La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) el jueves adicional cuatro fallas de seguridad en sus vulnerabilidades explotadas conocidas ( KEV ), en el que se citan pruebas de explotación activa en la naturaleza.

La lista de vulnerabilidades es la siguiente -

  • CVE-2025-68645 (Puntuación CVSS: 8.8) - A Inclusión remota de archivos PHP vulnerabilidad en Synacor Zimbra Collaboration Suite (ZCS) que podía permitir a un atacante remoto crear solicitudes al punto final «/h/rest» y permitir la inclusión de archivos arbitrarios del directorio WebRoot sin ningún tipo de autenticación (se solucionó en noviembre de 2025 con versión 10.1.13 )
  • CVE-2025-34026 (Puntuación CVSS: 9,2) - Un omisión de autenticación en la plataforma de orquestación SD-WAN Versa Concerto que podría permitir a un atacante acceder a los puntos finales administrativos (corregido en abril de 2025 con versión 12.2.1 GA )
  • CVE-2025-31125 (Puntuación CVSS: 5.3) - ¿Una vulnerabilidad de control de acceso inadecuada en Vite Vitejs que podría permitir devolver el contenido de archivos arbitrarios al navegador utilizando? en línea e importación o? ¿crudo? importación (corregido en marzo de 2025 con versiones 6.2.4, 6.1.3, 6.0.13, 5.4.16 y 4.5.11 )
  • CVE-2025-54313 (Puntuación CVSS: 7.5): una vulnerabilidad de código malicioso incrustada en eslint-config-prettier que podría permitir la ejecución de una DLL maliciosa denominada Scavenger Loader diseñada para ofrecer un ladrón de información

Vale la pena señalar que CVE-2025-54313 se refiere a ataque a la cadena de suministro dirigido a eslint-config-prettier y otros seis paquetes npm, eslint-plugin-prettier, synckit, @pkgr /core, napi-postinstall, got-fetch e is, que salieron a la luz en julio de 2025.

La campaña de suplantación de identidad tenía como objetivo a los mantenedores de los paquetes con enlaces falsos que recopilaban sus credenciales con el pretexto de verificar su dirección de correo electrónico como parte del mantenimiento regular de la cuenta, lo que permitía a los actores de la amenaza publicar versiones troyanizadas.

De acuerdo con CrowdSec , los esfuerzos de explotación dirigidos al CVE-2025-68645 han estado en curso desde el 14 de enero de 2026. Actualmente no hay detalles sobre cómo se están explotando las demás vulnerabilidades en estado salvaje.

De conformidad con la Directiva Operativa Vinculante (BOD) 22-01, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 12 de febrero de 2026 para proteger sus redes contra las amenazas activas.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.