La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el lunes dos fallas de seguridad importantes que afectan la plataforma Erlang/Open Telecom Platform (OTP) a su catálogo de vulnerabilidades de explotación (KEV) (KEV) basadas en evidencia de explotación activa.
Las vulnerabilidades en cuestión se enumeran a continuación –
CVE-2025-32433 (puntaje CVSS: 10.0)-Falta de autenticación para vulnerabilidades de funciones críticas en los servidores SSH ERLANG/OTP que permiten a los atacantes ejecutar comandos arbitrarios sin credenciales válidas, lo que lleva a una ejecución del código remoto potencialmente no reconocido. (Se solucionó en abril de 2025 en las versiones OTP-27.3.3, OTP-26.2.5.11 y OTP-2003.2.2.20) CVE-2024-42009 (CVSS SCUENT: 9.3)-Una scripting de sitio cruzado (XSS) Vulnerabilidad en el WebMail redondeado que podría permitir que un atacante remoto se envíe y envíe correos electrónicos de una víctima de una víctima de un correo electrónico. programa/acción/correo/show.php publicado (reparado en agosto de 2024 con versiones 1.6.8 y 1.5.8)
Actualmente no hay detalles sobre cómo se explotan las dos vulnerabilidades en la naturaleza y por quién. El mes pasado, ESET reveló que un actor de amenaza relacionado con el ruso conocido como APT28 ha explotado varios fallas XSS en Round Cube, Horde, Mdaemon y Zimbra, apuntando a agencias gubernamentales y compañías de defensa de Europa del Este. No está claro si el abuso CVE-2024-42009 está relacionado con esta actividad.
Según los datos de Censys, hay 340 servidores Erlang expuestos, pero notamos que no todas las instancias son necesariamente susceptibles a los defectos. La divulgación pública de CVE-2025-32433 fue seguida por la liberación de varias exploits de prueba de concepto (POC) poco después.
A la luz de la explotación agresiva, se requiere una agencia federal de la División de Control de Control privada (FCEB) para aplicar las modificaciones necesarias antes del 30 de junio de 2025 para una protección óptima.
El desarrollo permite a los atacantes confiscar el control de los usuarios en el sitio sin autenticación, ya que PatchStack indica la vulnerabilidad de la adquisición de las cuentas no ganadas del complemento de WordPress Payu CommercePro (CVE-2025-31022, CVSS puntaje: 9.8).
Esto puede tener consecuencias serias si un atacante puede secuestrar una cuenta de administrador, hacerse cargo del sitio y permitir que tome medidas maliciosas. La vulnerabilidad afecta las versiones 3.8.5 y anteriores. El complemento tiene más de 5,000 instalaciones activas.
El problema se relaciona con una función llamada «update_cart_data ()». Esto se llama desde un punto final llamado «/payu/v1/get-shipping-costo» que maneja la orden de comercio electrónico de la dirección de correo electrónico proporcionada, de ser así, si existe.
Sin embargo, las verificaciones de punto final para tokens válidos vinculados a una dirección de correo electrónico codificada («comercio.pro@payu (.) En») y debido a que hay otra API REST para generar un token de autenticación para un correo electrónico dado («/payu/v1/generar-user-token»), el atacante obtiene «un demerce.pro para adoptar este comportamiento». «Payu/v1/getser-coting»), el atacante es «un demorce.pro para adoptar este comportamiento». » cuenta.
Se recomienda a los usuarios que desactiven y eliminen el complemento hasta que esté disponible un parche para la vulnerabilidad.
«Necesitamos asegurarnos de que los puntos finales de API REST no autenticados no sean demasiado tolerados y proporcionar más acceso a los usuarios», dijo Patchstack. «Tampoco recomendamos información sensible o dinámica de codificación difícil, como direcciones de correo electrónico que usa para otros casos dentro de su base de código».
Source link
