La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves cuatro fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de que fueron explotadas en la naturaleza.
Aquí está la lista de vulnerabilidades:
CVE-2025-68645 (puntaje CVSS: 8.8) – La vulnerabilidad de inclusión de archivo remoto PHP en Synacor Zimbra Collaboration Suite (ZCS) podría permitir a atacantes remotos crear solicitudes al punto final «/h/rest» e incluir archivos arbitrarios del directorio WebRoot sin autenticación, en la versión 10.1.13 2025-11 (corregido en abril de 2025) CVE-2025-34026 (Puntuación CVSS: 9.2): la omisión de autenticación en la plataforma de orquestación SD-WAN VersaConcerto podría permitir que un atacante acceda a los puntos finales de administración (corregido en abril de 2025 en la versión 12.2.1 GA). CVE-2025-31125 (Puntuación CVSS: 5.3): Vulnerabilidad de control de acceso inadecuado de Vite Vitejs. Permitir que el contenido de archivos arbitrarios se devuelva al navegador usando ?inline&import o ?raw?import (corregido en marzo de 2025 en las versiones 6.2.4, 6.1.3, 6.0.13, 5.4.16 y 4.5.11) CVE-2025-54313 (puntuación CVSS: 7.5): una vulnerabilidad de código malicioso integrada en eslint-config-prettier podría permitir la ejecución de una DLL maliciosa llamada Scavenger Loader que está diseñada para robar información
Vale la pena señalar que CVE-2025-54313 se refiere a un ataque a la cadena de suministro que se reveló en julio de 2025 y que tiene como objetivo eslint-config-prettier y otros seis paquetes npm: eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall, got-fetch y is.
Esta campaña de phishing se dirige a los mantenedores de paquetes con enlaces falsos que recopilan credenciales con el pretexto de verificar direcciones de correo electrónico como parte del mantenimiento rutinario de la cuenta, lo que permite a los actores de amenazas publicar versiones troyanizadas.
Según CrowdSec, la actividad de explotación dirigida a CVE-2025-68645 ha estado en curso desde el 14 de enero de 2026. En este momento, no hay detalles sobre cómo se están explotando otras vulnerabilidades en la naturaleza.
De conformidad con la Directiva operativa vinculante (BOD) 22-01, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 12 de febrero de 2026 para proteger sus redes de amenazas activas.
Source link
