CISA lägger till Oracle och andra brister i katalog över utnyttjade sårbarheter
Den amerikanska myndigheten för cybersäkerhet och infrastrukturssäkerhet har lagt till sårbarheter från Oracle, Mozilla, Microsoft Windows, Linux-kärnan och Microsoft Internet Explorer i sin katalog över kända utnyttjade sårbarheter. Detta kräver att federala myndigheter åtgärdar dessa brister senast den 27 oktober 2025 för att minska risker från pågående utnyttjande. Bland tilläggen finns en kritisk Oracle-sårbarhet som nyligen patchades efter utnyttjande av ransomware-aktörer.
Den amerikanska myndigheten för cybersäkerhet och infrastrukturssäkerhet (CISA) har nyligen uppdaterat sin katalog över kända utnyttjade sårbarheter (KEV) genom att inkludera sju specifika brister som påverkar olika mjukvaruprodukter. Dessa tillägg omfattar sårbarheter i Oracle E-Business Suite, Mozilla-produkter, Microsoft Windows, Linux-kärnan och Microsoft Internet Explorer.
De listade sårbarheterna är:
- CVE-2010-3765: Sårbarhet för fjärrkodexekvering i flera Mozilla-produkter
- CVE-2010-3962: Sårbarhet för korruption av oinitierad minne i Microsoft Internet Explorer
- CVE-2011-3402: Sårbarhet för fjärrkodexekvering i Microsoft Windows
- CVE-2013-3918: Sårbarhet för skrivning utanför gränser i Microsoft Windows
- CVE-2021-22555: Sårbarhet för skrivning utanför gränser i heap i Linux-kärnan
- CVE-2021-43226: Sårbarhet för privilegieskalning i Microsoft Windows
- CVE-2025-61882: Ospecificerad sårbarhet i Oracle E-Business Suite
En anmärkningsvärd post är CVE-2025-61882, en kritisk brist med CVSS-poäng 9,8 i Oracle E-Business Suite versioner 12.2.3 till 12.2.14, specifikt i BI Publisher-integrationskomponenten i Oracle Concurrent Processing. Denna vecka utfärdade Oracle en nödpatch för den. Sårbarheten tillåter icke-autentiserade fjärranfallare att få kontroll via HTTP och har utnyttjats av Cl0p-ransomwaregruppen i datastöldattacker. Experter beskriver den som lätt utnyttjbar.
Vissa tillagda brister är anmärkningsvärt gamla, som CVE-2013-3918, som dateras till 2013. Denna sårbarhet användes initialt av den avancerade ihållande hotgruppen som var ansvarig för Aurora-attacken 2009. År 2015 rapporterade Kaspersky att nationellstatsaktören känd som Equation-gruppen hade fångat och återanvänt utnyttjandet för att rikta sig mot regeringsanvändare i Afghanistan.
Enligt Bindande Operativ Direktiv (BOD) 22-01 måste federala civila exekutiva myndigheter åtgärda dessa KEV-katalogsårbarheter senast de angivna förfallen för att skydda sina nätverk. CISA har satt 27 oktober 2025 som deadline för federala myndigheter att åtgärda dem. Säkerhetsexperter uppmanar privata organisationer att granska katalogen och patcha påverkade system omedelbart för att förhindra liknande utnyttjande.