CISA ajoute 7 nouvelles failles exploitées à son catalogue

La Cybersecurity and Infrastructure Security Agency (CISA) a annoncé le 13 avril 2026 l’ajout de sept nouvelles vulnérabilités à son catalogue des failles activement exploitées (Known Exploited Vulnerabilities, KEV), sur la base de preuves d’exploitation en conditions réelles.

Sont concernées :

• CVE-2012-1854 : Microsoft Visual Basic for Applications, chargement non sécurisé de bibliothèque (DLL hijacking)
• CVE-2020-9715 : Adobe Acrobat, utilisation de mémoire après libération (use-after-free)
• CVE-2023-21529 : Microsoft Exchange Server, désérialisation de données non fiables
• CVE-2023-36424 : Microsoft Windows, lecture hors limites (out-of-bounds read)
• CVE-2025-60710 : Microsoft Windows, résolution de lien non contrôlée (link following)
• CVE-2026-21643 : Fortinet, injection SQL
• CVE-2026-34621 : Adobe Acrobat et Reader, pollution de prototype (prototype pollution)

source.