¿Qué acaba de anunciar la Cybersecurity and Infrastructure Security Agency (CISA)?

La agencia CISA informó el 4 de noviembre de 2025 la incorporación de dos vulnerabilidades previamente explotadas en su catálogo de vulnerabilidades conocidas como explotadas (“Known Exploited Vulnerabilities – KEV”).
Estas vulnerabilidades  identificadas como CVE‑2025‑11371 y CVE‑2025‑48703  han sido marcadas por evidencia de explotación real, lo que implica un riesgo elevado para organizaciones que usen los productos afectados.

¿Qué vulnerabilidades son y qué impacto tienen?

CVE-2025-11371: Inclusión de archivos en Gladinet CentreStack / Triofox

• Esta vulnerabilidad permite una inclusión local de archivos (LFI) sin autenticación en las implementaciones por defecto de CentreStack y Triofox, lo cual permite que un atacante acceda a archivos de sistema.
• Según análisis, el atacante puede extraer claves como machineKey del archivo Web.config y luego usar esa clave para desencadenar ejecución remota de código (RCE) mediante un deserialización insegura en ViewState.
• La vulnerabilidad ya ha sido explotada “en la práctica” (in-the-wild) y afecta versiones hasta la 16.7.10368.56560 inclusive.

CVE-2025-48703: Ejecución remota de comandos en Control Web Panel (CWP)

• Esta vulnerabilidad afecta versiones de CWP (también conocido como CentOS Web Panel) anteriores a la 0.9.8.1205, y permite ejecución remota de código sin autenticación mediante metacaracteres de shell en el parámetro t_total de la solicitud filemanager changePerm.
• La gravedad es crítica debido al vector de ataque remoto sin necesidad de credenciales, lo que acelera el riesgo de compromiso de servidores expuestos.

¿Por qué este anuncio es relevante para usted y su organización?

1. Explotación real ya documentada: Al incluir ambas vulnerabilidades en su catálogo KEV, CISA reconoce que hay evidencia pública de que los fallos están siendo activamente explotados. Esto significa que no se trata sólo de un teórico riesgo de vulnerabilidad, sino de un riesgo operativo concreto.
2. Obligaciones para entidades federales y cadena de suministro: Las organizaciones que trabajan con el Gobierno de EE. UU. o que participan en la cadena de suministro federal tienen plazos más estrictos para mitigar vulnerabilidades del catálogo. La directiva sobre “Reducing Significant Risk from Known Exploited Vulnerabilities” (BOD‑22‑01) establece la obligación de identificar, informar y mitigar vulnerabilidades en el catálogo.
3. Amplia superficie de ataque: Las plataformas afectadas (centros de almacenamiento corporativo, paneles de control de servidores web) suelen estar en entornos técnicos críticos lo que amplifica el impacto en caso de explotación exitosa.
4. Relevancia para todos los ámbitos: Aunque el anuncio proviene de una agencia de EE. UU., el software vulnerable puede estar presente en entornos globales y resulta aplicable también en organizaciones en Colombia y otros países; la adopción de buenas prácticas de ciberseguridad no conoce fronteras.

¿Qué debe hacer su organización ahora?

Paso 1: Inventario y detección

Realice un inventario del software utilizado en su organización para identificar si utilizan versions de:

• CentreStack o Triofox anteriores o iguales a 16.7.10368.56560 (afectadas por CVE-2025-11371)
• Control Web Panel (CWP) anteriores a 0.9.8.1205 (afectadas por CVE-2025-48703)

Paso 2: Parches, mitigaciones e intervención inmediata

• Para CVE-2025-11371: Existe parche de Gladinet (versión 16.10.10408.56683) que subsana la vulnerabilidad. Los usuarios deben actualizar cuanto antes.
• Para CVE-2025-48703: Actualice CWP a la versión 0.9.8.1205 o superior, o aplique medidas de mitigación mientras se parchea el sistema.
• En ambos casos: aplique medidas temporales de mitigación (deshabilitar handlers, restringir acceso, realizar filtrado, segmentar la red) si no puede parchear inmediatamente.

