Az amerikai CISA felvett két sebezhetőséget a KEV katalógusába. A sebezhetőségeket jelenleg aktívan kihasználják támadásokban.
A CVE-2012-4792 (9.3-as CVSS pontszám) egy use-after-free sérülékenység a Microsoft Internet Explorer 6 és 8 közötti verziókban. Távoli tetszőleges kódfuttatást tesz lehetővé egy speciálisan elkészített weboldal használatával, ami egy olyan objektumhoz szerez hozzáférést, ami nem volt megfelelően lefoglalva, vagy törölve lett. A hibát már 2012 decemberében kihasználták valós környezetben.
A másik hiba a CVE-2024-39891 azonosítóval nyomon követhető (5.3-as CVSS pontszám) információ kiszivárogtatására kihasználható sebezhetőség a Twilio Authy API-ban. A hibát az Authy Android 25.1.0 előtti és az Authy IOS 26.1.0 előtti verzión lehetett alkalmazni, mivel itt egy nem autentikált végpont hozzáférést biztosított bizonyos telefonszám-adatokhoz, amit 2024 júniusban használtak ki valós környezetben. A végpont képes volt telefonszámokat fogadni és visszaigazolni, hogy azok regisztrálva vannak-e az Authy-ban, vagy sem. A végpont tehát nem kompromittálta az Authy felhasználói fiókokat, csak elárulta a beérkező telefonszám regisztrációs státuszát.
A BOD működési irányelv szerint az FCEB ügynökségeknek az azonosított sebezhetőségeket a megadott határidőig ki kell küszöbölniük, hogy megvédjék hálózataikat a katalógusban szereplő hibákat kihasználó támadásoktól. A szakértők azt javasolják, hogy a magánszervezetek is tekintsék át a katalógust, és kezeljék az infrastruktúrájukban található sebezhetőségeket.
