## La CISA met à jour son catalogue KEV avec des vulnérabilités activement exploitées La **CISA** a mis à jour son catalogue des vulnérabilités connues et exploitées (KEV) avec quatre nouvelles entrées, soulignant le besoin urgent pour les organisations de corriger ces failles. Les ajouts sont basés sur des preuves d'exploitation active, ce qui en fait des cibles de choix pour les acteurs malveillants. ### Nouvelles vulnérabilités ajoutées : * **CVE-2024-7399** : Vulnérabilité de traversée de répertoire (Path Traversal) sur le serveur MagicINFO 9 de **Samsung**. Cette vulnérabilité permet aux attaquants d'accéder à des fichiers et répertoires non autorisés sur le serveur. * **CVE-2024-57726** : Vulnérabilité d'autorisation manquante (Missing Authorization) sur **SimpleHelp**. Cette faille pourrait permettre un accès non autorisé aux systèmes **SimpleHelp**. * **CVE-2024-57728** : Vulnérabilité de traversée de répertoire (Path Traversal) sur **SimpleHelp**. Similaire à la vulnérabilité **Samsung**, celle-ci permet aux attaquants de naviguer et d'accéder à des fichiers sensibles. * **CVE-2025-29635** : Vulnérabilité d'injection de commande (Command Injection) sur le DIR-823X de **D-Link**. Celle-ci permet aux attaquants d'exécuter des commandes arbitraires sur le routeur **D-Link** affecté. ### L'importance du catalogue KEV Le catalogue KEV est maintenu dans le cadre de la **Directive Opérationnelle Contraignante (BOD) 22-01** : Réduction du risque important des vulnérabilités connues et exploitées. Cette directive impose aux agences du pouvoir exécutif fédéral civil (FCEB) de remédier aux vulnérabilités listées dans le catalogue avant les dates d'échéance spécifiées. L'objectif est de protéger les réseaux FCEB contre les menaces actives en traitant les vulnérabilités connues et exploitées. Bien que la **BOD 22-01** s'applique spécifiquement aux agences FCEB, la **CISA** conseille vivement à *toutes* les organisations de prioriser la remédiation rapide des vulnérabilités du catalogue KEV. L'intégration de cette pratique dans les programmes de gestion des vulnérabilités est cruciale pour réduire l'exposition aux cyberattaques. La **CISA** met continuellement à jour le catalogue KEV avec des vulnérabilités qui répondent à des critères spécifiés, en faisant une ressource essentielle pour les professionnels de la cybersécurité.