5月30日美国网路安全暨基础设施安全局（CISA）发布资安公告，他们在已遭利用的漏洞目录（KEV）当中新增两个漏洞，分别是Check Point近期修补的安全闸道设备资讯洩露漏洞CVE-2024-24919，以及Linux核心元件记忆体释放后再重新利用（Use After Free）的漏洞CVE-2024-1086，CVSS风险评分为8.6、7.8。CISA要求所有的联邦机构，必须在6月20前完成修补。

其中，较为引起关注的漏洞，是今年1月Linux基金会修补的CVE-2024-1086，这项漏洞存在于Linux核心5.14至6.6.14版，攻击者假如能够趁机取得一般使用者权限，再触发漏洞，就有机会取得root权限。

而这项漏洞发生的原因，在于Linux核心的netfilter元件里，处理网路封包、资料封包的nftables出现记忆体双重释放（double-free）的弱点，有可能导致当机，或是让攻击者执行任意程序码，研究人员Notselwyn在4月初公布细节及概念性验证程序码（PoC），并将其命名为「Flipping Pages」，当时，尚未发现这项漏洞遭到利用的迹象。

虽然CISA并未公布这项漏洞遭到利用的情形，也没有透露攻击者如何进行漏洞利用，但有鉴于Debian、Ubuntu、Red Hat、Fedora等版本的Linux作业系统都会受到影响，用户后应儘速套用Linux供应商提供的新版软件因应。