L'**Agence de cybersécurité et de sécurité des infrastructures (CISA)** a ajouté sept nouvelles vulnérabilités à son catalogue des vulnérabilités connues et exploitées (KEV), sur la base de preuves d'exploitation active. Ces vulnérabilités sont des vecteurs d'attaque fréquents pour les acteurs malveillants et présentent des risques importants pour les organisations. ### Nouvelles vulnérabilités ajoutées : * **CVE-2008-4250** : Vulnérabilité de débordement de tampon dans **Microsoft Windows** * **CVE-2009-1537** : Vulnérabilité d'écrasement de l'octet NULL dans **Microsoft DirectX** * **CVE-2009-3459** : Vulnérabilité de débordement de tampon basé sur le tas dans **Adobe Acrobat** et Reader * **CVE-2010-0249** : Vulnérabilité d'utilisation après libération dans **Microsoft Internet Explorer** * **CVE-2010-0806** : Vulnérabilité d'utilisation après libération dans **Microsoft Internet Explorer** * **CVE-2026-41091** : Vulnérabilité d'élévation de privilèges dans **Microsoft Defender** * **CVE-2026-45498** : Vulnérabilité de déni de service dans **Microsoft Defender** ### BOD 22-01 et Remédiation La directive opérationnelle contraignante (BOD) 22-01 : Réduire le risque important des vulnérabilités connues et exploitées a établi le catalogue KEV comme une liste évolutive des Common Vulnerabilities and Exposures (CVE) connues qui présentent un risque important. La BOD 22-01 exige que les agences du pouvoir exécutif fédéral civil (FCEB) remédient aux vulnérabilités identifiées avant la date d'échéance afin de protéger les réseaux FCEB contre les menaces actives. [Fiche d'information sur la BOD 22-01](https://www.cisa.gov/sites/default/files/publications/Reducing_the_Significant_Risk_of_Known_Exploited_Vulnerabilities_211103.pdf) pour plus d'informations. ### Recommandation Bien que la BOD 22-01 ne s'applique qu'aux agences FCEB, la CISA exhorte vivement toutes les organisations à réduire leur exposition aux cyberattaques en donnant la priorité à la remédiation rapide des vulnérabilités du catalogue KEV dans le cadre de leur pratique de gestion des vulnérabilités. La CISA continuera d'ajouter des vulnérabilités au catalogue qui répondent aux critères spécifiés.