De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft recentelijk zes beveiligingslekken toegevoegd aan haar Known Exploited Vulnerabilities (KEV) catalogus. Deze toevoeging volgt op bewijs van actieve exploitatie van deze kwetsbaarheden in software van onder andere Fortinet, Microsoft en Adobe.

De lijst bevat onder meer een SQL-injectie in Fortinet FortiClient EMS (CVE-2026-21643, CVSS 9.1), waarmee een niet-geauthenticeerde aanvaller ongeautoriseerde code kan uitvoeren via speciaal opgemaakte HTTP-verzoeken. Adobe Acrobat Reader kent een use-after-free kwetsbaarheid (CVE-2020-9715, CVSS 7.8) die kan leiden tot remote code execution. Daarnaast is er een out-of-bounds read in de Microsoft Windows Common Log File System Driver (CVE-2023-36424, CVSS 7.8) die privilege escalation mogelijk maakt.

Verder bevat de lijst een kwetsbaarheid in Microsoft Exchange Server (CVE-2023-21529, CVSS 8.8), waarbij een geauthenticeerde aanvaller remote code execution kan bereiken via deserialisatie van onbetrouwbare data. Ook is er een lokale privilege escalation in Host Process for Windows Tasks (CVE-2025-60710, CVSS 7.8) door onjuiste linkresolutie voorafgaand aan bestandsaccess, en een kwetsbaarheid in Microsoft Visual Basic for Applications (CVE-2012-1854, CVSS 7.8) die remote code execution kan veroorzaken.

De toevoeging van CVE-2026-21643 volgt op meldingen van Defused Cyber, die sinds 24 maart 2026 exploitatiepogingen van deze kwetsbaarheid hebben waargenomen. Microsoft maakte vorige week bekend dat een bedreigingsactor, bekend als Storm-1175, CVE-2023-21529 inzet om Medusa ransomware te verspreiden. Voor CVE-2012-1854 erkende Microsoft al in een advies uit 2012 dat er beperkte, gerichte aanvallen zijn geweest, al is de precieze aard daarvan onbekend. Voor de overige kwetsbaarheden zijn momenteel geen publieke exploitatie-rapporten bekend.

Vanwege de actieve aanvallen zijn federale agentschappen binnen de Amerikaanse overheid verplicht om de patches uiterlijk 27 april 2026 toe te passen.