A CISA hétfőn három sérülékenységet vett fel az ismerten kihasznált sérülékenységek KEV katalógusába. Az érintett sérülékenységek az alábbiak:

• CVE-2021-22054(CVSS pontszáma 7,5): Az Omnissa Workspace One UEM (korábban VMware Workspace One UEM) rendszerét érintő server-side request forgery (SSRF) sérülékenység. A sebezhetőség lehetővé teszi, hogy a UEM-hez hálózati hozzáféréssel rendelkező támadó hitelesítés nélkül küldjön kéréseket, így érzékeny információkhoz juthat hozzá.
• CVE-2025-26399(CVSS pontszáma 9,8): A SolarWinds Web Help Desk AjaxProxy komponensét érintő sérülékenység a nem megbízható adatok deszerializációjából ered. A sebezhetőség kihasználásával egy támadó parancsokat futtathat a célrendszeren.
• CVE-2026-1603(CVSS pontszáma 8,6): Az Ivanti Endpoint Manager rendszerét érintő sérülékenység lehetővé teszi a hitelesítés megkerülését alternatív útvonal vagy csatorna használatával (authentication bypass). A sebezhetőség kihasználása esetén egy támadó bizonyos mentett hitelesítési adatokhoz juthat hozzá.

A Microsoft és a Huntress jelentése szerint a támadók a SolarWinds Web Help Desk CVE-2025-26399 azonosítón nyomon követett sérülékenységét kezdeti hozzáférés (initial access) szerzésére használják. A tevékenység feltételezhetően a Warlock ransomware crew zsarolóvírus-csoporthoz köthető.

Ezzel szemben a CVE-2021-22054 sérülékenységet a GreyNoise már 2025 márciusában azonosította, mint olyan hibát, amelyet más termékekben található SSRF-sebezhetőségekkel együtt egy összehangolt támadási kampány részeként használnak ki.

A CVE-2026-1603 esetében jelenleg nem áll rendelkezésre információ a sérülékenység valós környezetben történő kihasználásáról (weaponization). A cikk írásának időpontjában az Ivanti biztonsági közleménye még nem frissült.