CISA, 이미 악용 중인 Adobe·Fortinet·Microsoft 취약점 7건 추가

Known Exploited Vulnerabilities catalog가 중요한 이유는 이것이 이론적인 취약점 목록이 아니라 실제 악용이 확인된 항목의 집합이기 때문이다. 그래서 4월 13일 업데이트는 그냥 지나치기 어렵다. CISA는 이번에 Adobe Acrobat and Reader, Fortinet FortiClient EMS, Microsoft Exchange Server, Microsoft Windows, Microsoft VBA에 걸친 7건을 새로 올렸고, 그중 하나는 연방 기관 기준 대응 시한이 4월 16일로 매우 가깝다.

가장 촉박한 항목은 FortiClient EMS의 CVE-2026-21643다. CISA는 이 SQL injection 취약점이 조작된 HTTP request를 통해 인증되지 않은 공격자에게 unauthorized code 또는 command execution 가능성을 줄 수 있다고 설명한다. 연방 민간 기관의 시한은 4월 16일이다. 나머지 6건은 4월 27일까지 대응하면 되지만, 그렇다고 긴급도가 낮다는 뜻은 아니다. Adobe 2건과 Microsoft 4건이 포함돼 있고, remote code execution과 privilege escalation 경로가 함께 섞여 있다.

• Adobe: CVE-2020-9715, CVE-2026-34621
• Fortinet: CVE-2026-21643
• Microsoft: CVE-2012-1854, CVE-2025-60710, CVE-2023-21529, CVE-2023-36424

이번 묶음이 눈에 띄는 이유는 범위가 넓기 때문이다. document reader, endpoint management server, Windows 내부 구성요소, Exchange Server, VBA까지 한 번에 걸치며, insecure library loading, out-of-bounds read, prototype pollution, SQL injection, deserialization 문제가 함께 등장한다. 즉 방어팀은 여전히 특정 제품군 하나만 보는 방식으로는 실제 악용 흐름을 따라가기 어렵다.

CISA는 조직이 KEV catalog를 vulnerability prioritization의 입력값으로 삼아야 한다고 설명하고, JSON feed에는 4월 13일 추가된 항목과 due date가 그대로 적혀 있다. 실무적인 결론은 단순하다. Fortinet, Adobe, Microsoft 자산이 운영 환경에 있다면 이번 업데이트는 다음 점검 주기 메모가 아니라 즉시 patch queue를 다시 정렬해야 한다는 신호다.