以修补，同年8月有研究人员公布相关细节，以及概念性验证（PoC）攻击代码。

评为高风险层级的Linux内核缺陷CVE-2022-2586，是发生在nft数据表（NF_Tables）的内存释放后又再存取使用漏洞，而有可能被攻击者用于提升权限。由于nft对象或表达式可以引用不同的nft数据表上的nft数据集，一旦该数据表被删除，就会触发漏洞。这项漏洞是在2022年5月举行的漏洞挖掘竞赛Pwn2Own Vancouver揭露，Linux基金会于同年8月予以修补。

第三个是公布长达4年的漏洞CVE-2020-13965，攻击者可寄送恶意的XML附件，而在收信人预览附件的时候触发，使得攻击者能绕过系统的脚本过滤器并运行任意JavaScript代码，开发团队2020年6月发布新版软件修补。