CISA alerta sobre vulnerabilidades críticas en software ampliamente explotadas
Publicado el
La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha actualizado su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), incorporando cuatro nuevas fallas de seguridad que están siendo activamente aprovechadas en el ámbito real. Estas vulnerabilidades presentan un riesgo significativo para las organizaciones que no apliquen las correcciones necesarias.
Detalles de las Vulnerabilidades
Las vulnerabilidades incluidas son las siguientes:
- CVE-2025-68645 (Puntuación CVSS: 8.8): Se trata de una vulnerabilidad de inclusión de archivos remotos en Synacor Zimbra Collaboration Suite (ZCS), que permite a un atacante remoto realizar solicitudes al endpoint "/h/rest" y acceder a archivos arbitrarios del directorio WebRoot sin necesidad de autenticación. Esta falla fue solucionada en noviembre de 2025 con la versión 10.1.13.
- CVE-2025-34026 (Puntuación CVSS: 9.2): Esta vulnerabilidad permite el bypass de autenticación en la plataforma de orquestación Versa Concerto SD-WAN, lo que podría permitir a un atacante acceder a endpoints administrativos. La corrección fue lanzada en abril de 2025 con la versión 12.2.1 GA.
- CVE-2025-31125 (Puntuación CVSS: 5.3): Se trata de un problema de control de acceso inadecuado en Vite Vitejs, que podría permitir que contenidos de archivos arbitrarios sean devueltos al navegador utilizando los parámetros `?inline&import` o `?raw?import`. Esta vulnerabilidad se corrigió en marzo de 2025 con varias versiones (6.2.4, 6.1.3, 6.0.13, 5.4.16 y 4.5.11).
- CVE-2025-54313 (Puntuación CVSS: 7.5): Esta vulnerabilidad permite la ejecución de un código malicioso incrustado en eslint-config-prettier, que puede activar un DLL malicioso conocido como Scavenger Loader, diseñado para robar información. Esta falla está vinculada a un ataque de cadena de suministro que afecta a varios paquetes de npm, y se descubrió en julio de 2025.
Contexto y Recomendaciones
El ataque relacionado con CVE-2025-54313 implicó una campaña de phishing que se dirigió a los mantenedores de los paquetes con enlaces fraudulentos, recolectando credenciales bajo el pretexto de verificar sus direcciones de correo electrónico. Esto permitió a los atacantes publicar versiones trojanizadas de los paquetes afectados.
CrowdSec ha informado que los esfuerzos de explotación de la CVE-2025-68645 han estado en curso desde el 14 de enero de 2026. Sin embargo, no se han proporcionado detalles sobre cómo se están explotando las otras vulnerabilidades en el entorno real.
De acuerdo con la Directiva Operativa Vinculante (BOD) 22-01, las agencias del Federal Civilian Executive Branch (FCEB) deben aplicar las correcciones necesarias antes del 12 de febrero de 2026 para proteger sus redes contra estas amenazas activas. La atención y acción rápida son cruciales para mitigar los riesgos asociados a estas vulnerabilidades.