CISA rozšířila katalog KEV o pětici aktivně zneužívaných zranitelností

CISA rozšířila katalog KEV o pětici aktivně zneužívaných zranitelností

Novinky Date: Zobrazení: 105

CISA rozšířila katalog KEV o pětici aktivně zneužívaných zranitelností

Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) přidala 26. ledna 2026 pět nových zranitelností do svého katalogu známých zneužitých zranitelností (Known Exploited Vulnerabilities - KEV). Rozšíření katalogu reaguje na důkazy o aktivním zneužívání těchto bezpečnostních chyb v reálných útocích.

Nově přidané zranitelnosti:

CVE-2018-14634 - Zranitelnost přetečení celého čísla v jádru Linuxu, která umožňuje lokálnímu útočníkovi zvýšit oprávnění. Ačkoliv byla objevena v roce 2018, CISA zaznamenala její aktivní zneužívání v současných útocích.

CVE-2025-52691 - Kritická zranitelnost v aplikaci SmarterTools SmarterMail umožňující nahrání nebezpečných typů souborů bez omezení. Útočníci mohou zneužít tuto chybu k nahrání a spuštění škodlivého kódu na serveru. 
CVE-2026-21509 - Obcházení bezpečnostní funkce v Microsoft Office. Zranitelnost vzniká spoléháním se na nedůvěryhodné vstupy při bezpečnostním rozhodování, což útočníkům umožňuje lokálně obejít bezpečnostní mechanismy. Některé postižené verze produktů mohou být již na konci životního cyklu (EoL/EoS). 

Image

CVE-2026-23760 - Zranitelnost obcházení autentizace prostřednictvím alternativní cesty v SmarterTools SmarterMail. Útočníci mohou získat neoprávněný přístup k systému bez platných přihlašovacích údajů. 

CVE-2026-24061 - Zranitelnost vkládání argumentů v GNU InetUtils telnetd, která umožňuje vzdálené obcházení autentizace pomocí hodnoty "-f root" pro proměnnou prostředí USER.

Lhůty a doporučení

Podle směrnice BOD 22-01 musí federální civilní agentury (FCEB) implementovat zmírňující opatření podle pokynů dodavatelů do stanoveného termínu. Ačkoliv tato povinnost platí pouze pro federální agentury, CISA důrazně doporučuje všem organizacím prioritizovat rychlou nápravu zranitelností z katalogu KEV jako součást jejich správy zranitelností.

Katalog KEV slouží jako autoritativní zdroj informací o zranitelnostech, které byly skutečně zneužity v praxi. Organizace by měly tento katalog využívat jako vstup do svého frameworku pro stanovení priorit ve správě zranitelností.


Zdroj: CISA

Kontakt

Další články

NovinkyZet

Po uplynutí 60denní lhůty pro registraci, kterou zákon stanovil, se k Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) přihlásilo celkem 4 865 subjektů.
NovinkyZet

NÚKIB zahájil čtyřletý projekt pro posílení národních kompetencí v kybernetické bezpečnosti
NovinkyZet

Úleva pro téměř 29 000 firem: Evropská komise dne 20. ledna 2026 představila v rámci nového balíčku kybernetické bezpečnosti cílené změny směrnice NIS2