CISA ha añadido dos nuevas vulnerabilidades a su Catálogo de Vulnerabilidades Explotadas Conocidas, basadas en evidencia de explotación activa.
- CVE-2019-9874 Sitecore CMS and Experience Platform (XP) Vulnerabilidad de Deserialización
- CVE-2019-9875 Sitecore CMS and Experience Platform (XP) Vulnerabilidad de Deserialización
Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal.
Directiva Operativa Vinculante (BOD) 22-01: Reducción del Riesgo Significativo de Vulnerabilidades Explotadas Conocidas estableció el Catálogo de Vulnerabilidades Explotadas Conocidas como una lista activa de Vulnerabilidades y Exposiciones Comunes (CVE) conocidas que representan un riesgo significativo para la empresa federal. BOD 22-01 requiere que las agencias del Poder Ejecutivo Civil Federal (FCEB) remedien las vulnerabilidades identificadas antes de la fecha de vencimiento para proteger las redes FCEB contra amenazas activas. Consulta la Hoja Informativa de BOD 22-01 para más información.
Aunque BOD 22-01 solo se aplica a las agencias FCEB, CISA insta fuertemente a todas las organizaciones a reducir su exposición a ciberataques priorizando la remediación oportuna de las vulnerabilidades del catálogo como parte de su práctica de gestión de vulnerabilidades. CISA continuará añadiendo vulnerabilidades al catálogo que cumplan con los criterios especificados.