A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou, na última segunda-feira, cinco vulnerabilidades ao seu Catálogo de Vulnerabilidades Conhecidas e Exploradas (Known Exploited Vulnerabilities - KEV).
Entre elas, a CISA confirmou oficialmente que uma falha recentemente divulgada no Oracle E-Business Suite (EBS) está sendo explorada em ataques reais.
Trata-se da vulnerabilidade
CVE-2025-61884
, com pontuação 7,5 no CVSS, uma falha de Server-Side Request Forgery (SSRF) no componente Runtime do Oracle Configurator que pode permitir a invasores acesso não autorizado a dados críticos.
Segundo a CISA, "essa vulnerabilidade pode ser explorada remotamente, sem necessidade de autenticação".
Essa é a segunda falha no Oracle EBS sendo explorada ativamente, junto com a
CVE-2025-61882
(pontuação 9,8), uma vulnerabilidade crítica que possibilita a execução remota de código arbitrário sem autenticação em sistemas vulneráveis.
No início deste mês, o Google Threat Intelligence Group (GTIG) e a Mandiant revelaram que dezenas de organizações podem ter sido afetadas pela exploração da
CVE-2025-61882
.
De acordo com Zander Work, engenheiro sênior de segurança do GTIG, "não conseguimos atribuir a exploração a um ator específico até o momento, mas é provável que parte das atividades de exploração observadas esteja ligada a agentes que agora operam com extorsão sob a marca Cl0p".
Além dessas, a CISA incluiu no catálogo outras quatro vulnerabilidades:
-
CVE-2025-33073
(CVSS 8,8): falha de controle de acesso no Microsoft Windows SMB Client que pode permitir escalonamento de privilégios. Correção lançada pela Microsoft em junho de 2025.
-
CVE-2025-2746
(CVSS 9,8): bypass de autenticação via caminho alternativo no Kentico Xperience CMS, permitindo controle sobre objetos administrativos ao explorar o tratamento de senhas no Staging Sync Server. Corrigida em março de 2025.
-
CVE-2025-2747
(CVSS 9,8): outra falha de bypass de autenticação similar à anterior, envolvendo tipo de servidor definido como None, também corrigida em março de 2025.
-
CVE-2022-48503
(CVSS 8,8): validação inadequada de índice de array no componente JavaScriptCore da Apple, que pode resultar na execução de código arbitrário durante o processamento de conteúdo web. Corrigida pela Apple em julho de 2022.
Até o momento, não há informações públicas sobre exploração ativa dessas quatro últimas vulnerabilidades, embora detalhes técnicos tenham sido divulgados por pesquisadores da Synacktiv e da watchTowr Labs.
Agências do Executivo Federal dos EUA (Federal Civilian Executive Branch - FCEB) devem corrigir essas falhas até 10 de novembro de 2025, para proteger suas redes contra ameaças ativas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...