A CISA két ismert, kihasznált sebezhetőséget ad hozzá a katalógushoz.
Megosztás
Összefoglalót olvas. A teljes tartalom itt érhető el: cisa.gov.
A CISA két új sebezhetőséget adott hozzá a Megismert Exploited Vulnerabilities (KEV) Katalógusához, aktív kihasználásra vonatkozó bizonyítékok alapján. CVE-2026-12569 PTC Windchill és FlexPLM Helytelen Bemenet Érvényesítési Sebezhetőség CVE-2026-20230 Cisco Unified Communications Manager Szerveroldali Kérések Hamisítvány (SSRF) Sebezhetőség. Ezek a sebezhetőségek gyakori támadási pontot jelentenek a rosszindulatú kibertériszok számára, és jelentős kockázatot jelentenek a szövetségi vállalatok számára. A Binding Operational Directive (BOD) 26-04: A biztonsági frissítések kockázat alapú prioritásának megállapítása sebezhetőségkezelési követelményeket határoz meg a Szövetségi Polgári Végrehajtó Ág (FCEB) ügynökségek számára. A BOD 26-04 megerősíti a KEV Katalógus fontosságát, és megköveteli a szövetségi ügynökségektől, hogy gyorsan orvosolják a magas kockázatú sebezhetőségeket, különösen azokat, amelyeket a Common Vulnerabilities and Exposures (CVE) azonosít, amelyeket a CISA KEV Katalógusában találunk nyilvánosan hozzáférhető eszközökön, amelyeket a teljes kontroll biztosít a kihasználás után. A BOD 26-04 további alapvető elvárásokat is megállapít az ügynökségek számára arra vonatkozóan, hogy mikor kell ellenőrizniük, hogy a fenyegető szereplők megsértették-e a rendszert, mielőtt a javítást alkalmazták. Habár a BOD 26-04 csak a FCEB ügynökségekre vonatkozik, a CISA arra ösztönzi az összes szervezetet, hogy alkalmazzon kockázat alapú sebezhetőségkezelést, és prioritást adjon a KEV Katalógus sebezhetőségeinek orvoslásának. A CISA folytatni fogja a sebezhetőségek hozzáadását a katalógushoz, amelyek megfelelnek a megadott kritériumoknak. Tud egy kihasznált sebezhetőségről, amely jelenleg nem szerepel a KEV Katalógusban? Küldje el a CISA KEV Jelölési űrlapján keresztül, hogy potenciálisan hozzáadják. A potenciális KEV hozzáadásoknak rendelkezniük kell CVE azonosítóval, kihasználásra vonatkozó bizonyítékkal és egyértelmű enyhítési iránymutatással.
Külső link: cisa.gov
Kapcsolódó cikkek
cybersecurity
A JadePuffer zsarolóvírus mesterséges intelligencia ügynököt használt az egész támadás automatizálására.
cybersecurity
Az Egyesült Államok kormánya 1 millió dollárt fizetett a Kairosnak adatlopási zsarolási ügyben.
cybersecurity
