La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el martes adicional una falla de seguridad de alta gravedad que afecta a los productos del extensor Wi-Fi Ranger TL-WA855RE de TP-Link y sus vulnerabilidades conocidas explotadas ( KEV ), en el que se citan pruebas de explotación activa.
La vulnerabilidad, CVE-2020-24363 (puntuación CVSS: 8,8), se refiere a un caso de falta de autenticación del que se podría abusar para obtener un acceso elevado al dispositivo susceptible.
«Esta vulnerabilidad podría permitir a un atacante no autenticado (en la misma red) enviar una solicitud POST TDDP_RESET para restablecer los valores de fábrica y reiniciar», dijo la agencia. «El atacante puede entonces obtener un control de acceso incorrecto al establecer una nueva contraseña administrativa».
De acuerdo con análisis forense de malware , el problema se ha solucionado con la versión de firmware TL-WA855RE (EU) _V5_200731. Sin embargo, cabe señalar que el producto tiene alcanzó estado de fin de vida útil (EoL), lo que significa que es poco probable que reciba parches o actualizaciones. Se recomienda a los usuarios del extensor de alcance Wi-Fi que sustituyan su equipo por un modelo más nuevo que solucione el problema.
La CISA no ha compartido ningún detalle sobre cómo se explota la vulnerabilidad en la naturaleza, por quién o sobre la magnitud de dichos ataques.
También se ha añadido al catálogo de KEV una falla de seguridad que WhatsApp reveló la semana pasada (CVE-2025-55177, puntuación CVSS: 5,4) por haber sido explotada como parte de una campaña de software espía muy dirigida al encadenarla con una vulnerabilidad de Apple iOS, iPadOS y macOS ( CVE-2025-43300 , puntuación CVSS: 8,8).
No se sabe mucho sobre quién fue el objetivo y quién proveedor comercial de spyware está detrás de los ataques, pero WhatsApp dijo The Hacker News informó de que envió notificaciones de amenazas en la aplicación a menos de 200 usuarios que podrían haber sido atacados como parte de la campaña.
Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las mitigaciones necesarias antes del 23 de septiembre de 2025, tanto para las vulnerabilidades como para contrarrestar las amenazas activas.