## CISA Atualiza Catálogo KEV com Vulnerabilidades Ativamente Exploradas A **CISA** atualizou seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV) com quatro novas entradas, destacando a necessidade urgente de as organizações corrigirem essas falhas. As adições são baseadas em evidências de exploração ativa, tornando-as alvos primários para atores maliciosos. ### Novas Vulnerabilidades Adicionadas: * **CVE-2024-7399**: Vulnerabilidade de Path Traversal no Servidor MagicINFO 9 da **Samsung**. Esta vulnerabilidade permite que atacantes acessem arquivos e diretórios não autorizados no servidor. * **CVE-2024-57726**: Vulnerabilidade de Falta de Autorização no **SimpleHelp**. Esta falha pode permitir acesso não autorizado aos sistemas **SimpleHelp**. * **CVE-2024-57728**: Vulnerabilidade de Path Traversal no **SimpleHelp**. Semelhante à vulnerabilidade da **Samsung**, esta permite que atacantes naveguem e acessem arquivos sensíveis. * **CVE-2025-29635**: Vulnerabilidade de Injeção de Comando no D-Link DIR-823X. Esta permite que atacantes executem comandos arbitrários no roteador **D-Link** afetado. ### A Importância do Catálogo KEV O Catálogo KEV é mantido sob a **Binding Operational Directive (BOD) 22-01**: Reduzindo o Risco Significativo de Vulnerabilidades Conhecidas e Exploradas. Esta diretiva exige que as agências do Federal Civilian Executive Branch (FCEB) corrijam as vulnerabilidades listadas no catálogo até as datas especificadas. O objetivo é proteger as redes do FCEB contra ameaças ativas, abordando vulnerabilidades conhecidas e exploradas. Embora a **BOD 22-01** seja especificamente aplicável às agências do FCEB, a **CISA** aconselha *fortemente* que *todas* as organizações priorizem a remediação oportuna das vulnerabilidades do Catálogo KEV. Integrar essa prática nos programas de gerenciamento de vulnerabilidades é crucial para reduzir a exposição a ciberataques. A **CISA** atualiza continuamente o Catálogo KEV com vulnerabilidades que atendem a critérios especificados, tornando-o um recurso vital para profissionais de cibersegurança.