La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el lunes adicional un fallo de seguridad crítico que afecta a la utilidad de línea de comandos Sudo para sistemas operativos similares a Linux y Unix y sus vulnerabilidades conocidas explotadas ( KEV ), en el que se citan pruebas de explotación activa en la naturaleza.
La vulnerabilidad en cuestión es CVE-2025-32463 (puntuación CVSS: 9.3), que afecta a las versiones de Sudo anteriores a 1.9.17p1. Lo era divulgado del investigador de Stratascale Rich Mirch en julio de 2025.
«Sudo incluye la funcionalidad de una vulnerabilidad de esfera de control que no es confiable», dijo CISA. «Esta vulnerabilidad podría permitir a un atacante local aprovechar la opción -R (--chroot) de sudo para ejecutar comandos arbitrarios como usuario root, incluso si no aparecen en el archivo sudoers».
Actualmente no se sabe cómo se aprovecha esta deficiencia en los ataques del mundo real ni quién puede estar detrás de tales esfuerzos. También se agregan al catálogo de KEV otros cuatro defectos:
- CVE-2021-21311 - Adminer contiene una vulnerabilidad de falsificación de solicitudes del lado del servidor que, cuando se aprovecha, permite a un atacante remoto obtener información potencialmente confidencial. (Se descubrió que Google Mandiant la explotó en mayo de 2022 para atacar las configuraciones del IMDS de AWS por parte de un actor de amenazas llamado UNC2903)
- CVE-2025-20352 - Cisco IOS e IOS XE contienen una vulnerabilidad de desbordamiento de búfer basada en pilas en el subsistema del Protocolo simple de administración de redes (SNMP) que podría permitir la denegación de servicio o la ejecución remota de código. (Revelado como explotado por Cisco la semana pasada)
- CVE-2025-10035 - Fortra GoAnywhere MFT contiene una vulnerabilidad de deserialización de datos no confiables que permite a un actor con una firma de respuesta de licencia falsificada de forma válida deserializar un objeto arbitrario controlado por un actor, lo que podría provocar la inyección de comandos. (Revelado como explotado por WatchTowr Labs la semana pasada)
- CVE-2025-59689 - Libraesva Email Security Gateway (ESG) contiene una vulnerabilidad de inyección de comandos que permite la inyección de comandos a través de un archivo adjunto de correo electrónico comprimido. (Publicado como explotado por Libraesva la semana pasada)
En vista de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que dependen de los productos afectados que apliquen las medidas de mitigación necesarias antes del 20 de octubre de 2025 para proteger sus redes.