Contexto
Esta é a Notificação de Vulnerabilidades (NDV) referente ao mês de novembro de 2025. Neste documento, produzido pelo time de Inteligência de Ameaças Cibernéticas da SEK, estão listadas as principais vulnerabilidades catalogadas no último mês.
Em nossa análise, priorizamos as vulnerabilidades críticas e altas presentes nos produtos e tecnologias mais relevantes e utilizados na indústria. Cabe pontuar que este é um documento direcionado à comunidade de cibersegurança como um todo. Para um trabalho mais específico, recomendamos a contratação de nosso serviço de gestão de vulnerabilidades, cujo foco está na detecção e mitigação de vulnerabilidades encontradas em todo o parque de nossos clientes de forma personalizada.
Para cada vulnerabilidade listada neste documento, especificamos as versões e sistemas afetados e indicamos uma remediação de contorno e uma solução, para que nossos clientes possam atuar de forma imediata caso utilizem o produto ou tecnologia vulnerável. Lembramos que a remediação de contorno – se houver – é uma medida de caráter contingencial, que não soluciona o problema por completo. Reforçamos, sempre, a necessidade de atualização do serviço ou produto afetado o mais rápido possível.
A SEK se coloca à disposição para ajudar seus clientes a corrigirem as vulnerabilidades listadas neste documento. Reforçamos, ainda, a importância da manutenção de um serviço periódico de gestão de vulnerabilidades e implementação de patches, tendo em vista o cenário crescente de aumento de superfície de ataque e de atores de ameaça em todo o mundo.
Sumário
Clique nos cards para navegar até a vulnerabilidade específica
Adobe Experience Manager Forms on JEE
SAP SQL Anywhere Monitor (Non-GUI)
Grafana Enterprise
ASP.NET Core
SAP Solution Manager
Fortinet FortiWeb
expr-eval JavaScript Library
Noo JobMonster Theme for WordPress
Gladinet CentreStack e Triofox
Windows Server Update Services (WSUS)
Lanscope Endpoint Manager
Oracle E-Business Suite
SonicOS SSLVPN
Microsoft Windows Kernel
THINK AHEAD, ACT NOW.
Adobe Experience Manager Forms on JEE
Descrição
A falha decorre de uma configuração inadequada no módulo FormServer que deixa o modo de desenvolvedor do Apache Struts habilitado na interface administrativa. Esta misconfiguration permite que atacantes não autenticados contornem mecanismos de segurança e executem expressões OGNL (Object-Graph Navigation Language) como código Java. O problema é agravado por uma vulnerabilidade de desserialização Java que processa dados fornecidos pelo usuário sem validação adequada. A exploração não requer interação do usuário e pode ser realizada remotamente através de requisições HTTP especialmente construídas ao endpoint /adminui/debug, resultando em execução arbitrária de código no servidor e comprometimento total do sistema.
Sistemas afetados
- Adobe Experience Manager Forms on JEE versão 6.5.23.0 e anteriores
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade. Como medida temporária, organizações devem restringir o acesso ao Adobe Experience Manager Forms apenas a redes internas confiáveis e remover a exposição à internet até que a atualização seja aplicada.
Solução
A Adobe lançou correção na versão 6.5.0-0108 do Adobe Experience Manager Forms on JEE. Organizações devem atualizar imediatamente para a versão corrigida. A vulnerabilidade está sob exploração ativa e foi adicionada ao catálogo KEV da CISA, que estabeleceu prazo de remediação para 5 de novembro de 2025 para agências federais dos EUA.
Fontes primárias e secundárias
SAP SQL Anywhere Monitor (Non-GUI)
Descrição
A falha consiste em credenciais administrativas incorporadas diretamente no código-fonte do componente SQL Anywhere Monitor sem interface gráfica. Esta prática expõe recursos e funcionalidades do sistema a usuários não autorizados, permitindo que atacantes remotos obtenham acesso privilegiado sem necessidade de autenticação prévia. A vulnerabilidade possibilita que invasores executem código arbitrário com privilégios administrativos, comprometendo completamente a confidencialidade, integridade e disponibilidade do sistema. O SQL Anywhere Monitor é uma ferramenta crítica de monitoramento e alerta de banco de dados, frequentemente implantada em ambientes distribuídos ou remotos, o que amplia a superfície de ataque.
