cybersecurity

CISA agrega cuatro vulnerabilidades explotadas conocidas al catálogo.

Fuente: cisa.gov 2 min de lectura

Compartir

CISA agrega cuatro vulnerabilidades explotadas conocidas al catálogo.

Estás leyendo un resumen. El contenido completo está en cisa.gov.

CISA ha añadido cuatro nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV), basándose en evidencia de explotación activa. CVE-2025-67038 Vulnerabilidad de Inyección de Código de Lantronix EDS5000 CVE-2026-34908 Vulnerabilidad de Control de Acceso Inadecuado de Ubiquiti UniFi OS CVE-2026-34909 Vulnerabilidad de Traversal de Ruta de Ubiquiti UniFi OS CVE-2026-34910 Vulnerabilidad de Validación de Entrada Inadecuada de Ubiquiti UniFi OS Estos tipos de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal. La Directiva Operativa Vinculante (BOD) 26-04: Priorización de Actualizaciones de Seguridad Basadas en Riesgo establece requisitos de gestión de vulnerabilidades para las agencias de la Rama Ejecutiva Civil Federal (FCEB). La BOD 26-04 refuerza la importancia del Catálogo KEV y requiere que las agencias federales prioricen la remediación rápida de vulnerabilidades de alto riesgo, específicamente aquellas identificadas por Vulnerabilidades y Exposiciones Comunes (CVEs) listadas en el Catálogo KEV de CISA en activos expuestos públicamente que conceden control total del activo tras la explotación, mientras se pospone la acción para vulnerabilidades de menor riesgo. La BOD 26-04 también establece expectativas básicas sobre cuándo las agencias deben verificar si los actores de amenaza comprometieron el sistema antes de que se aplicara el parche. Si bien la BOD 26-04 se aplica solo a las agencias de FCEB, CISA fomenta que todas las organizaciones adopten una gestión de vulnerabilidades basada en riesgos y prioricen la remediación de las vulnerabilidades del Catálogo KEV. CISA continuará añadiendo vulnerabilidades al catálogo que cumplan con los criterios especificados. ¿Conoce una vulnerabilidad explotada que actualmente no está listada en el Catálogo KEV? Envíela para posible inclusión a través del Formulario de Nominación KEV de CISA. Las posibles adiciones al KEV deben tener una ID de CVE, evidencia de explotación y orientación clara de mitigación.

Artículos relacionados