A CISA (Cybersecurity and Infrastructure Security Agency – USA) adicionou há pouco sete novas vulnerabilidades ao catálogo KEV com base em evidências de exploração ativa. Esses vetores de ataque são amplamente utilizados por agentes cibernéticos maliciosos e representam riscos significativos para sistemas corporativos e governamentais.

CVEs incluídas

• CVE-2012-1854 – Microsoft Visual Basic for Applications: vulnerabilidade de carregamento inseguro de biblioteca (MITRE CWE-426: Untrusted Search Path). CVSS 6.9.

• CVE-2020-9715 – Adobe Acrobat: falha de uso após liberação (MITRE CWE-416: Use-After-Free). CVSS 7.8.

• CVE-2023-21529 – Microsoft Exchange Server: vulnerabilidade de desserialização de dados não confiáveis (MITRE CWE-502: Deserialization of Untrusted Data). CVSS 8.8.

• CVE-2023-36424 – Microsoft Windows: vulnerabilidade de leitura fora dos limites (MITRE CWE-125 e CWE-126: Out-of-Bounds Read). CVSS 7.8.

• CVE-2025-60710 – Microsoft Windows: vulnerabilidade de seguimento de link (MITRE CWE-59: Improper Link Resolution Before File Access). CVSS 7.8.

• CVE-2026-21643 – Fortinet: vulnerabilidade de injeção SQL (MITRE CWE-89: SQL Injection) . CVSS 9.8.

• CVE-2026-34621 – Adobe Acrobat e Reader: vulnerabilidade de poluição de protótipo (MITRE CWE-1321 Prototype Pollution). CVSS 8.6

Status de PoCs Públicas

Por que há uma CVE de 2012?

A CVE-2012-1854 entrou no catálogo KEV da CISA porque há evidências recentes de exploração ativa em escala, mesmo sendo uma falha antiga de 2012.

Motivo Específico

• Critério KEV: A CISA adiciona vulnerabilidades ao catálogo somente quando confirma exploração ativa por agentes maliciosos em ambientes reais (não apenas PoC ou testes). Não depende de idade ou CVSS, mas de ameaça comprovada.

• Contexto da CVE-2012-1854: Falha de carregamento inseguro de biblioteca (DLL hijacking) no Visual Basic for Applications (VBA) da Microsoft. Permite execução de código malicioso via bibliotecas manipuladas. Apesar de patches antigos (MS12-046), sistemas legados sem suporte ou mal configurados ainda são explorados em 2026.

• Por que agora? Campanhas recentes usam-na como vetor inicial em ataques a ambientes Windows com Office/VBA desatualizados. Exemplos incluem exploit chains em telecom/academia ou como pivô para escalonamento. Vulnerabilidades “zumbis” como essa são comuns no KEV (ex: CVE-2014-3931, CVE-2016-10033).

Sobre o catálogo KEV

Como já explicado em outras oportunidades aqui no Diário de Analistas, o catálogo KEV (Known Exploited Vulnerabilities) da CISA é uma lista oficial de vulnerabilidades conhecidas que já possuem evidências concretas de exploração ativa por atores maliciosos em ataques reais na natureza, independentemente de sua idade ou pontuação CVSS. Mantido pela Agência de Cibersegurança e Segurança de Infraestrutura dos EUA desde 2021, ele serve como guia prioritário para agências federais (prazo de correção em ~30 dias) e organizações privadas, focando apenas em falhas comprovadamente usadas em campanhas cibernéticas — como as “zumbis” antigas (ex: CVE-2012-1854) ainda exploradas em sistemas legados. Diferente de bancos genéricos como NVD, o KEV prioriza ação imediata sobre métricas teóricas, ajudando a reduzir superfície de ataque contra ameaças reais.

Referências

1. CISA Known Exploited Vulnerabilities Catalog – Fonte oficial do catálogo KEV.

2. CVE.org – Detalhes das CVEs – Páginas oficiais de cada CVE listada (CVE-2012-1854 a CVE-2026-34621).

3. NVD NIST – Pontuações CVSS v3.1 e métricas de vulnerabilidades.

4. Microsoft Security Bulletin MS12-046 – Patch original para CVE-2012-1854.

5. Adobe Security Bulletin APSB26-43 – Correção CVE-2026-34621.

6. Zero Day Initiative (ZDI) – Análise técnica CVE-2020-9715.

Nota de transparência: Essa publicação NÃO utilizou de ferramentas de Inteligência Artificial Generativa para sua escrita, exceto para realização de pesquisa e validação de referências. Os demais o conteúdos foram elaborados e revisados pelo autor.