La **Agencia de Ciberseguridad e Infraestructura (CISA)** ha añadido siete nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), basándose en evidencia de explotación activa. Estas vulnerabilidades son vectores de ataque frecuentes para actores maliciosos de ciberseguridad y representan riesgos significativos para las organizaciones. ### Nuevas Vulnerabilidades Añadidas: * **CVE-2008-4250**: Vulnerabilidad de Desbordamiento de Búfer en **Microsoft Windows** * **CVE-2009-1537**: Vulnerabilidad de Sobrescritura de Byte Nulo en **Microsoft DirectX** * **CVE-2009-3459**: Vulnerabilidad de Desbordamiento de Búfer Basado en Heap en **Adobe Acrobat** y Reader * **CVE-2010-0249**: Vulnerabilidad de Uso Después de Liberación en **Microsoft Internet Explorer** * **CVE-2010-0806**: Vulnerabilidad de Uso Después de Liberación en **Microsoft Internet Explorer** * **CVE-2026-41091**: Vulnerabilidad de Elevación de Privilegios en **Microsoft Defender** * **CVE-2026-45498**: Vulnerabilidad de Denegación de Servicio en **Microsoft Defender** ### BOD 22-01 y Remediación La Directiva Operacional Vinculante (BOD) 22-01: Reducción del Riesgo Significativo de Vulnerabilidades Explotadas Conocidas estableció el Catálogo KEV como una lista dinámica de Vulnerabilidades y Exposiciones Comunes (CVEs) conocidas que conllevan un riesgo significativo. La BOD 22-01 exige a las agencias del Poder Ejecutivo Civil Federal (FCEB) que remedien las vulnerabilidades identificadas antes de la fecha de vencimiento para proteger las redes de la FCEB contra amenazas activas. [Hoja Informativa de la BOD 22-01](https://www.cisa.gov/sites/default/files/publications/Reducing_the_Significant_Risk_of_Known_Exploited_Vulnerabilities_211103.pdf) para más información. ### Recomendación Aunque la BOD 22-01 solo se aplica a las agencias de la FCEB, CISA insta encarecidamente a todas las organizaciones a reducir su exposición a ciberataques priorizando la remediación oportuna de las vulnerabilidades del Catálogo KEV como parte de su práctica de gestión de vulnerabilidades. CISA continuará añadiendo vulnerabilidades al catálogo que cumplan los criterios especificados.