## CISA Actualiza el Catálogo KEV con Vulnerabilidades Explotadas Activamente **CISA** ha actualizado su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) con cuatro nuevas entradas, destacando la necesidad urgente de que las organizaciones apliquen parches a estas fallas. Las adiciones se basan en evidencia de explotación activa, lo que las convierte en objetivos principales para los actores maliciosos. ### Nuevas Vulnerabilidades Agregadas: * **CVE-2024-7399**: Vulnerabilidad de Recorrido de Directorios (Path Traversal) en Samsung MagicINFO 9 Server. Esta vulnerabilidad permite a los atacantes acceder a archivos y directorios no autorizados en el servidor. * **CVE-2024-57726**: Vulnerabilidad de Falta de Autorización en SimpleHelp. Esta falla podría permitir el acceso no autorizado a los sistemas de **SimpleHelp**. * **CVE-2024-57728**: Vulnerabilidad de Recorrido de Directorios (Path Traversal) en SimpleHelp. Similar a la vulnerabilidad de **Samsung**, esta permite a los atacantes navegar y acceder a archivos sensibles. * **CVE-2025-29635**: Vulnerabilidad de Inyección de Comandos (Command Injection) en D-Link DIR-823X. Esto permite a los atacantes ejecutar comandos arbitrarios en el router **D-Link** afectado. ### La Importancia del Catálogo KEV El Catálogo KEV se mantiene bajo la **Directiva Operacional Vinculante (BOD) 22-01**: Reducción del Riesgo Significativo de Vulnerabilidades Explotadas Conocidas. Esta directiva exige que las agencias del Poder Ejecutivo Federal Civil (FCEB) remedien las vulnerabilidades enumeradas en el catálogo antes de las fechas de vencimiento especificadas. El objetivo es proteger las redes de la FCEB de amenazas activas abordando las vulnerabilidades conocidas y explotadas. Si bien la **BOD 22-01** es específicamente aplicable a las agencias de la FCEB, **CISA** aconseja encarecidamente a *todas* las organizaciones que prioricen la remediación oportuna de las vulnerabilidades del Catálogo KEV. Integrar esta práctica en los programas de gestión de vulnerabilidades es crucial para reducir la exposición a ciberataques. **CISA** actualiza continuamente el Catálogo KEV con vulnerabilidades que cumplen criterios específicos, lo que lo convierte en un recurso vital para los profesionales de la ciberseguridad.