Az amerikai CISA felvett három sebezhetőségeket a KEV katalógusába. A sebezhetőségeket jelenleg aktívan kihasználják támadásokban.
A CVE-2023-48788 (CVSS 9.3 pontszám, kritikus) Fortinet FortiClient Enterprise Management Server SQL Injection sebezhetősége. Az SQL parancsban használt speciális elemek nem megfelelő semlegesítése lehetővé teszi egy hitelesítés nélküli támadó számára, hogy jogosulatlan kódot vagy parancsot hajtson végre speciálisan kialakított kéréseken keresztül.
A Horizon3 biztonsági kutatói a közelmúltban közzétettek egy PoC exploitot a kritikus sebezhetőségre. A kutatók bemutatták, hogyan lehet ezt az SQL injekciós hibát a Microsoft SQL Server beépített xp_cmdshell funkciójának használatával távoli kódfuttatássá alakítani. Az adatbázis nem volt konfigurálva a parancs futtatására, azonban néhány más SQL utasítás segítségével lehetségessé tették.
A második sebezhetőség a CVE-2021-44529 (CVSS 9.8 pontszám, kritikus), egy kódinjekciós sebezhetőség az Ivanti EPM Cloud Services Appliance-ben. Egy hitelesítés nélküli felhasználó tetszőleges kódot futtathat korlátozott jogosultságokkal.
A CISA katalógusba felvett harmadik probléma a CVE-2019-7256 (CVSS 10.0 pontszám, kritikus), a Nice Linear eMerge E3-series OS Command Injection sebezhetősége.
A BOD működési irányelv szerint az FCEB ügynökségeknek az azonosított sebezhetőségeket a megadott határidőig ki kell küszöbölniük, hogy megvédjék hálózataikat a katalógusban szereplő hibákat kihasználó támadásoktól. A szakértők azt javasolják, hogy a magánszervezetek is tekintsék át a katalógust, és kezeljék az infrastruktúrájukban található sebezhetőségeket.
