La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles dos fallas de seguridad que afectan a Microsoft Office y Hewlett Packard Enterprise (HPE) OneView a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades se enumeran a continuación:
- CVE-2009-0556 (Puntuación CVSS: 8,8): una vulnerabilidad de inyección de código en Microsoft Office PowerPoint que permite a atacantes remotos ejecutar código arbitrario mediante corrupción de memoria.
- CVE-2025-37164 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de código en HPW OneView que permite a un usuario remoto no autenticado realizar la ejecución remota de código.
Los detalles de CVE-2025-37164 surgieron el mes pasado cuando HPE dijo que la vulnerabilidad afecta a todas las versiones del software anteriores a la versión 11.00. La compañía también puso a disposición revisiones para las versiones 5.20 a 10 de OneView.
El alcance y la fuente de los ataques dirigidos a las dos fallas no están claros actualmente, y no parece haber informes públicos que hagan referencia a su explotación en la naturaleza. Sin embargo, un informe de eSentire del 23 de diciembre de 2025 reveló el lanzamiento de un exploit de prueba de concepto (PoC) detallado para CVE-2025-37164.
«La disponibilidad pública del código de explotación PoC aumenta significativamente el riesgo para las organizaciones que ejecutan versiones afectadas de la aplicación», dijo eSentire. «Dado que la vulnerabilidad afecta a todas las versiones anteriores a la 11.0, se recomienda encarecidamente a las organizaciones que apliquen las actualizaciones necesarias para mitigar el riesgo potencial de explotación».
De conformidad con la Directiva operativa vinculante (BOD) 22-01, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones necesarias antes del 28 de enero de 2026 para proteger sus redes contra amenazas activas.