• CVE-2021-39935 – GitLab Community a Enterprise Edition

Bezpečnostní chyba typu Server-Side Request Forgery (SSRF), umožňující manipulaci s požadavky na straně serveru a potenciální přístup k interním zdrojům.

• CVE-2025-40551 – SolarWinds Web Help Desk

Zranitelnost deserializace nedůvěryhodných dat, která může vést ke spuštění libovolného kódu na postiženém systému.

• CVE-2025-64328 – Sangoma FreePBX

Zranitelnost vkládání OS příkazů (Command Injection), jež může útočníkům umožnit úplnou kompromitaci serveru.

Tyto typy zranitelností patří mezi nejčastější vektory útoků využívané zlovolnými aktéry a představují významná rizika jak pro federální instituce, tak pro soukromé organizace.

Zařazování zranitelností do katalogu KEV vychází ze směrnice BOD 22-01, která zavazuje federální civilní agentury (FCEB) k jejich odstranění v předem stanovených termínech. Cílem je minimalizovat rizika plynoucí z aktivně zneužívaných bezpečnostních chyb a zvýšit odolnost vládních sítí.

Ačkoli se tato povinnost vztahuje pouze na federální agentury, CISA důrazně doporučuje všem organizacím, aby katalog KEV využívaly jako klíčový zdroj pro určování priorit při správě zranitelností. Rychlá implementace bezpečnostních aktualizací a je podle agentury jedním z nejúčinnějších způsobů, jak snížit riziko úspěšných kybernetických útoků.

Zdroj: CISA