Sistemas afetados
- SAP SQL Anywhere Monitor (Non-GUI) versão 17.0
Remediações de contorno
Como medida temporária até aplicação da correção, a SAP recomenda interromper imediatamente o uso do SQL Anywhere Monitor e eliminar todas as instâncias existentes do banco de dados associado ao componente.
Solução
A SAP lançou correção através da nota de segurança 3666261, que remove completamente o componente SQL Anywhere Monitor do sistema. Organizações devem aplicar a correção imediatamente ou, se impossível, seguir rigorosamente as recomendações temporárias de desativação. Embora não haja evidências de exploração ativa no momento da divulgação, o histórico de ataques a produtos SAP e a natureza crítica da falha demandam remediação prioritária.
Fontes primárias e secundárias
Grafana Enterprise
Descrição
A falha ocorre no recurso de provisionamento SCIM (System for Cross-domain Identity Management) e decorre do gerenciamento inadequado de privilégios no tratamento de identidades de usuários. O problema permite que um cliente SCIM malicioso ou comprometido provisione um usuário com um identificador externo numérico que pode ser interpretado como um identificador interno de usuário existente. Como o Grafana mapeia o externalId do SCIM diretamente para o user.uid interno, valores numéricos como "1" podem ser tratados como identificadores de contas internas existentes, incluindo a conta de administrador. Isso possibilita que o usuário recém-provisionado seja tratado como uma conta administrativa existente, resultando em personificação de usuários ou escalada de privilégios.
Sistemas afetados
- Grafana Enterprise: versões 12.0.0 a 12.2.1 (quando SCIM está habilitado)
Observação: Usuários do Grafana OSS não são afetados. Serviços Grafana Cloud, incluindo Amazon Managed Grafana e Azure Managed Grafana, já receberam correções.
Remediações de contorno
Desabilitar temporariamente o provisionamento SCIM definindo a feature flag enableSCIM como falso ou configurando a opção user_sync_enabled no bloco auth.scim como falso, caso a aplicação dos patches não possa ser realizada imediatamente. Monitorar registros de provisionamento em busca de criações de usuários com identificadores externos suspeitos e revisar permissões de usuários recentemente provisionados.
Solução
Atualizar imediatamente para uma das versões corrigidas disponibilizadas pela Grafana Labs: Grafana Enterprise 12.3.0, 12.2.1, 12.1.3 ou 12.0.6. Administradores de instalações auto-gerenciadas devem aplicar a atualização o mais rápido possível. Após a atualização, revisar usuários provisionados via SCIM durante o período de vulnerabilidade para identificar possíveis contas comprometidas ou com privilégios indevidos.
Fontes primárias e secundárias
ASP.NET Core
Descrição
A falha permite que atacantes realizem HTTP request smuggling explorando diferenças na interpretação de requisições HTTP entre proxies e o servidor Kestrel. O problema ocorre no processamento de extensões de chunks em transferências codificadas, onde terminadores de linha inválidos em cabeçalhos de chunk são tratados de forma inconsistente. Essa ambiguidade permite que um atacante envie uma requisição maliciosa contendo outra requisição oculta, possibilitando contornar controles de autenticação e autorização, realizar ataques de falsificação de requisição do lado do servidor (SSRF), obter escalada de privilégios, expor credenciais de outros usuários ou invocar endpoints que não deveriam ser publicamente acessíveis.
Sistemas afetados
- ASP.NET Core 10.0: versões 10.0.0-rc.1.25451.107 e anteriores
- ASP.NET Core 9.0: versões 9.0.0 a 9.0.9
- ASP.NET Core 8.0: versões 8.0.0 a 8.0.20
- Microsoft.AspNetCore.Server.Kestrel.Core 2.x: versão 2.3.0 e anteriores
Remediações de contorno
Revisar a lógica de processamento de requisições da aplicação, especialmente em torno de autenticação, autorização e validação de entrada. Verificar configurações de proxies reversos, como Azure Front Door, Azure Web Apps ou nginx, para confirmar que normalizam requisições e detectam tentativas de smuggling. Monitorar padrões anormais de requisições em registros e telemetria. Validar configurações de segurança base para garantir que a aplicação não ignore verificações críticas baseadas na estrutura da requisição.
