La Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA) ha añadido cinco nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), basándose en evidencia de explotación activa.
- CVE-2018-14634 Vulnerabilidad de Desbordamiento de Entero en el Kernel de Linux
- CVE-2025-52691 Vulnerabilidad de Carga Irrestricta de Archivos con Tipo Peligroso en SmarterTools SmarterMail
- CVE-2026-21509 Vulnerabilidad de Omisión de Función de Seguridad en Microsoft Office
- CVE-2026-23760 Vulnerabilidad de Omisión de Autenticación en SmarterTools SmarterMail Utilizando una Ruta o Canal Alternativo
- CVE-2026-24061 Vulnerabilidad de Inyección de Argumentos en GNU InetUtils
Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la infraestructura federal.
La Directiva Operacional Vinculante (BOD) 22-01: Reducción del Riesgo Significativo de Vulnerabilidades Conocidas y Explotadas estableció el Catálogo KEV como una lista actualizada de Vulnerabilidades Comunes y Exposiciones (CVE) conocidas que conllevan un riesgo significativo para la infraestructura federal. La BOD 22-01 exige que las agencias del Poder Ejecutivo Federal Civil (FCEB) remedien las vulnerabilidades identificadas antes de la fecha límite para proteger las redes del FCEB contra amenazas activas. Consulte la Hoja Informativa de la BOD 22-01 para obtener más información.
Aunque la BOD 22-01 solo se aplica a las agencias del FCEB, CISA insta encarecidamente a todas las organizaciones a reducir su exposición a los ciberataques priorizando la remediación oportuna de las vulnerabilidades del Catálogo KEV como parte de su práctica de gestión de vulnerabilidades. CISA continuará añadiendo vulnerabilidades al catálogo que cumplan con los criterios especificados.
