美国网络安全和基础设施安全局警告联邦机构，CISA 已将这两个漏洞添加到其“已知被利用漏洞目录”，敦促联邦机构在三周内完成修复。

　　Windows 内核漏洞

　　注：该漏洞追踪编号为 CVE-2024-35250，源于不受信任的指针取消引用漏洞，整个过程不需要用户交互，本地攻击者可以获取系统权限。

　　受影响组件为 Microsoft 内核流服务 ，DEVCORE 研究团队在 Pwn2Own 2024 黑客大赛上利用该漏洞，成功攻破了安装最新更新的 Windows 11 系统。

　　微软已在 2024 年 6 月的补丁星期二发布了修复补丁，漏洞利用的概念验证代码于今年 10 月在 GitHub 上公开。

　　Adobe ColdFusion 漏洞

　　该漏洞追踪编号为 CVE-2024-20767，源于访问控制不当，让未经身份验证的远程攻击者读取系统及其他敏感文件。

　　攻击者可利用暴露在互联网上的 ColdFusion 服务器管理面板绕过安全措施，执行任意文件系统写入操作。

　　Fofa 引擎已追踪到超过 145,000 个暴露在互联网上的 ColdFusion 服务器，但难以确定哪些服务器的管理面板可被远程访问。

　　Adobe 已于 2024 年 3 月发布了修复补丁，但此后多个概念验证漏洞利用代码已在网上公开。