Solução
Aplicar as atualizações de segurança disponibilizadas pela Microsoft. Para .NET 8.0, instalar o Runtime 8.0.21 ou SDK 8.0.318. Para .NET 9.0, instalar o Runtime 9.0.10 ou SDK 9.0.111. Para .NET 10.0, instalar o Runtime 10.0.0-rc.2.25476.107 ou SDK 10.0.100-rc.2.25476.107. Para o pacote Microsoft.AspNetCore.Server.Kestrel.Core, atualizar para a versão 2.3.6. Aplicações self-contained também devem ser recompiladas e reimplantadas com as versões corrigidas.
Fontes primárias e secundárias
SAP Solution Manager
Descrição
A falha decorre da ausência de sanitização adequada de dados de entrada em um módulo de função habilitado remotamente no SAP Solution Manager. Atacantes autenticados com privilégios baixos podem explorar esta fraqueza para inserir e executar código malicioso arbitrário através de chamadas especialmente construídas a módulos de função remotos. A vulnerabilidade tem impacto de escopo alterado, o que significa que a exploração bem-sucedida pode afetar recursos além do componente inicialmente vulnerável, potencialmente comprometendo todo o ambiente SAP conectado. Como o SAP Solution Manager atua como plataforma centralizada de gerenciamento para configuração, aplicação de patches, monitoramento e tarefas de ciclo de vida em sistemas críticos como ERP, CRM, SCM e análises, um comprometimento neste componente pode ter consequências generalizadas em toda a paisagem SAP corporativa.
Sistemas afetados
- SAP Solution Manager (ST) versão 720
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A SAP lançou correção através da nota de segurança 3668705. Organizações devem aplicar a atualização imediatamente devido à severidade crítica e ao potencial de comprometimento completo do sistema. A disponibilização pública do patch pode acelerar o desenvolvimento de exploits reversos, tornando a aplicação urgente da correção essencial. Embora não haja evidências de exploração ativa no momento da divulgação, o histórico de vulnerabilidades SAP sendo rapidamente armadas após lançamento de correções torna a janela de oportunidade para remediação muito curta.
Fontes primárias e secundárias
Fortinet FortiWeb
Descrição
A falha combina duas fraquezas distintas que trabalham em conjunto para contornar controles de autenticação. A primeira envolve uma vulnerabilidade de travessia de caminho relativo na API da interface de gerenciamento web do FortiWeb, que não valida adequadamente caminhos de URI. Quando uma URI inicia com um caminho de API válido como /api/v2.0/cmdb/system/admin, atacantes podem usar sequências de travessia para alcançar o executável CGI subjacente fwbcgi. A segunda fraqueza permite que atacantes não autenticados contornem verificações de autenticação e executem comandos administrativos através de requisições HTTP ou HTTPS especialmente construídas. O encadeamento dessas vulnerabilidades permite que invasores criem contas administrativas, obtenham controle total sobre dispositivos vulneráveis e executem código arbitrário sem qualquer autenticação prévia.
Sistemas afetados
- FortiWeb 7.0.x
- FortiWeb 7.2.x
- FortiWeb 7.4.x
- FortiWeb 7.6.x
- FortiWeb 8.0.x (anteriores a 8.0.2)
Remediações de contorno
Como medida temporária, a Fortinet recomenda desabilitar o acesso HTTP ou HTTPS em dispositivos expostos publicamente à internet, reduzindo significativamente o vetor de ataque até que as correções possam ser aplicadas.
Solução
A Fortinet lançou correções para todas as versões afetadas. Organizações devem atualizar imediatamente conforme orientações do boletim de segurança FG-IR-25-910. A CISA adicionou esta vulnerabilidade ao catálogo KEV com prazo de remediação de 21 de novembro de 2025, sinalizando exploração ativa confirmada.
