Contacts
+359 875 32 80 30
Book a Meet
Close

Контакти

Каварна, България
Рияд, Саудитска Арабия

+359 875 328030

sales@diamatix.com

Call us: +359 875 32 80 30
Scan for Breaches
Сканирай за пробиви
Book a Meet
Book a Meet

CISA добави уязвимости в Microsoft Office и HPE OneView към KEV каталога

19894
януари 8, 2026
Pavlina Nikolova
Новини

CISA добави уязвимости в Microsoft Office и HPE OneView към KEV каталога

Американската агенция за киберсигурност CISA добави две уязвимости, засягащи Microsoft Office и HPE OneView, към своя каталог Known Exploited Vulnerabilities (KEV). Решението е взето на база налични доказателства за активна експлоатация.

Засегнати уязвимости

  • CVE-2009-0556 (CVSS 8.8)
    Уязвимост в Microsoft Office PowerPoint, позволяваща изпълнение на произволен код чрез злонамерени презентационни файлове, използващи грешки в управлението на паметта.

  • CVE-2025-37164 (CVSS 10.0)
    Критична уязвимост в HPE OneView, позволяваща неавтентифицирано отдалечено изпълнение на код. Засегнати са всички версии преди 11.00.

HPE публикува официално съобщение през декември 2025 г. и предостави hotfix корекции за версиите 5.20 – 10.x, като препоръча незабавно обновяване.

Контекст на заплахата

Към момента няма публично потвърдени мащабни кампании, но в края на декември 2025 г. бе публикуван proof-of-concept (PoC) експлойт за CVE-2025-37164. Според анализатори това значително увеличава риска от реална експлоатация, особено в среди с бавно прилагане на обновления.

Съгласно Binding Operational Directive 22-01, федералните агенции в САЩ трябва да приложат необходимите корекции до 28 януари 2026 г.

DIAMATIX Perspective

Добавянето на уязвимост в KEV каталога е ясен индикатор, че рискът вече не е теоретичен. Дори при липса на публично известни масови атаки, наличието на PoC експлойти значително понижава бариерата за злоупотреба.

От практическа гледна точка, подобни уязвимости подчертават нуждата от:

  • приоритетно управление на пачове за инфраструктурни и офис платформи

  • постоянна видимост върху опити за експлоатация

  • корелация между уязвимости, крайни точки и мрежова активност

Организациите, които разчитат единствено на периодични обновления без активен мониторинг, остават уязвими в периода между публичното разкриване и реалното прилагане на защитни мерки.

Contact DIAMATIX

Trusted · Innovative · Vigilant

Източници

  • CISA – Known Exploited Vulnerabilities (KEV) Catalog

  • Hewlett Packard Enterprise – Security Advisory for HPE OneView

  • eSentire – Threat Analysis on CVE-2025-37164

Абонирайте се за най-новите актуализации и анализи

Получавайте актуални новини и експертни анализи за киберсигурност

Please enable JavaScript in your browser to complete this form.

By Pavlina Nikolova
AI Strategy and Consulting

Provide expert guidance on developing an AI strategy

Recent comments
Няма коментари за показване.
януари 2026
П В С Ч П С Н
 1234
567891011
12131415161718
19202122232425
262728293031