La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles dos fallas de seguridad que afectan a Microsoft Office y OneView de Hewlett Packard Enterprise (HPE) a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades se enumeran a continuación:
CVE-2009-0556 (Puntuación CVSS: 8.8) – Vulnerabilidad de inyección de código en Microsoft Office PowerPoint permite a atacantes remotos ejecutar código arbitrario a través de corrupción de memoria CVE-2025-37164 (Puntuación CVSS: 10.0) – Vulnerabilidad de inyección de código en HPW OneView permite a usuarios remotos no autenticados ejecutar código arbitrario.
Los detalles sobre CVE-2025-37164 se revelaron el mes pasado cuando HPE dijo que la vulnerabilidad afectaba a todas las versiones del software anteriores a la versión 11.00. La compañía también proporcionó revisiones para las versiones 5.20 a 10 de OneView.
Actualmente se desconoce el alcance y el origen de los ataques dirigidos a las dos fallas, y no parece haber informes públicos que mencionen la explotación real. Sin embargo, un informe de eSentire del 23 de diciembre de 2025 reveló que se ha publicado un exploit de prueba de concepto (PoC) detallado para CVE-2025-37164.
«Cuando se publica el código de explotación PoC, aumenta significativamente el riesgo para las organizaciones que ejecutan versiones afectadas de la aplicación», dijo eSentire. «Esta vulnerabilidad afecta a todas las versiones anteriores a la 11.0, por lo que se recomienda encarecidamente a las organizaciones que apliquen las actualizaciones necesarias para reducir el riesgo potencial de explotación».
De conformidad con la Directiva operativa vinculante (BOD) 22-01, se alienta a las agencias del Poder Ejecutivo Civil Federal (FCEB) a aplicar las correcciones necesarias antes del 28 de enero de 2026 para proteger sus redes de amenazas activas.
Source link
