A Agência de Segurança de Infraestrutura e Cibersegurança dos Estados Unidos (CISA) adicionou nesta segunda-feira (data não informada) cinco vulnerabilidades ao catálogo Known Exploited Vulnerabilities (KEV), confirmando que todas já foram exploradas em ataques reais.
Falha recente no Oracle E-Business Suite
Entre as brechas está a CVE-2025-61884, pontuada em 7,5 no CVSS. O problema, classificado como Server-Side Request Forgery (SSRF) no componente Runtime do Oracle Configurator, permite acesso não autorizado a dados críticos sem necessidade de autenticação.
A CVE-2025-61884 é a segunda falha do Oracle E-Business Suite utilizada ativamente, ao lado da CVE-2025-61882 (pontuação 9,8), capaz de levar à execução remota de código por invasores não autenticados. Segundo o Google Threat Intelligence Group (GTIG) e a Mandiant, dezenas de organizações já foram afetadas pela exploração da CVE-2025-61882.
Outras quatro vulnerabilidades adicionadas
A CISA também incluiu no catálogo:
- CVE-2025-33073 (CVSS 8,8) – falha de controle de acesso impróprio no cliente SMB do Windows, corrigida pela Microsoft em junho de 2025.
- CVE-2025-2746 (CVSS 9,8) – bypass de autenticação no Kentico Xperience CMS, solucionado em março de 2025.
- CVE-2025-2747 (CVSS 9,8) – outra brecha de bypass de autenticação no Kentico Xperience CMS, também corrigida em março de 2025.
- CVE-2022-48503 (CVSS 8,8) – validação inadequada de índice de array no JavaScriptCore da Apple, corrigida em julho de 2022.
Detalhes sobre a exploração ativa das quatro últimas falhas ainda não foram divulgados. Pesquisadores da Synacktiv e da watchTowr Labs publicaram informações técnicas sobre as vulnerabilidades do Windows SMB e do Kentico.
Imagem: Internet
Prazos para órgãos federais
Agências do Federal Civilian Executive Branch (FCEB) dos Estados Unidos devem aplicar as correções até 10 de novembro de 2025 para proteger suas redes contra ameaças em curso.
Com informações de The Hacker News