美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中添加了 5 个新漏洞 ，其中包括Adobe Acrobat Reader 中的一个高严重性漏洞 ( CVE-2023-21608 )（CVSS 评分：7.8）。

该漏洞属于释放后使用问题，利用该漏洞，攻击者可以当前用户的权限实现远程代码执行（RCE）。

“Adobe Acrobat Reader 版本 22.003.20282（及更早版本）、22.003.20281（及更早版本）和 20.005.30418（及更早版本）受到 Use After Free 漏洞的影响，该漏洞可能导致在当前用户的上下文中执行任意代码。利用此问题需要用户交互，受害者必须打开恶意文件。”

Adobe于 2023 年 1 月解决了该漏洞，并且可在线获取该问题的 PoC 漏洞利用代码。

CISA 解决的其余问题是：

• CVE-2023-20109  Cisco IOS 和 IOS XE 组加密传输 VPN越界写入漏洞

• CVE-2023-41763  Microsoft Skype for Business 权限升级漏洞

• CVE-2023-36563  Microsoft WordPad 信息泄露漏洞

• CVE-2023-44487  HTTP/2 快速重置攻击漏洞

根据约束性操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中的缺陷的攻击。

专家还建议私人组织审查目录并解决其基础设施中的漏洞。

CISA 命令联邦机构在 2023 年 10 月 31 日之前修复此缺陷。