Paso 3: Fortalecimiento continuo

• Monitoree actividad inusual, registros de acceso, intentos de explotación, y alertas de seguridad orientadas a resultados de ataque.
• Aplique principios de ciberseguridad frente a vulnerabilidades de explotación conocida, como uso del catálogo KEV para priorizar parcheo.
• Incluya en su estrategia de seguridad la revisión periódica del catálogo KEV de CISA, ya que nuevas vulnerabilidades pueden sumarse continuamente.

Contexto más amplio y tendencias recientes

La inclusión de CVE-2025-11371 y CVE-2025-48703 en el catálogo KEV se produce en un momento en que la explotación de vulnerabilidades sin parche es una de las principales puertas de entrada de ataques a empresas, infraestructuras críticas y organizaciones gubernamentales. Investigaciones recientes muestran que sólo una fracción de las vulnerabilidades catalogadas vienen acompañadas de mitigaciones disponibles para entornos de operación tecnológica (OT).
Además, el uso de cadenas de explotación (por ejemplo, de LFI a RCE) como el observado en CVE-2025-11371 ilustra un patrón donde los atacantes aprovechan múltiples fallos en cadena para conseguir una intrusión completa.
Esta tendencia refuerza la necesidad de que los equipos de TI y seguridad no sólo parcheen sino que adopten visibilidad, detección y respuesta temprana.

Conclusión y llamada a la acción

La incorporación de CVE-2025-11371 y CVE-2025-48703 al catálogo de vulnerabilidades conocidas explotadas por CISA representa una señal clara: el riesgo es real y la explotación está en marcha. No espere a que el incidente ocurra en su organización.
Acción recomendada: realice un inventario inmediato de sus sistemas, aplique parches o mitigaciones sin demora, y fortalezca su proceso de gestión de vulnerabilidades priorizando aquellas catalogadas como “Known Exploited”. Esto no sólo cumple con buenas prácticas en ciberseguridad, sino que protege la continuidad operativa, la reputación institucional y la confianza de usuarios y clientes.
Si desea, puedo ayudarle con un check-list de verificación para parcheo rápido adaptado a entornos en América Latina o un infográfico para sensibilizar al equipo técnico. ¿Le parece bien que lo preparemos?

Referentes Académicos

• CISA. (2025, 4 de noviembre). CISA adds two known exploited vulnerabilities to catalog. Cybersecurity and Infrastructure Security Agency. https://www.cisa.gov/news-events/alerts/2025/11/04/cisa-adds-two-known-exploited-vulnerabilities-catalog
• CISA. (2022). Binding Operational Directive 22-01: Reducing the Significant Risk of Known Exploited Vulnerabilities. Cybersecurity and Infrastructure Security Agency. https://www.cisa.gov/news-events/directives/bod-22-01-reducing-significant-risk-known-exploited-vulnerabilities
• CISA. (s. f.). Known Exploited Vulnerabilities Catalog. Cybersecurity and Infrastructure Security Agency. https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• Help Net Security. (2025, 10 de octubre). Actively exploited vulnerability in Gladinet CentreStack exposed sensitive information (CVE-2025-11371). https://www.helpnetsecurity.com/2025/10/10/gladinet-centrestack-vulnerability-exploited-cve-2025-11371/
• Help Net Security. (2025, 5 de noviembre). Control Web Panel vulnerability exploited in attacks (CVE-2025-48703). https://www.helpnetsecurity.com/2025/11/05/control-web-panel-cve-2025-48703-exploited/
• National Institute of Standards and Technology. (2025). CVE-2025-11371. NVD — National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2025-11371
• National Institute of Standards and Technology. (2025). CVE-2025-48703. NVD — National Vulnerability Database. https://nvd.nist.gov/vuln/detail/CVE-2025-48703
• Wiz Research. (2025). CVE-2025-11371 — Gladinet CentreStack vulnerability. Wiz.io Vulnerability Database. https://www.wiz.io/vulnerability-database/cve/cve-2025-11371
• ArXiv. (2025). Analysis of OT vulnerabilities and mitigations. https://arxiv.org/abs/2510.06951
• LinuxSecurity.com. (2025). Cross-stack exploitation trends in modern systems. https://linuxsecurity.com/features/cross-stack-vulnerabilities