La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes cinco fallas de seguridad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), confirmando formalmente que una vulnerabilidad recientemente revelada que afecta a Oracle E-Business Suite (EBS) ha sido utilizada como arma en un ataque del mundo real.
La falla de seguridad en cuestión es CVE-2025-61884 (puntuación CVSS: 7,5), que describe una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el componente de tiempo de ejecución de Oracle Configurator que podría permitir a un atacante obtener acceso no autorizado a datos confidenciales.
«Esta vulnerabilidad puede explotarse de forma remota sin autenticación», dijo CISA.
CVE-2025-61884 es la segunda falla en Oracle EBS que se explota activamente, junto con CVE-2025-61882 (puntuación CVSS: 9,8), y es un error crítico que podría permitir que un atacante no autenticado ejecute código arbitrario en una instancia vulnerable.
A principios de este mes, Google Threat Intelligence Group (GTIG) y Mandiant revelaron que docenas de organizaciones pueden haber sido afectadas por exploits de CVE-2025-61882.
«Aunque no podemos determinar en este momento si una actividad de explotación específica es obra de un atacante específico, es probable que al menos parte de la actividad de explotación que observamos haya sido llevada a cabo por un actor que actualmente lleva a cabo operaciones de extorsión con la marca Cl0p», dijo Xander Wark, ingeniero senior de seguridad de GTIG, a Hacker News la semana pasada.
CISA agregó otras cuatro vulnerabilidades al catálogo KEV.
CVE-2025-33073 (puntuación CVSS: 8,8): vulnerabilidad de control de acceso inadecuado del cliente SMB de Microsoft Windows que permite la escalada de privilegios (corregido por Microsoft en junio de 2025) CVE-2025-2746 (puntuación CVSS: 9,8): la omisión de autenticación de Kentico Xperience CMS utilizando una ruta alternativa o una vulnerabilidad de canal podría permitir a un atacante obtener el control. Objetos administrados que utilizan el manejo de contraseñas del servidor Staging Sync para nombres de usuario SHA1 vacíos en la autenticación implícita (corregido por Kentico en marzo de 2025) CVE-2025-2747 (puntuación CVSS: 9,8): la omisión de autenticación utilizando una ruta alternativa o una vulnerabilidad de canal en Kentico Xperience CMS podría permitir a un atacante tomar el control de los objetos administrados aprovechando el manejo de contraseñas del servidor Staging Sync. Tipos de servidor no definidos (solucionado por Kentico en marzo de 2025) CVE-2022-48503 (puntuación CVSS: 8,8): validación incorrecta de la vulnerabilidad del índice de matriz en el componente JavaScriptCore de Apple que podría provocar la ejecución de código arbitrario al procesar contenido web (solucionado por Apple en julio de 2022)
Aunque actualmente se desconocen los detalles sobre cómo se están explotando los cuatro problemas antes mencionados en la naturaleza, investigadores de Synacktiv y watchTowr Labs han compartido detalles sobre CVE-2025-33073, CVE-2025-2746 y CVE-2025-2747, respectivamente.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben corregir las vulnerabilidades identificadas antes del 10 de noviembre de 2025 para proteger sus redes de amenazas activas.
Source link
