Zwei der neu aufgenommenen Schwachstellen betreffen Windows: CVE-2023-36424 ist ein Fehler im Common Log File Driver, der Angreifern eine Rechteausweitung ermöglicht. Microsoft hatte den Patch dafür im November 2023 veröffentlicht; technische Details und Proof-of-Concept-Code folgten bereits im darauffolgenden Monat. Die zweite Windows-Lücke, CVE-2025-60710, betrifft den Hostprozess für Windows-Aufgaben und ermöglicht ebenfalls Rechteausweitung durch das Verfolgen von Verknüpfungen. Patches stehen seit November 2025 bereit, kurz darauf war auch Exploit-Code öffentlich verfügbar. Für beide Schwachstellen lagen CISA zufolge zum Zeitpunkt der Warnung keine vorherigen Berichte über aktive Ausnutzung vor.
Dasselbe gilt für CVE-2020-9715, eine Use-after-free-Lücke in Adobe Acrobat und Reader, die beliebige Codeausführung erlaubt. Der Fehler wurde bereits im August 2020 gepatcht, Proof-of-Concept-Code existiert seitdem seit Jahren öffentlich.
Ebenfalls neu im KEV-Katalog ist CVE-2023-21529, eine Schwachstelle in Microsoft Exchange. Microsoft hatte diese Lücke kürzlich in einem Bericht über aktuelle Aktivitäten der Ransomware-Gruppe Medusa als ausgenutzt eingestuft.
Besondere Dringlichkeit gilt für zwei Zero-Day-Lücken: CVE-2026-34621 in Adobe Acrobat und Reader sowie CVE-2026-21643 in Fortinet FortiClient EMS wurden beide bereits vor Verfügbarkeit eines Patches aktiv ausgenutzt. Beide ermöglichen entfernten Angreifern die Ausführung beliebigen Codes auf verwundbaren Systemen. Für die Fortinet-Lücke hat CISA Bundesbehörden eine verkürzte Patch-Frist bis zum 16. April gesetzt.
Den Abschluss der neuen Einträge bildet CVE-2012-1854, eine unsichere Bibliotheks-Ladefunktion in Microsoft Visual Basic for Applications, die Remotecodeausführung ermöglicht. Microsoft hatte die Lücke im November 2012 geschlossen und dabei bereits auf eine aktive Ausnutzung als Zero-Day hingewiesen.
