La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregó el lunes cuatro defectos de seguridad a su conocido catálogo de vulnerabilidades explotadas (KEV), citando evidencia de explotación activa en la naturaleza.
La lista de fallas es la siguiente –
- CVE-2014-3931 (Puntuación CVSS: 9.8): una vulnerabilidad de desbordamiento de búfer en vidrio de aspecto múltiple (MRLG) que podría permitir a los atacantes remotos causar una escritura de memoria arbitraria y corrupción de memoria
- CVE-2016-10033 (Puntuación CVSS: 9.8): una vulnerabilidad de inyección de comando en PHPMailer que podría permitir que un atacante ejecute código arbitrario dentro del contexto de la aplicación o resulte en una condición de denegación de servicio (DOS)
- CVE-2019-5418 (Puntuación CVSS: 7.5): una vulnerabilidad de transversal de ruta en Ruby en la vista de acción de Rails que podría causar el contenido de archivos arbitrarios en el sistema de archivos del sistema de destino que se exponga
- CVE-2019-9621 (Puntuación CVSS: 7.5): una vulnerabilidad de falsificación de solicitud del lado del servidor (SSRF) en el suite de colaboración Zimbra que podría dar lugar a un acceso no autorizado a recursos internos y una ejecución de código remoto
Actualmente no hay informes públicos sobre cómo se explotan las tres primeras vulnerabilidades en ataques del mundo real. El abuso de CVE-2019-9621, por otro lado, se atribuyó por tendencia a un actor de amenaza vinculado a China conocido como Earth Lusca en septiembre de 2023 para dejar caer conchas web y huelga de cobalto.
A la luz de la explotación activa, se recomienda a las agencias federales de rama ejecutiva civil (FCEB) para aplicar las actualizaciones necesarias antes del 28 de julio de 2025 para asegurar sus redes.
Detalles técnicos de citrix sange 2 out
El desarrollo se produce cuando WatchTowr Labs y Horizon3.ai ha lanzado análisis técnicos para una falla de seguridad crítica en Citrix Netscaler ADC (CVE-2025-5777, también conocido como Citrix Bleed 2), que se evalúa que ha estado bajo una explotación activa.
«Estamos viendo la explotación activa de CVE-2025-5777 y CVE-2025-6543 en la naturaleza», dijo el CEO de WatchTowr, Benjamin Harris, a The Hacker News. «Esta vulnerabilidad permite la lectura de la memoria, que creemos que los atacantes están utilizando para leer información confidencial (por ejemplo, información enviada dentro de las solicitudes HTTP que luego se procesan en memoria), credenciales, tokens de sesión de Citrix válidos y más».
Los resultados muestran que es posible enviar una solicitud de inicio de sesión al punto final «/p/u/doauthentication.do» y causarlo (y otros puntos finales susceptibles a la falla) reflejar el valor de inicio de sesión suministrado por el usuario en la respuesta, independientemente del éxito o la falla.
Horizon3.ai señaló que la vulnerabilidad podría usarse para filtrar aproximadamente 127 bytes de datos a través de una solicitud HTTP especialmente elaborada con una «Login =» modificada sin un signo o valor igual, lo que permite extraer tokens de sesión u otra información confidencial.
Explicó que la deficiencia, WatchTowr, proviene del uso de la función SNPRINTF junto con una cadena de formato que contiene el formato «%.*S».
«El formato %.*S le dice a SnPrintf: ‘Imprima hasta N caracteres, o deténgase en el primer byte nulo (\ 0), lo que ocurra primero’. Ese byte nulo finalmente aparece en algún lugar de la memoria, por lo que si bien la filtración no se ejecuta indefinidamente, aún obtienes un puñado de bytes con cada invocación «, dijo la compañía.
«Entonces, cada vez que llegas a ese punto final sin el =, atraes más datos de pila no inicializados en la respuesta. Repítelo suficientes veces y, finalmente, podrías aterrizar en algo valioso».