Fontes primárias e secundárias
expr-eval JavaScript Library
Descrição
A falha resulta da validação insuficiente de dados de entrada no contexto passado para a função Parser.evaluate() da biblioteca. A biblioteca expr-eval é um parser e avaliador de expressões JavaScript projetado para avaliar com segurança expressões matemáticas com variáveis definidas pelo usuário. Contudo, devido à ausência de verificação adequada do objeto de variáveis ou contexto fornecido, atacantes podem passar um objeto de variáveis especialmente construído contendo funções maliciosas para a função evaluate(), desencadeando execução arbitrária de código JavaScript. Esta vulnerabilidade permite que invasores obtenham controle total sobre o comportamento do software afetado ou divulgação completa de todas as informações no sistema comprometido.
Sistemas afetados
- expr-eval (biblioteca original): todas as versões até 2.0.2
- expr-eval-fork (versão mantida ativamente): todas as versões até 2.0.2
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Desenvolvedores devem migrar imediatamente para expr-eval-fork versão 3.0.0, que corrige a vulnerabilidade implementando uma allowlist de funções seguras para avaliação, sistema de registro para funções personalizadas e cobertura de testes aprimorada para essas restrições. Para usuários da biblioteca original expr-eval, existe uma solicitação de pull que implementa a correção, porém, devido aos mantenedores do projeto estarem inativos, não há previsão de quando será integrada a uma nova versão. Projetos afetados devem republicar suas bibliotecas após a atualização para garantir que usuários finais recebam a correção.
Fontes primárias e secundárias
Noo JobMonster Theme for WordPress
Descrição
A falha reside na função check_login() do tema JobMonster para WordPress, que não verifica adequadamente a identidade de um usuário antes de autenticá-lo com sucesso. Esta fraqueza de autenticação inadequada permite que atacantes não autenticados contornem mecanismos de autenticação padrão e obtenham acesso a contas administrativas sem possuir credenciais válidas. O tema confia nos dados de login externo sem verificá-los adequadamente, permitindo que invasores falsifiquem acesso administrativo. A exploração requer que o login social esteja habilitado nos sites que utilizam o tema, caso contrário não há impacto. O tema JobMonster é amplamente utilizado em sites de listagem de empregos, portais de recrutamento e ferramentas de busca de candidatos, tendo mais de 5.500 vendas no marketplace Envato.
Sistemas afetados
- Noo JobMonster Theme for WordPress: todas as versões até 4.8.1
Remediações de contorno
Como medida temporária até aplicação da correção, organizações devem desabilitar a funcionalidade de login social em sites afetados, o que elimina o vetor de ataque. Adicionalmente, recomenda-se habilitar autenticação de dois fatores para todas as contas administrativas, rotacionar credenciais e verificar registros de acesso em busca de atividades suspeitas.
Solução
A NooThemes lançou correção na versão 4.8.2 do tema JobMonster. Usuários devem atualizar imediatamente para a versão corrigida. A vulnerabilidade está sob exploração ativa confirmada, com a Wordfence bloqueando múltiplas tentativas de abuso em curto período de tempo. Tratam-se de ataques direcionados contra sites onde a função de login social do JobMonster está habilitada, tornando a aplicação da atualização crítica e urgente.
Fontes primárias e secundárias
Gladinet CentreStack e Triofox
Descrição
A falha decorre do uso de chaves criptográficas codificadas diretamente no código nos arquivos de configuração web.config das aplicações. As chaves machineKey codificadas são utilizadas para proteger dados do ViewState em aplicações ASP.NET, e seu conhecimento permite que atacantes forjem payloads maliciosos do ViewState que passam pelas verificações de integridade. A exploração desta vulnerabilidade possibilita ataques de desserialização no lado do servidor, resultando em execução remota de código arbitrário sem qualquer pré-requisito além do conhecimento das chaves padrão. Após exploração bem-sucedida, atacantes executam código como IISAPPPOOL\portaluser, podendo facilmente escalar privilégios para NT AUTHORITY\SYSTEM e comprometer completamente o servidor alvo.
Sistemas afetados
- Gladinet CentreStack: versões até 16.1.10296.56315 (corrigida na versão 16.4.10315.56368)
- Gladinet Triofox: versões até 16.4.10317.56372
Observação: A vulnerabilidade afeta especificamente servidores com as chaves padrão codificadas expostos à internet.
