La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles dos vulnerabilidades que afectan a Microsoft Office y Hewlett Packard Enterprise (HPE) OneView a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades se enumeran a continuación:
- CVE-2009-0556 (Puntuación CVSS: 8,8): una vulnerabilidad de inyección de código en Microsoft Office PowerPoint que permite a atacantes remotos ejecutar código arbitrario mediante corrupción de memoria.
- CVE-2025-37164 (Puntuación CVSS: 10.0): una vulnerabilidad de inyección de código en HPW OneView que permite a un usuario remoto no autenticado realizar la ejecución remota de código.
Los detalles de CVE-2025-37164 surgieron el mes pasado cuando HPE dijo que la vulnerabilidad afectaba a todas las versiones del software anteriores a la versión 11.00. La compañía también proporcionó revisiones para las versiones 5.20 a 10 de OneView.
El alcance y la fuente de los ataques a las dos vulnerabilidades no están claros actualmente y no parece haber informes públicos que indiquen su explotación en la naturaleza. Sin embargo, un informe del 23 de diciembre de 2025 de eSentire reveló el lanzamiento de un exploit de prueba de concepto (PoC) detallado para CVE-2025-37164.
“La disponibilidad pública del código de explotación PoC aumenta significativamente el riesgo para las organizaciones que ejecutan versiones afectadas de la aplicación”, dijo eSentire. “Dado que la vulnerabilidad afecta a todas las versiones anteriores a la 11.0, se recomienda encarecidamente a las organizaciones que apliquen las actualizaciones necesarias para mitigar el riesgo potencial de explotación”.
De conformidad con la Directiva operativa vinculante (BOD) 22-01, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que realicen las correcciones necesarias para proteger sus redes de amenazas activas antes del 28 de enero de 2026.
About The Author
