La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el lunes adicional cinco fallas de seguridad en sus vulnerabilidades explotadas conocidas ( KEV ) Catalog, que confirma oficialmente que una vulnerabilidad revelada recientemente que afecta a Oracle E-Business Suite (EBS) se ha convertido en arma en ataques en el mundo real.
El defecto de seguridad en cuestión es CVE-2025-61884 (puntuación CVSS: 7,5), que se ha descrito como una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el componente Runtime de Oracle Configurator que podría permitir a los atacantes el acceso no autorizado a datos críticos.
«Esta vulnerabilidad se puede explotar de forma remota sin autenticación», afirma CISA.
CVE-2025-61884 es la segunda falla de Oracle EBS que se explota activamente junto con CVE-2025-61882 (puntuación CVSS: 9,8), un error crítico que podía permitir a atacantes no autenticados ejecutar código arbitrario en instancias vulnerables.
A principios de este mes, Google Threat Intelligence Group (GTIG) y Mandiant revelada es posible que docenas de organizaciones se hayan visto afectadas tras la explotación del CVE-2025-61882.
«En este momento, no podemos atribuir ninguna actividad de explotación específica a un actor específico, pero es probable que al menos parte de la actividad de explotación que observamos haya sido llevada a cabo por actores que ahora llevan a cabo operaciones de extorsión con la marca CL0P», dijo Zander Work, ingeniero de seguridad sénior de GTIG, a The Hacker News la semana pasada.
CISA también ha agregado al catálogo de KEV otras cuatro vulnerabilidades:
- CVE-2025-33073 (Puntuación CVSS: 8.8): una vulnerabilidad de control de acceso inadecuada en el cliente Microsoft Windows SMB que podía permitir la escalada de privilegios (Microsoft la solucionó en junio de 2025)
- CVE-2025-2746 (Puntuación CVSS: 9,8): una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativos en el CMS Kentico Xperience que podía permitir a un atacante controlar los objetos administrativos al aprovechar la gestión de contraseñas del servidor de sincronización intermedia de los nombres de usuario SHA1 vacíos en la autenticación resumida (se solucionó en Kentico en marzo de 2025)
- CVE-2025-2747 (Puntuación CVSS: 9,8): una vulnerabilidad por omisión de la autenticación mediante una ruta o canal alternativos en el CMS Kentico Xperience que podría permitir a un atacante controlar los objetos administrativos al aprovechar la gestión de contraseñas del servidor Staging Sync para el tipo Ninguno definido por el servidor (se solucionó en Kentico en marzo de 2025)
- CVE-92248503 (Puntuación CVSS: 8.8): una validación incorrecta de la vulnerabilidad del índice de matrices en el componente JavascriptCore de Apple que podía provocar la ejecución de código arbitrario al procesar contenido web (Apple lo solucionó en julio de 2022)
Actualmente no hay detalles sobre cómo se están explotando los cuatro problemas antes mencionados en la naturaleza, aunque investigadores de CVE-2025-33073, CVE-2025-2746 y CVE-2025-2747 compartieron detalles sobre el CVE-2025-33073, el CVE-2025-2746 y el CVE-2025-2747 Synacktiv y WatchTower Labs , respectivamente.
Las agencias del Poder Ejecutivo Civil Federal (FCEB) deben corregir las vulnerabilidades identificadas antes del 10 de noviembre de 2025 para proteger sus redes contra las amenazas activas.