A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) incluiu recentemente quatro falhas de segurança em seu catálogo de Vulnerabilidades Conhecidas Exploited (KEV), destacando a exploração ativa dessas falhas. As vulnerabilidades identificadas são:
- CVE-2025-68645 (pontuação CVSS: 8.8) – Uma falha de inclusão remota de arquivos no Synacor Zimbra Collaboration Suite (ZCS), permitindo que atacantes remotos incluam arquivos arbitrários do diretório WebRoot sem autenticação. Corrigida em novembro de 2025 na versão 10.1.13.
- CVE-2025-34026 (pontuação CVSS: 9.2) – Uma falha de bypass de autenticação na plataforma de orquestração Versa Concerto SD-WAN, possibilitando acesso a endpoints administrativos. Corrigida em abril de 2025 na versão 12.2.1 GA.
- CVE-2025-31125 (pontuação CVSS: 5.3) – Uma falha de controle de acesso inadequado no Vite Vitejs, permitindo que conteúdos de arquivos arbitrários sejam retornados ao navegador. Corrigida em março de 2025 nas versões 6.2.4, 6.1.3, 6.0.13, 5.4.16 e 4.5.11.
- CVE-2025-54313 (pontuação CVSS: 7.5) – Uma vulnerabilidade de código malicioso embutido no eslint-config-prettier, permitindo a execução de um DLL malicioso conhecido como Scavenger Loader, projetado para roubar informações.
A falha CVE-2025-54313 está relacionada a um ataque à cadeia de suprimentos que visou o eslint-config-prettier e outros seis pacotes npm, revelado em julho de 2025. A campanha de phishing mirou os mantenedores dos pacotes com links falsos que coletavam credenciais sob o pretexto de verificação de e-mail, permitindo que os invasores publicassem versões comprometidas.
De acordo com a CrowdSec, os esforços de exploração da CVE-2025-68645 estão em andamento desde 14 de janeiro de 2026. No entanto, não há detalhes sobre como as outras vulnerabilidades estão sendo exploradas.
Conforme a Diretiva Operacional Vinculante (BOD) 22-01, as agências do Ramo Executivo Civil Federal (FCEB) devem aplicar as correções necessárias até 12 de fevereiro de 2026 para proteger suas redes contra ameaças ativas.
Fonte:https://thehackernews.com/2026/01/cisa-updates-kev-catalog-with-four.html
