Die CISA hat sieben neue Schwachstellen zu ihrem **Katalog bekannter ausgenutzter Schwachstellen (KEV)** hinzugefügt, basierend auf Beweisen für aktive Ausnutzung. Dieses Update unterstreicht die Bedeutung eines proaktiven Schwachstellenmanagements für alle Organisationen. Hier ist eine Aufschlüsselung der neu hinzugefügten Schwachstellen: * **CVE-2012-1854**: **Microsoft** Visual Basic for Applications Insecure Library Loading Vulnerability * **CVE-2020-9715**: **Adobe** Acrobat Use-After-Free Vulnerability * **CVE-2023-21529**: **Microsoft** Exchange Server Deserialization of Untrusted Data Vulnerability * **CVE-2023-36424**: **Microsoft** Windows Out-of-Bounds Read Vulnerability * **CVE-2025-60710**: **Microsoft** Windows Link Following Vulnerability * **CVE-2026-21643**: **Fortinet** SQL Injection Vulnerability * **CVE-2026-34621**: **Adobe** Acrobat and Reader Prototype Pollution Vulnerability ### Der KEV-Katalog und BOD 22-01 Der KEV-Katalog wird gemäß der **Binding Operational Directive (BOD) 22-01** gepflegt, die Bundesbehörden der Exekutive (Federal Civilian Executive Branch, FCEB) verpflichtet, die aufgeführten Schwachstellen bis zu bestimmten Fristen zu beheben. Diese Richtlinie zielt darauf ab, FCEB-Netzwerke vor aktiven Bedrohungen zu schützen, indem bekannte und in freier Wildbahn ausgenutzte Schwachstellen (Common Vulnerabilities and Exposures, CVEs) angegangen werden. Obwohl BOD 22-01 speziell für FCEB-Behörden gilt, rät die CISA *allen* Organisationen dringend, die Behebung von Schwachstellen im KEV-Katalog zu priorisieren. Dieser proaktive Ansatz ist entscheidend, um die Anfälligkeit für Cyberangriffe zu reduzieren und eine robuste Sicherheitslage aufrechtzuerhalten. Die CISA wird den KEV-Katalog weiterhin mit Schwachstellen aktualisieren, die ihre spezifischen Kriterien erfüllen, um sicherzustellen, dass Organisationen Zugang zu zeitnahen und umsetzbaren Bedrohungsinformationen haben.