الزام فوری نهادهای فدرال آمریکا به رفع آسیب‌پذیری‌های بحرانی

به گزارش کارگروه امنیت خبرگزاری سایبربان، آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA)، این هفته ۱۰ آسیب‌پذیری جدید را به فهرست «آسیب‌پذیری‌های بهره‌برداری‌شده شناخته‌شده» افزود و به همه نهادهای غیرنظامی فدرال دستور داد حداکثر تا اوایل مارس آن‌ها را برطرف کنند.

یکی از این موارد، آسیب‌پذیری CVE-2025-40536 در سولارویندز (SolarWinds) است که باید فوراً وصله شود.

این نقص، سامانه میز کمک شبکه (Web Help Desk) را تحت تأثیر قرار می‌دهد؛ پلتفرمی برای مدیریت خدمات فناوری اطلاعات که به‌طور گسترده در سازمان‌های بزرگ استفاده می‌شود.

سولارویندز پیش‌تر نیز هدف یکی از بزرگ‌ترین حملات دولتی تاریخ آمریکا قرار گرفته بود.

در میان موارد جدید، آسیب‌پذیری CVE-2026-20700 محصولات اپل از جمله iOS و macOS را هدف قرار می‌دهد.

اپل اعلام کرده این نقص احتمالاً در حمله‌ای بسیار پیچیده علیه افراد مشخص مورد سوءاستفاده قرار گرفته است.

این آسیب‌پذیری توسط گروه آنالیز تهدید گوگل (Google Threat Analysis Group) کشف شده است.

همچنین نقص CVE-2025-15556 در نوت پد++ (Notepad++) پس از حمله گروه منتسب به چین با نام لوتوس بلوسام (Lotus Blossom) شناسایی و اصلاح شد.

علاوه بر این، شش آسیب‌پذیری در محصولات مایکروسافت، از جمله ویندوز و آفیس، به فهرست افزوده شده‌اند.

سه مورد از آن‌ها امکان دور زدن سازوکارهای امنیتی را فراهم می‌کنند و برای بهره‌برداری نیازمند تعامل کاربر هستند.

آژانس همچنین اعلام کرد در سال مالی ۲۰۲۵، تعداد ۲۳۸ آسیب‌پذیری پرخطر به این فهرست افزوده شده است.

در همین حال، مجمع FIRST پیش‌بینی کرده سال ۲۰۲۶ ممکن است با انتشار بیش از ۵۰ هزار شناسه CVE، رکورد جدیدی در افشای آسیب‌پذیری‌ها ثبت شود؛ رقمی که می‌تواند بار کاری مدیریت امنیت را به‌طور اساسی دگرگون کند.