La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó el martes un defecto de seguridad de alta severidad que impacta los productos de extensor de guardabosques TP-WA855re Wi-Fi a su catálogo de vulnerabilidades explotadas (KEV) (KEV), citando evidencia de explotación activa.
La vulnerabilidad, CVE-2020-24363 (puntaje CVSS: 8.8), se refiere a un caso de autenticación faltante que podría ser abusada para obtener un acceso elevado al dispositivo susceptible.
«Esta vulnerabilidad podría permitir que un atacante no autenticado (en la misma red) envíe una solicitud POST TDDP_RESET para un reinicio y reiniciado de fábrica», dijo la agencia. «El atacante puede obtener un control de acceso incorrecto estableciendo una nueva contraseña administrativa».
Según MalwrForensics, el problema se ha solucionado con la versión de firmware TL-WA855re (EU) _V5_200731. Sin embargo, vale la pena señalar que el producto ha alcanzado el estado de fin de vida (EOL), lo que significa que es poco probable que reciba parches o actualizaciones. Se recomienda a los usuarios del extensor de gama Wi-Fi que reemplace su equipo con un modelo más nuevo para una protección óptima.
CISA no ha compartido ningún detalle sobre cómo se está explotando la vulnerabilidad en la naturaleza, por quién o en la escala de tales ataques.
También se agrega al catálogo de KEV un defecto de seguridad que WhatsApp divulgó la semana pasada (CVE-2025-55177, CVSS SCORE: 5.4) como se ha explotado como parte de una campaña de spyware altamente dirigida al encadenarlo con un Apple iOS, IPADOS y MACOS Vulnerabilidad (CVE-2025-43300, CVSS Score: 8.8).
No se sabe mucho sobre quién fue el objetivo y qué proveedor comercial de spyware está detrás de los ataques, pero WhatsApp le dijo a Hacker News que envió notificaciones de amenaza en la aplicación a menos de 200 usuarios que pueden haber sido atacados como parte de la campaña.
Se recomienda a las agencias de la rama ejecutiva civil federal (FCEB) que apliquen las mitigaciones necesarias antes del 23 de septiembre de 2025, tanto para las vulnerabilidades de contrarrestar las amenazas activas.