美国网络安全和基础设施安全局（CISA）本周发布公告，将两个漏洞列入已知被利用漏洞目录（Known Exploited Vulnerabilities，KEV），包括微软Office一个2009年的旧漏洞，以及HPE风险评分为10.0的漏洞，并敦促联邦政府机构尽快完成修补。

这两个新加入KEV目录的漏洞分别为CVE-2009-0556和CVE-2025-37164。

CVE-2009-0556是微软于2009年修补的PowerPoint代码注入漏洞。攻击者可通过发送伪造的PowerPoint文件，诱使用户打开后触发漏洞。成功利用该漏洞可使攻击者完全控制受害计算机，安装程序、读取、修改或删除数据，甚至创建具有管理员权限的账户。

CVE-2025-37164存在于HPE基础架构管理软件OneView中，允许远程未经身份验证的攻击者执行远程代码，风险等级高达10.0。HPE已于去年12月发布适用于v5.20至v10.20版本的安全热修复补丁，并建议用户升级至已修复的v11.00或更高版本。

HPE当时未说明该漏洞是否已被实际利用，也未回应相关媒体关于攻击是否发生在客户环境中、受影响组织数量或造成的具体后果等问题。

CISA同时发布安全公告BOD 22-01，要求联邦政府机构立即开展环境盘点，并尽快安装补丁程序。