CISA añade una vulnerabilidad conocida explotada al catálogo.
Compartir
Estás leyendo un resumen. El contenido completo está en cisa.gov.
CISA ha agregado una nueva vulnerabilidad a su Catálogo de Vulnerabilidades Conocidas Explotadas (KEV), basada en evidencia de explotación activa. CVE-2026-45659 Vulnerabilidad de Deserialización de Datos No Confiables de Microsoft SharePoint Server. Este tipo de vulnerabilidad es un vector de ataque frecuente para actores cibernéticos maliciosos y plantea riesgos significativos para la empresa federal. La Directiva Operativa Vinculante (BOD) 26-04: Priorización de Actualizaciones de Seguridad Basadas en Riesgo establece requisitos de gestión de vulnerabilidades para las agencias de la Rama Ejecutiva Civil Federal (FCEB). La BOD 26-04 refuerza la importancia del Catálogo KEV y requiere que las agencias federales prioricen la remediación rápida de vulnerabilidades de alto riesgo, específicamente aquellas identificadas por las Vulnerabilidades y Exposiciones Comunes (CVE) listadas en el Catálogo KEV de CISA en activos expuestos públicamente que otorgan control total del activo tras la explotación, mientras se pospone la acción para vulnerabilidades de menor riesgo. La BOD 26-04 también establece expectativas básicas sobre cuándo las agencias deben verificar si los actores de amenaza comprometieron el sistema antes de que se aplicara el parche. Aunque la BOD 26-04 se aplica solo a las agencias FCEB, CISA anima a todas las organizaciones a adoptar una gestión de vulnerabilidades basada en el riesgo y priorizar la remediación de las vulnerabilidades del Catálogo KEV. CISA continuará agregando vulnerabilidades al catálogo que cumplan con los criterios especificados. ¿Conocen una vulnerabilidad explotada que no esté actualmente listada en el Catálogo KEV? Envíenla para una posible adición a través del Formulario de Nominación de KEV de CISA. Las adiciones potenciales al KEV deben tener un ID CVE, evidencia de explotación y orientación clara sobre mitigación.
Enlace externo a cisa.gov
Artículos relacionados
cybersecurity
El ransomware JadePuffer utilizó un agente de IA para automatizar todo el ataque.
cybersecurity
Entidad del gobierno de EE. UU. pagó a Kairos 1 millón de dólares en caso de extorsión por robo de datos.
cybersecurity
