La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el lunes dos defectos de seguridad críticos que afectan la plataforma Erlang/Open Telecom Platform (OTP) y RoundCube a su catálogo de vulnerabilidades explotadas (KEV) conocidas, basadas en evidencia de explotación activa.
Las vulnerabilidades en cuestión se enumeran a continuación –
- CVE-2025-32433 (Puntuación CVSS: 10.0): una autenticación faltante para una vulnerabilidad de la función crítica en el servidor ERLANG/OTP SSH que podría permitir que un atacante ejecute comandos arbitrarios sin credenciales válidas, lo que puede conducir a la ejecución de código remoto no autorenticado. (Se fijó en abril de 2025 en versiones OTP-27.3.3, OTP-26.2.5.11 y OTP-25.3.2.20)
- CVE-2024-42009 (Puntuación CVSS: 9.3): una vulnerabilidad de secuencias de comandos de sitios cruzados (XSS) en RoundCube Webmail que podría permitir que un atacante remoto robe y envíe correos electrónicos de una víctima a través de un mensaje de correo electrónico diseñado al aprovechar un problema de desanitización en el programa/acciones/correo/show.php. (Se fijó en agosto de 2024 en las versiones 1.6.8 y 1.5.8)
Actualmente no hay detalles sobre cómo se explotan las dos vulnerabilidades en la naturaleza y quién. El mes pasado, ESET reveló que el actor de amenaza vinculado a Rusia conocido como APT28 explotó varios fallas XSS en RoundCube, Horde, Mdemon y Zimbra para dirigirse a entidades gubernamentales y compañías de defensa en Europa del Este. No está claro si el abuso de CVE-2024-42009 está relacionado con esta actividad o algo más.
Según los datos de Censys, hay 340 servidores de Erlang expuestos, aunque es importante que no señala que no todas las instancias son necesariamente susceptibles a la falla. La divulgación pública de CVE-2025-32433 ha sido seguida rápidamente por la liberación de varias exploits de prueba de concepto (POC) para ello.
A la luz de la explotación activa, las agencias federales de rama ejecutiva civil (FCEB) deben aplicar las soluciones necesarias antes del 30 de junio de 2025, para una protección óptima.
El desarrollo se produce cuando PatchStack marcó una vulnerabilidad de adquisición de cuenta sin parparse en el complemento Payu CommercePro para WordPress (CVE-2025-31022, CVSS SCUENT: 9.8) que permite a un atacante tomar el control de cualquier usuario de un sitio sin ninguna autenticación.
Esto puede tener graves consecuencias cuando el atacante puede secuestrar una cuenta de administrador, permitiéndoles hacerse cargo del sitio y realizar acciones maliciosas. La vulnerabilidad afecta las versiones 3.8.5 y antes. El complemento tiene más de 5,000 instalaciones activas.
El problema tiene que ver con una función llamada «update_cart_data ()», que, a su vez, se invoca desde un punto final llamado «/payu/v1/get-shipping-costo» que verifica si existe una dirección de correo electrónico proporcionada, y si es así, procesa el pedido de comercio electrónico para verificar.
Pero debido a que el punto final verifica un token válido vinculado a una dirección de correo electrónico codificada («comercio.pro@payu (.) En») y existe otra API REST para generar un token de autenticación para un correo electrónico dado («/payu/v1/generate-user-token»), un atacante podría expotir este comportamiento para obtener el token correspondiente a «comercio». Envíe una solicitud a «/payu/v1/get-shipping-costo» y secuestre cualquier cuenta.
Se recomienda a los usuarios que desactiven y eliminen el complemento hasta que un parche para la vulnerabilidad esté disponible.
«Es necesario asegurarse de que los puntos finales de API REST no autenticados no sean demasiado permisivos y proporcionen más acceso a los usuarios», dijo Patchstack. «Además, no se recomienda información confidencial o dinámica de codificación dura, como direcciones de correo electrónico para usarla para otros casos dentro de la base de código».