Remediações de contorno
Bloquear o acesso de rede ao servidor CentreStack ou Triofox a partir de redes não confiáveis, limitando todo acesso de rede aos servidores através de firewalls, listas de controle de acesso ou segmentação de rede para restringir o acesso apenas a endereços IP administrativos confiáveis ou acesso exclusivo via VPN. Implementar um Web Application Firewall para filtrar ou desafiar requisições não autenticadas suspeitas. Rotar manualmente os valores de machineKey nos arquivos web.config localizados em root\web.config e portal\web.config dentro do diretório de instalação.
Solução
Atualizar imediatamente para as versões corrigidas. Para CentreStack, instalar a versão 16.4.10315.56368 lançada em 3 de abril de 2025. Para Triofox, instalar a versão 16.4.10317.56372. Após a atualização, verificar e garantir que os valores de machineKey foram alterados das configurações padrão. Organizações que suspeitam terem sido impactadas devem realizar investigações forenses completas em busca de indicadores de comprometimento, incluindo processos PowerShell anormais originados de w3wp.exe, ferramentas de acesso remoto instaladas como MeshCentral e atividades de movimento lateral na rede.
Fontes primárias e secundárias
Windows Server Update Services (WSUS)
Descrição
A falha está presente no componente WSUS responsável pelo gerenciamento de autorização de clientes e relatórios, especificamente no serviço web ClientWebService. O problema decorre da desserialização insegura de dados não confiáveis quando o servidor processa requisições SOAP especialmente elaboradas, tipicamente direcionadas a endpoints como SyncUpdates. O servidor tenta descriptografar e desserializar um objeto AuthorizationCookie fornecido pelo atacante utilizando o BinaryFormatter inseguro do .NET. Como os desserializadores legados do .NET são conhecidos por permitir cadeias de gadgets que executam código durante a desserialização, atacantes podem elaborar grafos de objetos serializados que invocam construtores, delegados ou callbacks resultando em execução arbitrária de código com privilégios SYSTEM.
Sistemas afetados
- Windows Server 2012, 2012 R2, 2016, 2019, 2022 (incluindo edição 23H2) e 2025
Observação: A vulnerabilidade afeta apenas servidores onde a função de servidor WSUS está habilitada. Este recurso não está habilitado por padrão. Exposição típica da superfície de ataque ocorre quando portas WSUS 8530 (HTTP) ou 8531 (HTTPS) estão acessíveis.
Remediações de contorno
Desabilitar temporariamente a função de servidor WSUS nos servidores afetados. Bloquear todo o tráfego de entrada para as portas TCP 8530 e 8531 no firewall do host. Restringir o acesso de rede aos servidores WSUS, permitindo apenas que sistemas de gerenciamento necessários e Microsoft Update alcancem o ambiente WSUS, bloqueando todas as outras conexões de entrada. Aumentar o monitoramento em busca de padrões anormais de reconhecimento, processos PowerShell gerados por w3wp.exe e wsusservice.exe, e atividades suspeitas de movimento lateral.
Solução
Aplicar imediatamente a atualização de segurança fora de banda lançada pela Microsoft em 23 de outubro de 2025. As atualizações cumulativas específicas variam de acordo com a versão do Windows Server e devem ser obtidas através do Windows Update, Microsoft Update ou Microsoft Update Catalog. Servidores configurados para receber atualizações automaticamente farão o download e instalação a correção sem intervenção manual. Após instalar as atualizações, reiniciar os servidores WSUS para completar a remediação. Organizações que atrasaram a aplicação da correção devem assumir comprometimento inicial de acesso e imediatamente acionar investigações forenses.
Fontes primárias e secundárias
Lanscope Endpoint Manager
Descrição
A falha está presente nos componentes Client Program e Detection Agent da versão on-premises do sistema de gerenciamento de endpoints. O problema decorre da verificação inadequada da origem de canais de comunicação, permitindo que pacotes de rede especialmente elaborados sejam aceitos e processados sem validação robusta de que originam de um gerenciador ou controlador confiável. Atacantes remotos não autenticados podem explorar essa vulnerabilidade para executar código arbitrário nos sistemas afetados, estabelecer portas dos fundos para acesso remoto persistente e realizar movimento lateral na rede. A falha foi ativamente explorada como zero-day desde abril de 2025 em ataques direcionados contra organizações japonesas, particularmente instituições financeiras, pelo grupo APT Bronze Butler.
