CISA añade fallos de Oracle y otros a su catálogo de vulnerabilidades explotadas
La Agencia de Ciberseguridad e Infraestructura de Seguridad de EE.UU. ha añadido vulnerabilidades de Oracle, Mozilla, Microsoft Windows, Kernel de Linux y Microsoft Internet Explorer a su catálogo de Vulnerabilidades Explotadas Conocidas. Esta acción requiere que las agencias federales aborden estos fallos para el 27 de octubre de 2025, con el fin de mitigar riesgos de exploits en curso. Entre las adiciones se encuentra una vulnerabilidad crítica de Oracle que se parcheó recientemente tras ser explotada por actores de ransomware.
La Agencia de Ciberseguridad e Infraestructura de Seguridad de EE.UU. (CISA) actualizó recientemente su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) al incluir siete fallos específicos que afectan a varios productos de software. Estas adiciones abarcan vulnerabilidades en Oracle E-Business Suite, productos de Mozilla, Microsoft Windows, Kernel de Linux y Microsoft Internet Explorer.
Las vulnerabilidades listadas son:
- CVE-2010-3765: Vulnerabilidad de ejecución remota de código en múltiples productos de Mozilla
- CVE-2010-3962: Vulnerabilidad de corrupción de memoria no inicializada en Microsoft Internet Explorer
- CVE-2011-3402: Vulnerabilidad de ejecución remota de código en Microsoft Windows
- CVE-2013-3918: Vulnerabilidad de escritura fuera de límites en Microsoft Windows
- CVE-2021-22555: Vulnerabilidad de escritura fuera de límites en el montón del Kernel de Linux
- CVE-2021-43226: Vulnerabilidad de escalada de privilegios en Microsoft Windows
- CVE-2025-61882: Vulnerabilidad no especificada en Oracle E-Business Suite
Una entrada destacada es CVE-2025-61882, un fallo crítico con una puntuación CVSS de 9.8 en las versiones 12.2.3 a 12.2.14 de Oracle E-Business Suite, específicamente en el componente de integración de BI Publisher de Oracle Concurrent Processing. Esta semana, Oracle emitió un parche de emergencia para él. La vulnerabilidad permite a atacantes remotos no autenticados obtener control a través de HTTP y ha sido explotada por el grupo de ransomware Cl0p en ataques de robo de datos. Los expertos la describen como fácilmente explotable.
Algunos de los fallos añadidos son notablemente antiguos, como CVE-2013-3918, que se remonta a 2013. Esta vulnerabilidad fue utilizada inicialmente por el grupo de amenaza persistente avanzada responsable del ataque Aurora de 2009. En 2015, Kaspersky informó que el actor estatal conocido como el grupo Equation había capturado y reutilizado el exploit para atacar a usuarios gubernamentales en Afganistán.
Bajo la Directiva Operativa Vinculante (BOD) 22-01, las agencias de la rama ejecutiva civil federal deben remediar estas vulnerabilidades del catálogo KEV en las fechas límite especificadas para proteger sus redes. CISA ha establecido el 27 de octubre de 2025 como la fecha límite para que las agencias federales las corrijan. Los expertos en seguridad instan a las organizaciones privadas a revisar el catálogo y parchear los sistemas afectados de inmediato para prevenir explotaciones similares.