La CISA a ajouté sept nouvelles vulnérabilités à son **catalogue des vulnérabilités connues et exploitées (KEV)**, sur la base de preuves d'exploitation active. Cette mise à jour souligne l'importance d'une gestion proactive des vulnérabilités pour toutes les organisations. Voici un aperçu des vulnérabilités nouvellement ajoutées : * **CVE-2012-1854** : Vulnérabilité de chargement de bibliothèque non sécurisée de Microsoft Visual Basic for Applications * **CVE-2020-9715** : Vulnérabilité Use-After-Free d'Adobe Acrobat * **CVE-2023-21529** : Vulnérabilité de désérialisation de données non fiables dans Microsoft Exchange Server * **CVE-2023-36424** : Vulnérabilité de lecture hors limites dans Microsoft Windows * **CVE-2025-60710** : Vulnérabilité de suivi de liens dans Microsoft Windows * **CVE-2026-21643** : Vulnérabilité d'injection SQL chez Fortinet * **CVE-2026-34621** : Vulnérabilité de pollution de prototype dans Adobe Acrobat et Reader ### Le catalogue KEV et la BOD 22-01 Le catalogue KEV est maintenu dans le cadre de la **Binding Operational Directive (BOD) 22-01**, qui impose aux agences de la branche exécutive civile fédérale (FCEB) de corriger les vulnérabilités listées avant des dates d'échéance spécifiques. Cette directive vise à protéger les réseaux de la FCEB contre les menaces actives en traitant les vulnérabilités et expositions communes (CVE) connues pour être exploitées dans la nature. Bien que la BOD 22-01 s'applique spécifiquement aux agences de la FCEB, la CISA conseille vivement à *toutes* les organisations de prioriser la correction des vulnérabilités du catalogue KEV. Cette approche proactive est cruciale pour réduire l'exposition aux cyberattaques et maintenir une posture de sécurité robuste. La CISA continuera de mettre à jour le catalogue KEV avec les vulnérabilités qui répondent à ses critères spécifiés, garantissant ainsi que les organisations aient accès à des renseignements sur les menaces opportuns et exploitables.