Sistemas afetados
- Lanscope Endpoint Manager (On-Premises): versões 9.4.7.1 e anteriores, incluindo Client Program (MR) e Detection Agent (DA)
Observação: A versão em nuvem/SaaS não é afetada por esta vulnerabilidade.
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Atualizar imediatamente todos os computadores clientes com as versões corrigidas disponibilizadas pela Motex. As correções estão disponíveis nas versões 9.4.7.3, 9.4.6.3, 9.4.5.4, 9.4.4.6, 9.4.3.8, 9.4.2.6, 9.4.1.5, 9.4.0.5, 9.3.3.9 e 9.3.2.7. O software do servidor de gerenciamento não é afetado e não necessita atualização. Endpoints com o programa cliente ou agente de detecção instalados em ambientes acessíveis de redes externas devem ser priorizados para correção imediata.
Fontes primárias e secundárias
Oracle E-Business Suite
Descrição
A falha está presente no componente Runtime UI do produto Oracle Configurator, permitindo que atacantes remotos não autenticados realizem falsificação de requisição do lado do servidor. A vulnerabilidade é facilmente explorável através de acesso via rede HTTP e permite que requisições arbitrárias sejam enviadas do servidor vulnerável para sistemas internos ou externos. A exploração bem-sucedida pode resultar em acesso não autorizado a dados críticos de configuração empresarial ou acesso completo a todos os dados acessíveis pelo Oracle Configurator. A vulnerabilidade foi explorada ativamente em ataques reais, possivelmente relacionados à campanha de extorsão do grupo ransomware Cl0p que visou clientes do Oracle EBS.
Sistemas afetados
- Oracle E-Business Suite: versões 12.2.3 a 12.2.14
Observação: A versão 12.1.3 também pode ser potencialmente vulnerável.
Remediações de contorno
Bloquear temporariamente o acesso de rede ao componente Oracle Configurator Runtime UI a partir de redes não confiáveis, utilizando firewalls, listas de controle de acesso ou segmentação de rede para restringir o acesso apenas a endereços IP administrativos confiáveis ou acesso exclusivo via VPN. Implementar um Web Application Firewall para filtrar ou desafiar requisições não autenticadas suspeitas direcionadas aos caminhos do Configurator UI. Desabilitar o Runtime UI ou remover o componente Configurator onde seja viável, caso não seja necessário no ambiente.
Solução
Aplicar imediatamente os patches de segurança disponibilizados pela Oracle. Para a versão 12.2, aplicar o Patch 38512809:R12.CZ.C e o Patch 37614922:R12.IES.C. Para a versão 12.1, os patches estão pendentes de liberação. Revisar registros de acesso HTTP e aplicação em busca de atividades suspeitas durante o período de vulnerabilidade. Aumentar o monitoramento de endpoints web do EBS e implementar alertas para acessos não autenticados e respostas de dados grandes.
Fontes primárias e secundárias
SonicOS SSLVPN
Descrição
A falha está presente no serviço SSLVPN do sistema operacional SonicOS e decorre de um buffer overflow baseado em pilha que permite a atacantes remotos não autenticados causar negação de serviço. Quando explorada com sucesso, a vulnerabilidade permite que um invasor envie requisições especialmente elaboradas para a interface SSLVPN vulnerável, provocando o travamento do firewall afetado e interrompendo os serviços de rede. A vulnerabilidade afeta dispositivos onde a interface ou serviço SSLVPN está habilitado, podendo resultar em interrupção generalizada do tráfego de rede e potencial abertura para ataques mais sofisticados se combinada com outras explorações.
Sistemas afetados
- Firewalls de hardware Gen7: séries TZ270 a TZ670, NSa 2700 a 6700, NSsp 10700 a 15700
- Firewalls virtuais Gen7 (NSv): NSv270, NSv470, NSv870 em plataformas ESX, KVM, Hyper-V, AWS e Azure
- Firewalls de hardware Gen8: TZ80 a TZ680, NSa 2800 a 5800
Observação: Sistemas rodando Gen6, SMA 1000 e séries SMA 100 não são afetados. A vulnerabilidade só impacta dispositivos com interface ou serviço SSLVPN habilitado.
