Een lijst van de Amerikaanse overheid met actief aangevallen kwetsbaarheden die federale overheidsinstanties verplicht binnen een bepaalde tijd moeten patchen is inmiddels de 350 beveiligingslekken gepasseerd. Eén van de kwetsbaarheden dateert van 2006. Organisaties kunnen de lijst gebruiken om hun blootstelling aan cyberaanvallen te verkleinen, aldus het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security en opsteller van de lijst.

Het CISA lanceerde de lijst afgelopen november. Het gaat hier om kwetsbaarheden waar actief misbruik van is of wordt gemaakt om systemen te compromitteren. Door het afgeven van een "Binding Operational Directive" kan het CISA federale Amerikaanse overheidsinstanties verplichten om beveiligingslekken op de lijst binnen een bepaalde tijd te patchen. Het overzicht is echter ook handige voor organisaties en bedrijven, aldus het CISA.

Op de lijst staan nu 351 actief aangevallen kwetsbaarheden. Daarvan dateren er 134 van 2021 en 103 van 2020. Er staat inmiddels ook een beveiligingslek uit 2022 op, namelijk een kwetsbaarheid in iOS en macOS. Het oudste lek in het overzicht stamt uit 2006 en bevindt zich in Apache Struts. Sinds de lijst werd gelanceerd zijn er zestig beveiligingslekken aan de lijst toegevoegd, met de laatste update afgelopen vrijdag.