CISA adaugă 6 vulnerabilități exploatate în produsele software Fortinet, Microsoft și Adobe

CISA a adăugat recent 6 vulnerabilități de securitate în catalogul său de vulnerabilități exploatate cunoscute (KEV), invocând dovezi privind exploatarea activă a acestora.

Lista vulnerabilităților este:

CVE-2026-21643 (scor CvSS: 9.1/10) – O vulnerabilitate de tip SQL injection în Fortinet FortiClient EMS care ar putea permite unui atacator neautentificat să execute cod sau comenzi neautorizate prin intermediul unor solicitări HTTP malițioase.

CVE-2020-9715 (scor CvSS: 7.8/10) – O vulnerabilitate de tip use-after-free în Adobe Acrobat Reader care ar putea duce la executarea de cod de la distanță.

CVE-2023-36424 (scor CvSS: 7.8/10) – O vulnerabilitate de tip out-of-bounds read în driverul Common Log File System din Microsoft Windows, care ar putea duce la escaladarea privilegiilor.

CVE-2023-21529 (scor CvSS: 8.8/10) – O vulnerabilitate de tip deserialization of untrusted data în Microsoft Exchange Server, care ar putea permite unui atacator autentificat să execute cod de la distanță.

CVE-2025-60710 (scor CvSS: 7.8/10) – O vulnerabilitate de tip improper link resolution before file access în cadrul procesului host pentru task-urile Windows, care ar putea permite unui atacator autorizat să-și extindă privilegiile la nivel local.

CVE-2012-1854 (scor CvSS: 7.8/10) – O vulnerabilitate de tip insecure library loading a unei biblioteci în Microsoft Visual Basic for Applications (VBA), care ar putea duce la executarea de cod de la distanță.

Săptămâna trecută, Microsoft a dezvăluit că un atacator pe care îl monitorizează sub numele de Storm-1175 a folosit vulnerabilitatea CVE-2023-21529 în atacuri pentru a distribui ransomware-ul Medusa.

Se recomandă cu tărie aplicarea celor mai recente actualizări de securitate disponibile.

Sursă: https://thehackernews.com/2026/04/cisa-adds-6-known-exploited-flaws-in.html