Remediações de contorno
Restringir o acesso SSLVPN apenas a endereços IP de origem confiáveis ou desabilitar o SSLVPN de fontes não confiáveis da internet. Isso pode ser feito ajustando as regras de acesso SSLVPN dentro do SonicOS. Esta medida reduz significativamente a superfície de ataque ao impedir que hosts externos desconhecidos alcancem o serviço vulnerável.
Solução
Instalar as versões de firmware atualizadas disponibilizadas pela SonicWall que corrigem a vulnerabilidade. Administradores devem agendar atualizações o mais rápido possível e verificar após a atualização que os serviços SSLVPN estão executando nas versões corrigidas. As versões específicas com correção variam de acordo com a linha de produto e devem ser consultadas no comunicado de segurança oficial da SonicWall. Após aplicar as atualizações, reiniciar os dispositivos para completar a remediação.
Fontes primárias e secundárias
Microsoft Windows Kernel
Descrição
A falha decorre de uma condição de corrida (race condition) no núcleo do sistema operacional, onde múltiplos threads acessam recursos compartilhados do kernel simultaneamente sem sincronização adequada. Atacantes com acesso local e privilégios baixos podem explorar esta fraqueza executando uma aplicação especialmente construída que força o kernel a liberar o mesmo bloco de memória duas vezes, caracterizando uma vulnerabilidade de liberação dupla (double free). Esta corrupção de memória permite manipular estruturas críticas do kernel, sobrescrever dados sensíveis e redirecionar o fluxo de execução. Quando explorada com sucesso, a vulnerabilidade permite que invasores elevem privilégios locais para nível SYSTEM, o mais alto nível de permissão nos sistemas Windows, possibilitando controle total do dispositivo afetado.
Sistemas afetados
- Windows 10 (todas as versões suportadas, incluindo Extended Security Updates)
- Windows 11 versões 22H2, 23H2, 24H2 e 25H2
- Windows Server 2019, 2022 e 2025
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A Microsoft lançou correções no Patch Tuesday de novembro de 2025. As atualizações estão disponíveis nos pacotes KB5068779, KB5068781, KB5068787, KB5068791, KB5068861 e KB5068865, variando conforme a versão do sistema operacional. Organizações devem aplicar as atualizações de segurança imediatamente, priorizando sistemas críticos, controladores de domínio e servidores de produção. A vulnerabilidade está sob exploração ativa confirmada pela Microsoft e foi adicionada ao catálogo KEV da CISA.
Fontes primárias e secundárias
Context
This is the Vulnerability Notification (NDV) for November 2025. In this document, produced by SEK's Cyber Threat Intelligence team, the main vulnerabilities cataloged in the last month are listed.
In our analysis, we prioritize critical and high vulnerabilities present in products and technologies most relevant and used in the industry. It should be noted that this is a document aimed at the cybersecurity community as a whole. For more specific work, we recommend hiring our vulnerability management service, whose focus is on the detection and mitigation of vulnerabilities found throughout our clients' infrastructure in a personalized way.
For each vulnerability listed in this document, we specify the affected versions and systems and indicate a workaround and a solution, so that our clients can act immediately if they use the vulnerable product or technology. We remind you that the workaround – if any – is a contingency measure, which does not completely solve the problem. We always emphasize the need to update the affected service or product as quickly as possible.
SEK is available to help its clients correct the vulnerabilities listed in this document. We also reinforce the importance of maintaining a periodic vulnerability management and patch implementation service, given the growing scenario of increased attack surface and threat actors worldwide.
Summary
Click on the cards to navigate to the specific vulnerability
Adobe Experience Manager Forms on JEE
SAP SQL Anywhere Monitor (Non-GUI)
Grafana Enterprise
ASP.NET Core
SAP Solution Manager
Fortinet FortiWeb
expr-eval JavaScript Library
Noo JobMonster Theme for WordPress
Gladinet CentreStack and Triofox
Windows Server Update Services (WSUS)
Lanscope Endpoint Manager
Oracle E-Business Suite
SonicOS SSLVPN
Microsoft Windows Kernel
THINK AHEAD, ACT NOW.
