ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen üç yeni güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu katalog, federal kurumlar ve özel sektör için kritik risk oluşturan zafiyetlerin takip edilmesini ve hızla giderilmesini amaçlıyor. Eklenen üç açık, Arista Extensible Operating System (EOS), Google Chromium V8 ve Cisco Catalyst SD-WAN Manager ürünlerinde tespit edildi.
CVE-2026-7473 koduyla izlenen Arista EOS güvenlik açığı, eksik karşılaştırma faktörleri nedeniyle sistemin bütünlüğünü tehdit ediyor. CVE-2026-11645 ile tanımlanan Google Chromium V8 açığı ise bellek dışı okuma ve yazma (out-of-bounds read/write) zafiyeti içeriyor. Son olarak CVE-2026-20245, Cisco Catalyst SD-WAN Manager'da çıktının hatalı kodlanması veya kaçış karakterleriyle ilgili bir güvenlik açığı olarak kayıtlara geçti. Bu tür zafiyetler, siber saldırganlar tarafından sıklıkla hedef alınıyor.
CISA, Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında Federal Sivil Yürütme Organı (FCEB) kurumlarının bu güvenlik açıklarını belirtilen son tarihe kadar gidermesini zorunlu kılıyor. Direktif, federal ağları aktif tehditlere karşı korumayı amaçlıyor. BOD 22-01 yalnızca FCEB kurumları için bağlayıcı olsa da, CISA tüm organizasyonları siber saldırılara karşı korunmak için KEV Kataloğu'ndaki zafiyetlerin öncelikli olarak giderilmesini şiddetle tavsiye ediyor.
Siber güvenlik uzmanları, bu tür güvenlik açıklarının hızla kapatılmasının önemine vurgu yapıyor. Özellikle kurumsal ağlarda yaygın olarak kullanılan Arista, Google ve Cisco ürünlerindeki zafiyetler, geniş çaplı saldırılara zemin hazırlayabilir. CISA, kriterlere uygun yeni güvenlik açıklarını KEV Kataloğu'na eklemeye devam edeceğini duyurdu. Organizasyonların güncel tehdit istihbaratını takip ederek güvenlik yamalarını zamanında uygulaması, olası veri ihlallerini ve sistem ele geçirmelerini önlemede kritik önem taşıyor.