Basado en la evidencia de la explotación activa, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha agregado dos fallas de seguridad que afectan el software Sysaid Support Software a su catálogo de vulnerabilidades explotadas (KEV) conocidas.
Las vulnerabilidades en cuestión se enumeran a continuación –
CVE-2025-2775 (puntuación CVSS: 9.3)-Vulnerabilidad de referencia en la función de procesamiento de registro de límite incorrecto de entidad externa XML (XXE). Funcionalidad para permitir la adquisición de la cuenta del administrador y las primitivas de lectura de archivos
Ambos inconvenientes fueron revelados en mayo por CVE-2025-2777 (puntaje CVSS: 9.3), un XXE dentro del punto final /LSHW, junto con CVE-2025-2777 (puntaje CVSS: 9.3), junto con CVE-2025-2777 (puntuación CVSS: 9.3).
SYSAID abordó las tres vulnerabilidades en la versión 24.4.60 Build 16, lanzada a principios de marzo de 2025.
Las compañías de seguridad cibernética dijeron que la vulnerabilidad permite a los atacantes insertar entidades XML inseguras en aplicaciones web, y se reveló en junio del año pasado que la ejecución de código remoto se reveló cuando condujo a ataques de falsificación de solicitudes del lado del servidor (SSRF), que en algunos casos encadenaron con CVE-2024-36394.
Actualmente se desconoce cómo se explotan CVE-2025-2775 y CVE-2025-2776 en ataques reales. Tampoco está disponible la información sobre la identidad del actor de amenaza, sus objetivos finales o la escala de estos esfuerzos.
Se requiere que una agencia federal de la División de Control Civil (FCEB) aplique las modificaciones necesarias antes del 12 de agosto de 2025 para evitar amenazas agresivas.
Source link
