CISA ha agregado siete nuevas vulnerabilidades a su **Catálogo de Vulnerabilidades Explotadas Conocidas (KEV)**, basándose en evidencia de explotación activa. Esta actualización subraya la importancia de una gestión proactiva de vulnerabilidades para todas las organizaciones. Aquí un desglose de las vulnerabilidades recién añadidas: * **CVE-2012-1854**: Vulnerabilidad de Carga Insegura de Librerías en Microsoft Visual Basic for Applications * **CVE-2020-9715**: Vulnerabilidad Use-After-Free en Adobe Acrobat * **CVE-2023-21529**: Vulnerabilidad de Deserialización de Datos No Confiables en Microsoft Exchange Server * **CVE-2023-36424**: Vulnerabilidad de Lectura Fuera de Límites en Microsoft Windows * **CVE-2025-60710**: Vulnerabilidad de Seguimiento de Enlaces en Microsoft Windows * **CVE-2026-21643**: Vulnerabilidad de Inyección SQL en Fortinet * **CVE-2026-34621**: Vulnerabilidad de Contaminación de Prototipos en Adobe Acrobat y Reader ### El Catálogo KEV y la Directiva Operacional Vinculante (BOD) 22-01 El Catálogo KEV se mantiene bajo la **Directiva Operacional Vinculante (BOD) 22-01**, que exige a las agencias del Poder Ejecutivo Civil Federal (FCEB) mitigar las vulnerabilidades listadas antes de fechas límite específicas. Esta directiva tiene como objetivo proteger las redes de la FCEB de amenazas activas abordando Vulnerabilidades y Exposiciones Comunes (CVEs) que se sabe que son explotadas en la naturaleza. Si bien la BOD 22-01 es aplicable específicamente a las agencias de la FCEB, CISA recomienda encarecidamente a *todas* las organizaciones que prioricen la mitigación de las vulnerabilidades del Catálogo KEV. Este enfoque proactivo es crucial para reducir la exposición a ciberataques y mantener una postura de seguridad robusta. CISA continuará actualizando el Catálogo KEV con vulnerabilidades que cumplan sus criterios especificados, asegurando que las organizaciones tengan acceso a inteligencia de amenazas oportuna y procesable.