CISA agrega una vulnerabilidad explotada conocida al catálogo.
Compartir
Estás leyendo un resumen. El contenido completo está en cisa.gov.
CISA ha añadido una nueva vulnerabilidad a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV), basada en evidencia de explotación activa. CVE-2026-48558 Vulnerabilidad de Bypass de Autenticación de SimpleHelp. Este tipo de vulnerabilidad es un vector de ataque frecuente para actores cibernéticos maliciosos y representa riesgos significativos para la empresa federal. La Directiva Operativa Vinculante (BOD) 26-04: Priorización de Actualizaciones de Seguridad Basadas en el Riesgo establece requisitos de gestión de vulnerabilidades para las agencias de la Rama Ejecutiva Civil Federal (FCEB). La BOD 26-04 refuerza la importancia del Catálogo KEV y requiere que las agencias federales prioricen la rápida remediación de vulnerabilidades de alto riesgo, específicamente aquellas identificadas por Vulnerabilidades y Exposiciones Comunes (CVEs) listadas en el Catálogo KEV de CISA en activos expuestos al público que otorgan control total del activo tras la explotación, mientras se pospone la acción para vulnerabilidades de menor riesgo. La BOD 26-04 también establece expectativas básicas sobre cuándo las agencias deben verificar si los actores de amenazas han comprometido el sistema antes de que se aplicara el parche. Aunque la BOD 26-04 se aplica solo a las agencias FCEB, CISA anima a todas las organizaciones a adoptar una gestión de vulnerabilidades basada en el riesgo y priorizar la remediación de las vulnerabilidades del Catálogo KEV. CISA seguirá añadiendo vulnerabilidades al catálogo que cumplan los criterios especificados. ¿Conoces una vulnerabilidad explotada que actualmente no esté listada en el Catálogo KEV? Sométela para una posible adición a través del Formulario de Nominación KEV de CISA. Las adiciones potenciales al KEV deben tener un ID de CVE, evidencia de explotación y orientación clara para la mitigación.
Enlace externo a cisa.gov
Artículos relacionados
cybersecurity
El ransomware JadePuffer utilizó un agente de IA para automatizar todo el ataque.
cybersecurity
Entidad del gobierno de EE. UU. pagó a Kairos 1 millón de dólares en caso de extorsión por robo de datos.
cybersecurity
