维度网讯，美国网络安全与基础设施安全局（CISA）已将影响 SolarWinds Serv-U 多协议文件服务器软件的一个高严重性漏洞列入其已知被利用漏洞（KEV）目录，原因是已有主动利用证据。

该漏洞编号为 CVE-2026-28318，CVSS 得分 7.5，属于拒绝服务（DoS）缺陷，会在特定条件下导致服务崩溃。CISA 将其定性为不受控制的资源消耗漏洞，可引发 DoS 状况。

据 SolarWinds 本周早些时候发布的公告，Serv-U 面临特制 POST 请求的攻击风险。这些请求带有 Content-Encoding: deflate，攻击者无需身份验证即可使 Serv-U 服务崩溃。

目前该问题已在 SolarWinds Serv-U 版本 15.5.4 HF1 中得到修复。作为缓解措施，该公司建议限制对已知地址的访问，并拦截任何包含“content-encoding”的请求，因为易受攻击的服务并不需要该功能。

尚不明确该漏洞在真实攻击中如何被利用，也未知攻击者身份。不清楚有多少暴露在互联网上的 Serv-U 实例受到影响。

CISA 要求联邦民事行政部门（FCEB）机构在 2026 年 6 月 19 日前完成修复。历史上，Serv-U 的多个漏洞曾遭恶意行为者利用，其中涉及 Cl0p 勒索软件团伙。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com