La Cybersecurity and Infrastructure Security Agency (CISA) ha anunciado la inclusión de cinco nuevas vulnerabilidades explotadas (known exploited vulnerabilities) en su catálogo KEV (Known Exploited Vulnerabilities), una clara señal de que los riesgos existentes ya no son solo teóricos, sino reales y activos. Este tipo de alertas deben movilizar a los equipos de seguridad para asegurar que sus sistemas no sean el eslabón débil.

 

¿Qué es el catálogo KEV de CISA y por qué importa?

El catálogo KEV de CISA ofrece un listado de vulnerabilidades que han sido confirmadas como explotadas en la naturaleza. En otras palabras: no es una lista de “potenciales fallos”, sino de vulnerabilidades que los atacantes ya están usando.
Esto implica que organizaciones tanto del sector público como privado deben priorizar estas “vulnerabilidades exploided” como parte de su gestión de riesgos.

Adicionalmente, cuando CISA incluye una vulnerabilidad en su catálogo, habitualmente emite plazos de cumplimiento para las agencias federales de EE.UU., lo que sirve como indicador para el sector privado de la urgencia del asunto.

Los cinco fallos añadidos: un resumen técnico

Según distintos informes especializados, los cinco nuevos fallos añadidos incluyen:

  • CVE-2025-61884: Vulnerabilidad SSRF (Server-Side Request Forgery) en Oracle E‑Business Suite (EBS).
  • CVE-2025-33073: Privilege escalation en cliente SMB de Microsoft Windows.
  • CVE-2025-2746 y CVE-2025-2747: Bypass de autenticación en el CMS Kentico Xperience
  • CVE-2022-48503: Vulnerabilidad de ejecución arbitraria de código en el componente JavaScriptCore de WebKit/Apple.

Los expertos indican que algunos de estos fallos ya han sido explotados en entornos reales, lo que refuerza la necesidad de actuar cuanto antes.

¿Qué implicaciones tiene esta actualización?

Prioridad en la gestión de vulnerabilidades

Dado que estas vulnerabilidades ya son “exploited”, deben moverse al top of mind del equipo de seguridad. Si usted gestiona entornos que utilizan Oracle EBS, Windows SMB expuesto, Kentico Xperience o dispositivos Apple con WebKit desactualizado, estos fallos deben figurar en su lista de control inmediata.

Plazos vinculantes para el sector público

Para las agencias federales de EE.UU., la inclusión en KEV puede venir con una directiva de parcheo obligatorio o desuso del producto. Por ejemplo, la actualización del 20 de octubre pide remediar estos fallos antes del 10 de noviembre de 2025.

Aunque muchas organizaciones privadas no lo afrontan como mandato legal, es un nivel de urgencia que debe guiar la toma de decisiones.

Vulnerabilidades antiguas siguen activas

Un dato importante: incluye fallos que fueron “archivados” o considerados resueltos hace años, pero que siguen siendo explotados. Por ejemplo CVE-2022-48503 (Apple/WebKit) demuestra que no basta con parchear una vez, sino asegurar cobertura completa, incluidas máquinas “menos visibles” o terminales obsoletas.

Mayor visibilidad del riesgo corporativo

Cuando CISA publica este tipo de alertas, se incrementa la atención mediática y de inversionistas al riesgo cibernético. Las organizaciones deben documentar sus acciones de mitigación (parcheo, segmentación, monitorización) como parte de su gobernanza de ciberseguridad.

¿Qué pueden hacer los equipos de seguridad inmediatamente?

  1. Identificar si su infraestructura utiliza los productos implicados (Oracle EBS, Windows SMB cliente, Kentico Xperience, dispositivos Apple con WebKit antiguo).
  2. Verificar versión e impacto: revisar los boletines de los fabricantes, scores CVSS y fecha de parcheo.
  3. Priorizar patching o mitigación: asegurar que los parches están instalados o aplicar controles compensatorios (segmentación, monitorización, cierre de puertos, exposure reducido).
  4. Monitorizar actividad inusual: configurar alertas para detección de SSRF, escalación SMB, bypass de autenticación o ejecución arbitraria de código según los fallos detallados.
  5. Documentar decisiones: generar registro interno del riesgo, impacto, estado de parcheo y plan de seguimiento, útil tanto para auditorías como para gobernanza.
  6. Mantener vigilancia constante del catálogo KEV, ya que nuevos “exploited vulnerabilities” pueden añadirse con frecuencia.

El contexto del riesgo: ¿por qué actúan los atacantes ahora?

  • Los atacantes privilegian fallos ya explotados porque reducen el tiempo entre acceso y beneficio.
  • Las vulnerabilidades en productos ampliamente usados (como Oracle o Windows) ofrecen “ataques de superficie” más amplios.
  • Los entornos descuidados (como sistemas de puesta en escena, equipos sin patch, dispositivos móviles antiguos) se vuelven vectores fáciles.
  • Los plazos legalmente vinculantes para agencias públicas crean “ventanas de oportunidad” para actores maliciosos antes de que todos los parches se apliquen

Conclusión: no espere que sea demasiado tarde

La adición de estas cinco nuevas vulnerabilidades “exploited” al catálogo de CISA es un recordatorio urgente de que la era del parcheo “cuando tengamos tiempo” ha terminado. Si bien la columna “Vulnerabilities” puede parecer al final de muchas listas de tareas, estas entradas del catálogo KEV muestran que están activamente siendo usadas por adversarios.

Acción recomendada: revise hoy mismo su inventario de sistemas, determine si alguno está afectado por los fallos recientemente incluidos y asegure la remediación antes de que el exploit pase de “primer paso” a “penetración completa”.

Referentes bibliográficos

National Institute of Standards and Technology. (2022). CVE-2022-48503: WebKit JavaScriptCore arbitrary code execution vulnerability. National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2022-48503

National Institute of Standards and Technology. (2025). CVE-2025-2747: Kentico Xperience authentication bypass vulnerability. National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2025-2747

National Institute of Standards and Technology. (2025). CVE-2025-2746: Kentico Xperience authentication bypass vulnerability. National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2025-2746

National Institute of Standards and Technology. (2025). CVE-2025-61884: Oracle E-Business Suite SSRF vulnerability. National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2025-61884

National Institute of Standards and Technology. (2025). CVE-2025-33073: Microsoft Windows SMB client privilege escalation vulnerability. National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2025-33073

CISA. (2025, 20 de octubre). * CISA adds five known exploited vulnerabilities to catalog * [Alerta]. Cybersecurity and Infrastructure Security Agency. https://www.cisa.gov/news-events/alerts/2025/10/20/cisa-adds-five-known-exploited-vulnerabilities-catalog

Field Effect. (2025, 22 de octubre). * CISA adds five actively exploited vulnerabilities to the KEV catalog *. Field Effect Software Inc. https://fieldeffect.com/blog/cisa-five-actively-exploited-vulnerabilities

Medium Security Scout. (2025, 23 de octubre). * CISA adds five new actively exploited vulnerabilities to the KEV catalog *. Medium. https://medium.com/@securityscout/cisa-adds-five-new-actively-exploited-vulnerabilities-to-the-kev-catalog-e68bbf2f9f90

The Hacker News. (2025, 20 de octubre). * Five new exploited bugs land in CISA’s KEV catalog *. The Hacker News. https://thehackernews.com/2025/10/five-new-exploited-bugs-land-in-cisas.html