La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes cinco fallas de seguridad a su catálogo de vulnerabilidades explotadas conocidas (KEV), confirmando oficialmente que una vulnerabilidad recientemente revelada que afecta a Oracle E-Business Suite (EBS) ha sido utilizada como armamento en ataques del mundo auténtico.
El defecto de seguridad en cuestión es CVE-2025-61884 (puntuación CVSS: 7,5), que se ha descrito como una vulnerabilidad de falsificación de solicitudes del banda del servidor (SSRF) en el componente Runtime de Oracle Configurator que podría permitir a los atacantes camino no acreditado a datos críticos.
“Esta vulnerabilidad se puede explotar de forma remota sin autenticación”, dijo CISA.
CVE-2025-61884 es la segunda equivocación en Oracle EBS que se explota activamente próximo con CVE-2025-61882 (puntuación CVSS: 9,8), un error crítico que podría permitir a atacantes no autenticados ejecutar código injustificado en instancias susceptibles.
A principios de este mes, Google Threat Intelligence Group (GTIG) y Mandiant revelaron que docenas de organizaciones pueden haberse manido afectadas tras la explotación de CVE-2025-61882.
“En este momento, no podemos atribuir ninguna actividad de explotación específica a un actor específico, pero es probable que al menos parte de la actividad de explotación que observamos fuera realizada por actores que ahora llevan a angla operaciones de perturbación con la marca Cl0p”, dijo Zander Work, ingeniero senior de seguridad de GTIG, a The Hacker News la semana pasada.
CISA asimismo agregó al catálogo KEV otras cuatro vulnerabilidades:
- CVE-2025-33073 (Puntuación CVSS: 8,8): una vulnerabilidad de control de camino inadecuado en el cliente SMB de Microsoft Windows que podría permitir una ascenso de privilegios (solucionado por Microsoft en junio de 2025)
- CVE-2025-2746 (Puntuación CVSS: 9,8): una omisión de autenticación que utiliza una ruta alternativa o una vulnerabilidad de canal en Kentico Xperience CMS que podría permitir a un atacante controlar objetos administrativos aprovechando el manejo de contraseñas del Staging Sync Server de nombres de beneficiario SHA1 vacíos en la autenticación implícita (corregido en Kentico en marzo de 2025).
- CVE-2025-2747 (Puntuación CVSS: 9,8): una omisión de autenticación que utiliza una ruta alternativa o una vulnerabilidad de canal en Kentico Xperience CMS que podría permitir a un atacante controlar objetos administrativos aprovechando el manejo de contraseñas del Staging Sync Server para el servidor definido como Nadie (corregido en Kentico en marzo de 2025).
- CVE-2022-48503 (Puntuación CVSS: 8,8): una moral incorrecta de la vulnerabilidad del índice de matriz en el componente JavaScriptCore de Apple que podría provocar la ejecución de código injustificado al procesar contenido web (solucionado por Apple en julio de 2022).
Actualmente no hay detalles sobre cómo se están explotando los cuatro problemas antiguamente mencionados en la naturaleza, aunque investigadores de Synacktiv y watchTowr Labs compartieron detalles sobre CVE-2025-33073, CVE-2025-2746 y CVE-2025-2747, respectivamente.
Las agencias del Poder Ejecutante Civil Federal (FCEB) deben remediar las vulnerabilidades identificadas antiguamente del 10 de noviembre de 2025 para proteger sus redes contra amenazas activas.
