Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 197

CISA 已知被利用漏洞(KEV)目录

审核人Cybersecurity entrepreneur & security researcher

CISA 已知被利用漏洞(KEV)目录 是什么?

CISA 已知被利用漏洞(KEV)目录由美国 CISA 维护的 CVE 清单,收录有可信证据表明正在被实际利用的漏洞,并为美国联邦文职机构设定强制性的修复期限;企业也广泛将其作为优先级信号。


CISA 已知被利用漏洞(KEV)目录是由美国网络安全和基础设施安全局(CISA)维护的一份清单,收录了 CISA 掌握可信证据、正在被实际利用的漏洞。KEV 于 2021 年 11 月依据 Binding Operational Directive 22-01 推出,该指令要求美国联邦文职行政部门(FCEB)机构必须在规定期限内(通常为两到三周)完成对所列 CVE 的修复。每条记录都包含 CVE、厂商/产品、简短描述、所需采取的措施、截止日期、加入日期,以及自 2024 年起新增的一个标记,用以说明该漏洞是否已知被用于勒索软件活动。

收录标准刻意设定得非常严格:只有当一个漏洞已分配 CVE ID、存在正在被主动利用的可靠证据(而非仅有公开的概念验证或扫描活动),且存在明确的修复方案(如厂商补丁)时,才会被加入。正是这一门槛使 KEV 极具价值——它将每年发布的约 40,000 个 CVE 过滤为攻击者真正加以武器化的那一小部分。该目录从2024 年底的 1,239 条增长到 2025 年底的 1,484 条(当年新增 245 条,增幅约 20%),涵盖操作系统、网络设备、VPN、RMM 工具、办公软件、浏览器和 ICS。像 PAN-OS 的 CVE-2024-3400 以及 Ivanti Connect Secure 漏洞链(CVE-2023-46805 + CVE-2024-21887)这类在边缘设备上迅速蔓延的零日漏洞,都在公开披露后数天内被加入。

尽管其正式适用范围仅限于美国联邦领域,KEV 已事实上成为跨行业的优先级信号——企业漏洞管理项目和网络保险公司都将纳入 KEV 视为"立即打补丁"的标志,ASPM/CSPM 平台则会将 KEV 状态与 CVSS 严重性、EPSS(Exploit Prediction Scoring System,漏洞利用预测评分系统)概率以及代码可达性一并呈现。通过接入机器可读的 JSON/CSV 数据源,团队可以自动升级处理任何运行着 KEV 所列产品的资产。

flowchart TD
  A[发布新 CVE] --> B{是否满足全部 3 项 KEV 标准?}
  B --> C[已分配 CVE ID]
  B --> D[正在被主动利用的可靠证据]
  B --> E[存在明确的修复方案]
  C & D & E -->|全部满足| F[加入 KEV Catalog]
  B -->|任一不满足 例如仅有 PoC| G[未加入]
  F --> H[BOD 22-01: 设定 FCEB 期限]
  F --> I[企业 + 保险公司视为立即打补丁]
  F --> J[向 ASPM/CSPM 提供 EPSS + CVSS + 可达性]
  style F fill:#27ae60,color:#fff
  style G fill:#7f8c8d,color:#fff

示例

  1. 01

    Mandiant 发布相关文章当天,FortiManager 的 'FortiJump' 漏洞 CVE-2024-47575 便被加入 KEV;FCEB 机构须在严格的期限内完成修复。

  2. 02

    某企业的补丁优先级策略要求,任何被列入 KEV 的 CVE 都必须在七天内修复,无论其 CVSS、EPSS 或资产重要性如何。

常见问题

CISA 已知被利用漏洞(KEV)目录 是什么?

由美国 CISA 维护的 CVE 清单,收录有可信证据表明正在被实际利用的漏洞,并为美国联邦文职机构设定强制性的修复期限;企业也广泛将其作为优先级信号。 它属于网络安全的 漏洞 分类。

CISA 已知被利用漏洞(KEV)目录 是什么意思?

由美国 CISA 维护的 CVE 清单,收录有可信证据表明正在被实际利用的漏洞,并为美国联邦文职机构设定强制性的修复期限;企业也广泛将其作为优先级信号。

如何防御 CISA 已知被利用漏洞(KEV)目录?

针对 CISA 已知被利用漏洞(KEV)目录 的防御通常结合技术控制与运营实践,详见上方完整定义。

CISA 已知被利用漏洞(KEV)目录 还有哪些其他名称?

常见的别称包括: KEV, 已知被利用漏洞。

相关术语