EDR NEWS te informa: CISA Updates KEV Catalog with Four Actively Exploited Software Vulnerabilities

Ravie Lakshmanan23 de enero de 2026Vulnerabilidad/Seguridad del software

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el jueves agregado cuatro fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, citando evidencia de explotación activa en la naturaleza.

La lista de vulnerabilidades es la siguiente:

• CVE-2025-68645 (Puntuación CVSS: 8,8) – A Inclusión remota de archivos PHP Vulnerabilidad en Synacor Zimbra Collaboration Suite (ZCS) que podría permitir a un atacante remoto crear solicitudes al punto final «/h/rest» y permitir la inclusión de archivos arbitrarios desde el directorio WebRoot sin ninguna autenticación (corregido en noviembre de 2025 con versión 10.1.13)
• CVE-2025-34026 (Puntuación CVSS: 9,2) – Un omisión de autenticación en la plataforma de orquestación Versa Concerto SD-WAN que podría permitir a un atacante acceder a puntos finales administrativos (corregido en abril de 2025 con versión 12.2.1 GA)
• CVE-2025-31125 (Puntuación CVSS: 5.3) – Una vulnerabilidad de control de acceso inadecuado en Vite Vitejs que podría permitir que el contenido de archivos arbitrarios se devuelva al navegador usando ?inline&import o ?raw?import (corregido en marzo de 2025 con versiones 6.2.4, 6.1.3, 6.0.13, 5.4.16 y 4.5.11)
• CVE-2025-54313 (Puntuación CVSS: 7,5): una vulnerabilidad de código malicioso incrustado en eslint-config-prettier que podría permitir la ejecución de una DLL maliciosa denominada Scavenger Loader que está diseñada para ofrecer un ladrón de información.

Vale la pena señalar que CVE-2025-54313 se refiere a un ataque a la cadena de suministro dirigido a eslint-config-prettier y otros seis paquetes npm, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall, got-fetch y is, que salió a la luz en julio de 2025.

La campaña de phishing se dirigió a los mantenedores de paquetes con enlaces falsos que recopilaban sus credenciales con el pretexto de verificar su dirección de correo electrónico como parte del mantenimiento regular de la cuenta, lo que permitió a los actores de amenazas publicar versiones troyanizadas.

De acuerdo a MultitudSeclos esfuerzos de explotación dirigidos a CVE-2025-68645 han estado en curso desde el 14 de enero de 2026. Actualmente no hay detalles sobre cómo se están explotando las otras vulnerabilidades en la naturaleza.

De conformidad con la Directiva Operativa Vinculante (BOD) 22-01, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 12 de febrero de 2026 para proteger sus redes contra amenazas activas.