CISA KEV – vydání 17: Osm nových aktivně zneužívaných zranitelností

Premium novinky Date: 20. duben 2026 Zobrazení: 5

CISA KEV – vydání 17: Osm nových aktivně zneužívaných zranitelností

Americká agentura CISA přidala 20. dubna 2026 do katalogu Known Exploited Vulnerabilities osm zranitelností s potvrzenou aktivní exploitací. Postiženy jsou produkty PaperCut, JetBrains TeamCity, Kentico Xperience, Quest KACE, Synacor Zimbra a tři komponenty Cisco Catalyst SD-WAN Manager.

V tomto vydání bylo 20. dubna 2026 přidáno osm zranitelností. Tři z nich se týkají Cisco Catalyst SD-WAN Manager, u něhož CISA vydala již v únoru 2026 Emergency Directive ED 26-03 kvůli jiné sadě chyb ve stejném produktu. Nyní byly potvrzeny další vektory aktivní exploitace.

CVE-2023-27351 | PaperCut NG/MF | CVSS 8.2

Nesprávná autentizace v tiskovém managementu PaperCut NG a MF. Neautentizovaný vzdálený útočník může obejít přihlašovací mechanismus a získat přístup k uživatelským datům včetně uživatelských jmen, e-mailových adres a informací o platebních kartách uložených v systému. Záplata: aktualizace na verzi 20.1.7, 21.2.11 nebo 22.0.9 a novější. Doporučeno ověřit nastavení externího přístupu k rozhraní správy.

CVE-2024-27199 | JetBrains TeamCity | CVSS 7.3

Path traversal v komponentě webového rozhraní JetBrains TeamCity umožňuje neautentizovanému vzdálenému útočníkovi číst citlivé soubory ze serveru nebo obejít autentizaci při přístupu k vybraným API endpointům. Postiženy jsou všechny verze TeamCity On-Premises do 2023.11.3 včetně. Záplata: aktualizace na verzi 2023.11.4 nebo novější. TeamCity Cloud byl záplatován poskytovatelem automaticky.

CVE-2025-2749 | Kentico Xperience | CVSS neuvedeno

Path traversal v CMS Kentico Xperience umožňuje neautentizovanému útočníkovi číst soubory mimo webový kořenový adresář. Záplata: aktualizace na doporučenou verzi dle bezpečnostního pokynu výrobce. Správci Kentico instancí by měli ověřit, zda není dostupná novější verze z administračního rozhraní nebo portálu Kentico.

CVE-2025-32975 | Quest KACE Systems Management Appliance | CVSS neuvedeno

Nesprávná autentizace v zařízení Quest KACE SMA (Systems Management Appliance) umožňuje vzdálenému útočníkovi získat neoprávněný přístup k citlivým funkcím správy. Záplata: aktualizace KACE SMA na nejnovější dostupnou verzi prostřednictvím zabudovaného mechanismu aktualizací nebo portálu Quest Support.

CVE-2025-48700 | Synacor Zimbra Collaboration Suite | CVSS 6.1

Cross-site scripting (XSS) v klasickém uživatelském rozhraní Zimbra Collaboration Suite. Útočník může prostřednictvím speciálně upraveného odkazu nebo zprávy spustit libovolný JavaScript v kontextu relace přihlášeného uživatele. Záplata: aktualizace Zimbra ZCS dle bezpečnostního bulletinu výrobce. Organizace, které klasické UI nevyužívají, by měly zvážit jeho deaktivaci.

CVE-2026-20122 | Cisco Catalyst SD-WAN Manager | CVSS 7.1

Nesprávné použití privilegovaných API v Cisco Catalyst SD-WAN Manager. Útočník s nižší úrovní přístupu může prostřednictvím zneužití privilegovaných rozhraní rozšířit svá oprávnění nebo manipulovat s konfigurací síťových zařízení. Záplata: aktualizace Cisco Catalyst SD-WAN Manager dle bezpečnostního bulletinu Cisco SA-SDWAN-MGR-0401-2026.

CVE-2026-20128 | Cisco Catalyst SD-WAN Manager | CVSS 7.5

Ukládání hesel v obnovitelném formátu v komponentě Data Collection Agent (DCA) Cisco Catalyst SD-WAN Manager. Útočník s přístupem k souborovému systému nebo záloze může extrahovat přihlašovací údaje v čitelné podobě. Záplata: aktualizace Cisco Catalyst SD-WAN Manager dle stejného bezpečnostního bulletinu.

CVE-2026-20133 | Cisco Catalyst SD-WAN Manager | CVSS 7.5

Expozice citlivých informací neautorizovanému přístupu prostřednictvím nedostatečných omezení přístupu k souborovému systému v Cisco Catalyst SD-WAN Manager. Neautentizovaný vzdálený útočník může číst citlivé konfigurační soubory a přihlašovací záznamy. Záplata: aktualizace Cisco Catalyst SD-WAN Manager dle bezpečnostního bulletinu Cisco SA-SDWAN-MGR-0401-2026. Cisco potvrdilo aktivní exploitaci CVE-2026-20122 a CVE-2026-20128 v reálném prostředí.