CISA Menambahkan Cacat Cisco, Chrome, dan Arista ke Katalog KEV Di Tengah Eksploitasi Aktif

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Selasa menambahkan tiga kerentanan baru ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV), menyusul…

Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Selasa menambahkan tiga kerentanan baru ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV), menyusul adanya laporan eksploitasi aktif.

CVE-2026-11645 (skor CVSS: 8. 8) - Kerentanan baca dan tulis di luar batas di Google Chrome V8 yang memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer di dalam kotak pasir melalui halaman HTML yang dibuat.

CVE-2026-7473 (skor CVSS: 6. 9) - Perbandingan tidak lengkap dengan faktor kerentanan yang hilang di Arista Extensible sistem operasi (EOS) yang dapat dieksploitasi untuk memproses lalu lintas terowongan yang tidak dikonfigurasi.

Tidak Ada Patch yang Direncanakan untuk Memanfaatkan Cacat Arista EOS

Cacat keamanan terutama berdampak pada produk seri 7020R, 7280R/R2, dan 7500R/R2. Namun, agar eksploitasi berhasil terjadi, perangkat harus dikonfigurasi sebagai titik akhir terowongan dengan IP dekapsulasi, seperti VXLAN VTEP, titik akhir terowongan GRE, atau dengan grup dekapsulasi IP.

Perusahaan peralatan jaringan tersebut mengakui bahwa kerentanan tersebut telah "dilaporkan sebagai eksploitasi di alam liar," dan memuji Scott Christiansen, Lukas Peitz, Rich Compton, dan Jonathan Davis dari Comcast karena secara bertanggung jawab mengungkapkannya.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com