La **Cybersecurity and Infrastructure Security Agency (CISA)** a mis à jour son **catalogue des vulnérabilités connues et exploitées (KEV)** avec trois nouvelles entrées, sur la base de preuves d'exploitation active dans la nature. Cette action souligne le besoin critique pour les organisations de prioriser et de corriger ces failles afin d'atténuer les cyberattaques potentielles. ### Nouvelles vulnérabilités ajoutées Les vulnérabilités nouvellement ajoutées sont : * **CVE-2026-8398** : Vulnérabilité de code malveillant intégré dans Daemon Tools Lite * **CVE-2026-45321** : Vulnérabilité non spécifiée dans TanStack * **CVE-2026-48027** : Vulnérabilité de code malveillant intégré dans Nx Console Ces vulnérabilités représentent des vecteurs d'attaque importants pour les acteurs malveillants, pouvant entraîner des conséquences graves pour les systèmes et réseaux affectés. ### Importance du catalogue KEV Le catalogue KEV sert de ressource cruciale pour identifier les vulnérabilités qui sont activement exploitées. La **Binding Operational Directive (BOD) 22-01**, intitulée « Réduire le risque important des vulnérabilités connues et exploitées », impose aux agences de la branche exécutive fédérale civile (FCEB) de corriger les vulnérabilités listées dans le catalogue KEV avant les dates d'échéance spécifiées. Cette directive vise à protéger les réseaux de la FCEB contre les menaces en cours. Pour plus d'informations, consultez la [Fiche d'information BOD 22-01](https://www.cisa.gov/sites/default/files/publications/Reducing_the_Significant_Risk_of_Known_Exploited_Vulnerabilities_211103.pdf). ### Recommandation pour toutes les organisations Bien que la BOD 22-01 s'applique spécifiquement aux agences de la FCEB, la CISA conseille vivement à toutes les organisations de gérer proactivement leur paysage de vulnérabilités en priorisant la correction rapide des vulnérabilités listées dans le catalogue KEV. Ce faisant, les organisations peuvent réduire considérablement leur exposition aux cyberattaques potentielles. La CISA continue de surveiller activement le paysage des menaces et ajoutera des vulnérabilités au catalogue KEV dès qu'elles répondront aux [critères spécifiés](https://www.cisa.gov/known-exploited-vulnerabilities). L'examen régulier et l'action sur le catalogue KEV sont un élément essentiel d'une posture de cybersécurité robuste.