Агентство з кібербезпеки та захисту інфраструктури США (CISA) видало термінове оновлення, додавши дві нові, активно експлуатовані вразливості до свого Каталогу відомих експлуатованих вразливостей (KEV). Цей каталог є найвищим пріоритетом для виправлення у федеральних установах, і його оновлення завжди є критичним сигналом для всієї світової кіберспільноти. Перша вразливість – CVE-2025-14611, критична проблема з жорстко закодованим криптографічним ключем у продуктах Gladinet CentreStack та Triofox. Наявність “вшитого” майстер-ключа дозволяє зловмиснику обійти автентифікацію та отримати доступ до даних, що зберігаються або керуються цими системами, які часто використовуються для синхронізації корпоративних файлів та спільної роботи. Це підкреслює небезпеку неякісної реалізації криптографії, яка створює “задні двері” навіть без наміру розробника.

Друга критична вразливість – CVE-2025-43529, проблема типу Use-After-Free (UAF) у двигуні WebKit, що використовується в багатьох продуктах Apple, включаючи Safari та компоненти iOS/macOS. Вразливості UAF є надзвичайно небезпечними, оскільки дозволяють зловмисникам, як правило, через відвідування спеціально створеної вебсторінки, виконати віддалений код, що призводить до компрометації пристрою користувача. Включення цих дефектів до KEV-каталогу означає, що CISA має докази їх активної експлуатації в реальних атаках. Це змушує всі федеральні установи в США, а також приватні компанії по всьому світу, негайно припинити використання вразливих версій програмного забезпечення та встановити відповідні патчі до зазначеного CISA терміну. Невиконання цієї вимоги розглядається як неприпустимий ризик для безпеки критичної інфраструктури та корпоративних даних.