CISA přidala do katalogu KEV dvě aktivně zneužívané zranitelnosti
Americká agentura pro kybernetickou bezpečnost CISA zařadila 3. března 2026 do katalogu známých zneužívaných zranitelností dvě aktivně zneužívané zranitelnosti – command injection ve VMware Aria Operations a memory corruption v čipsetech Qualcomm. Federální agentury USA mají povinnost implementovat záplaty do 24. března 2026.
CVE-2026-22719: VMware Aria Operations
Command injection zranitelnost s hodnocením CVSS 8.1 umožňuje útočníkům bez přihlášení spouštět libovolné příkazy. Postižené verze: VMware Aria Operations 8.18.0-8.18.5 a 9.0.0-9.0.1. Opraveno: verze 8.18.6 a 9.0.2. Broadcom potvrdil zprávy o aktivním zneužívání, ale nemůže nezávisle ověřit rozsah útoků. Záplata vydána 24. února 2026.
CVE-2026-21385: Qualcomm čipsety
Memory corruption chyba v čipsetech Qualcomm postihující mobilní zařízení se systémem Android. Záplata dostupná v Android Security Bulletin z března 2026. CISA potvrdila aktivní zneužívání.
Doporučení
Federální agentury USA musí aplikovat záplaty do 24. března 2026. CISA doporučuje všem organizacím prioritizovat tyto zranitelnosti v rámci správy bezpečnostních záplat.
Zdroj
Další články
Pentagon označil Anthropic za bezpečnostní riziko po odmítnutí smluvních podmínek – jednání však pokračují
Ohlédnutí za whistleblowingem
