A CISA adicionou sete novas vulnerabilidades ao seu **Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV)**, com base em evidências de exploração ativa. Esta atualização reforça a importância do gerenciamento proativo de vulnerabilidades para todas as organizações. Aqui está um resumo das vulnerabilidades recém-adicionadas: * **CVE-2012-1854**: Vulnerabilidade de Carregamento Inseguro de Biblioteca no Microsoft Visual Basic for Applications * **CVE-2020-9715**: Vulnerabilidade Use-After-Free no Adobe Acrobat * **CVE-2023-21529**: Vulnerabilidade de Desserialização de Dados Não Confiáveis no Microsoft Exchange Server * **CVE-2023-36424**: Vulnerabilidade de Leitura Fora dos Limites no Microsoft Windows * **CVE-2025-60710**: Vulnerabilidade de Seguimento de Link no Microsoft Windows * **CVE-2026-21643**: Vulnerabilidade de SQL Injection na Fortinet * **CVE-2026-34621**: Vulnerabilidade de Poluição de Protótipo no Adobe Acrobat e Reader ### O Catálogo KEV e a BOD 22-01 O Catálogo KEV é mantido sob a **Binding Operational Directive (BOD) 22-01**, que determina que as agências do Federal Civilian Executive Branch (FCEB) corrijam as vulnerabilidades listadas até datas específicas. Esta diretiva visa proteger as redes do FCEB contra ameaças ativas, abordando Vulnerabilidades e Exposições Comuns (CVEs) conhecidas por serem exploradas ativamente. Embora a BOD 22-01 seja especificamente aplicável às agências do FCEB, a CISA aconselha fortemente *todas* as organizações a priorizarem a correção das vulnerabilidades do Catálogo KEV. Essa abordagem proativa é crucial para reduzir a exposição a ciberataques e manter uma postura de segurança robusta. A CISA continuará a atualizar o Catálogo KEV com vulnerabilidades que atendam aos seus critérios especificados, garantindo que as organizações tenham acesso a inteligência de ameaças oportuna e acionável.