CISA agrega dos vulnerabilidades explotadas conocidas al catálogo.
Compartir
Estás leyendo un resumen. El contenido completo está en cisa.gov.
CISA ha añadido dos nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV), basándose en evidencia de explotación activa. CVE-2026-12569 Vulnerabilidad de Validación de Entrada Incorrecta de PTC Windchill y FlexPLM CVE-2026-20230 Vulnerabilidad de Suplantación de Solicitudes del Lado del Servidor (SSRF) de Cisco Unified Communications Manager. Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal. La Directiva Operativa Vinculante (BOD) 26-04: Priorización de Actualizaciones de Seguridad Basadas en Riesgo establece requisitos de gestión de vulnerabilidades para las agencias de la Rama Ejecutiva Civil Federal (FCEB). BOD 26-04 refuerza la importancia del Catálogo KEV y requiere que las agencias federales prioricen la remediación rápida de vulnerabilidades de alto riesgo, específicamente aquellas identificadas por Vulnerabilidades y Exposiciones Comunes (CVEs) listadas en el Catálogo KEV de CISA en activos expuestos públicamente que otorgan control total del activo después de la explotación, mientras se pospone la acción para vulnerabilidades de menor riesgo. BOD 26-04 también establece expectativas básicas sobre cuándo las agencias deben verificar si los actores de amenazas comprometieron el sistema antes de que se aplicara el parche. Aunque BOD 26-04 se aplica solo a agencias FCEB, CISA alienta a todas las organizaciones a adoptar una gestión de vulnerabilidades basada en riesgos y priorizar la remediación de las vulnerabilidades del Catálogo KEV. CISA seguirá añadiendo vulnerabilidades al catálogo que cumplan con los criterios especificados. ¿Conoce alguna vulnerabilidad explotada que no esté actualmente listada en el Catálogo KEV? Envíela para una posible inclusión a través del Formulario de Nominación KEV de CISA. Las posibles adiciones al KEV deben tener un ID CVE, evidencia de explotación y orientación clara sobre mitigación.
Enlace externo a cisa.gov
Artículos relacionados
cybersecurity
El ransomware JadePuffer utilizó un agente de IA para automatizar todo el ataque.
cybersecurity
Entidad del gobierno de EE. UU. pagó a Kairos 1 millón de dólares en caso de extorsión por robo de datos.
cybersecurity
