La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el lunes cinco fallas de seguridad a su catálogo de vulnerabilidades explotadas conocidas (KEV), confirmando oficialmente que una vulnerabilidad recientemente revelada que afecta a Oracle E-Business Suite (EBS) ha sido utilizada como arma en ataques del mundo real.
El defecto de seguridad en cuestión es CVE-2025-61884 (puntuación CVSS: 7,5), que se ha descrito como una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el componente Runtime de Oracle Configurator que podría permitir a los atacantes acceso no autorizado a datos críticos.
«Esta vulnerabilidad se puede explotar de forma remota sin autenticación», dijo CISA.
CVE-2025-61884 es la segunda falla en Oracle EBS que se explota activamente junto con CVE-2025-61882 (puntuación CVSS: 9,8), un error crítico que podría permitir a atacantes no autenticados ejecutar código arbitrario en instancias susceptibles.
A principios de este mes, Google Threat Intelligence Group (GTIG) y Mandiant revelaron que docenas de organizaciones pueden haberse visto afectadas tras la explotación de CVE-2025-61882.
«En este momento, no podemos atribuir ninguna actividad de explotación específica a un actor específico, pero es probable que al menos parte de la actividad de explotación que observamos fuera realizada por actores que ahora llevan a cabo operaciones de extorsión con la marca Cl0p», dijo Zander Work, ingeniero senior de seguridad de GTIG, a The Hacker News la semana pasada.
CISA también agregó al catálogo KEV otras cuatro vulnerabilidades:
- CVE-2025-33073 (Puntuación CVSS: 8,8): una vulnerabilidad de control de acceso inadecuado en el cliente SMB de Microsoft Windows que podría permitir una escalada de privilegios (solucionado por Microsoft en junio de 2025)
- CVE-2025-2746 (Puntuación CVSS: 9,8): una omisión de autenticación que utiliza una ruta alternativa o una vulnerabilidad de canal en Kentico Xperience CMS que podría permitir a un atacante controlar objetos administrativos aprovechando el manejo de contraseñas del Staging Sync Server de nombres de usuario SHA1 vacíos en la autenticación implícita (corregido en Kentico en marzo de 2025).
- CVE-2025-2747 (Puntuación CVSS: 9,8): una omisión de autenticación que utiliza una ruta alternativa o una vulnerabilidad de canal en Kentico Xperience CMS que podría permitir a un atacante controlar objetos administrativos aprovechando el manejo de contraseñas del Staging Sync Server para el servidor definido como Ninguno (corregido en Kentico en marzo de 2025).
- CVE-2022-48503 (Puntuación CVSS: 8,8): una validación incorrecta de la vulnerabilidad del índice de matriz en el componente JavaScriptCore de Apple que podría provocar la ejecución de código arbitrario al procesar contenido web (solucionado por Apple en julio de 2022).
Actualmente no hay detalles sobre cómo se están explotando los cuatro problemas antes mencionados en la naturaleza, aunque investigadores de Synacktiv y watchTowr Labs compartieron detalles sobre CVE-2025-33073, CVE-2025-2746 y CVE-2025-2747, respectivamente.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben remediar las vulnerabilidades identificadas antes del 10 de noviembre de 2025 para proteger sus redes contra amenazas activas.