Adobe Experience Manager Forms on JEE
Description
The flaw stems from improper configuration in the FormServer module that leaves Apache Struts developer mode enabled in the administrative interface. This misconfiguration allows unauthenticated attackers to bypass security mechanisms and execute OGNL (Object-Graph Navigation Language) expressions as Java code. The problem is compounded by a Java deserialization vulnerability that processes user-supplied data without proper validation. Exploitation requires no user interaction and can be performed remotely through specially crafted HTTP requests to the /adminui/debug endpoint, resulting in arbitrary code execution on the server and complete system compromise.
Affected systems
- Adobe Experience Manager Forms on JEE version 6.5.23.0 and earlier
Workarounds
The vendor has not disclosed workarounds for this vulnerability. As a temporary measure, organizations should restrict access to Adobe Experience Manager Forms to trusted internal networks only and remove internet exposure until the update is applied.
Solution
Adobe released a fix in version 6.5.0-0108 of Adobe Experience Manager Forms on JEE. Organizations should update immediately to the patched version. The vulnerability is under active exploitation and has been added to CISA's KEV catalog, which set a remediation deadline of November 5, 2025 for U.S. federal agencies.
Primary and secondary sources
SAP SQL Anywhere Monitor (Non-GUI)
Description
The flaw consists of administrative credentials embedded directly in the source code of the SQL Anywhere Monitor component without a graphical interface. This practice exposes system resources and functionalities to unauthorized users, allowing remote attackers to gain privileged access without prior authentication. The vulnerability enables attackers to execute arbitrary code with administrative privileges, completely compromising the confidentiality, integrity, and availability of the system. SQL Anywhere Monitor is a critical database monitoring and alerting tool, frequently deployed in distributed or remote environments, which amplifies the attack surface.
Affected systems
- SAP SQL Anywhere Monitor (Non-GUI) version 17.0
Workarounds
As a temporary measure until the fix is applied, SAP recommends immediately discontinuing use of SQL Anywhere Monitor and eliminating all existing database instances associated with the component.
Solution
SAP released a fix through security note 3666261, which completely removes the SQL Anywhere Monitor component from the system. Organizations should apply the fix immediately or, if impossible, strictly follow temporary deactivation recommendations. Although there is no evidence of active exploitation at the time of disclosure, the history of attacks on SAP products and the critical nature of the flaw demand priority remediation.
Primary and secondary sources
Grafana Enterprise
Description
The flaw occurs in the SCIM (System for Cross-domain Identity Management) provisioning feature and stems from improper privilege management in handling user identities. The problem allows a malicious or compromised SCIM client to provision a user with a numeric external identifier that can be interpreted as an existing internal user identifier. Since Grafana maps the SCIM externalId directly to the internal user.uid, numeric values like "1" can be treated as identifiers for existing internal accounts, including the administrator account. This enables the newly provisioned user to be treated as an existing administrative account, resulting in user impersonation or privilege escalation.
Affected systems
- Grafana Enterprise: versions 12.0.0 to 12.2.1 (when SCIM is enabled)
Note: Grafana OSS users are not affected. Grafana Cloud services, including Amazon Managed Grafana and Azure Managed Grafana, have already received fixes.
Workarounds
Temporarily disable SCIM provisioning by setting the enableSCIM feature flag to false or configuring the user_sync_enabled option in the auth.scim block to false, if patches cannot be applied immediately. Monitor provisioning logs for user creations with suspicious external identifiers and review permissions of recently provisioned users.
Solution
Update immediately to one of the patched versions provided by Grafana Labs: Grafana Enterprise 12.3.0, 12.2.1, 12.1.3 or 12.0.6. Administrators of self-managed installations should apply the update as soon as possible. After updating, review users provisioned via SCIM during the vulnerability period to identify potentially compromised accounts or accounts with improper privileges.
Primary and secondary sources
ASP.NET Core
Description
The flaw allows attackers to perform HTTP request smuggling by exploiting differences in HTTP request interpretation between proxies and the Kestrel server. The problem occurs in processing chunk extensions in encoded transfers, where invalid line terminators in chunk headers are handled inconsistently. This ambiguity allows an attacker to send a malicious request containing another hidden request, enabling bypass of authentication and authorization controls, perform server-side request forgery (SSRF) attacks, gain privilege escalation, expose other users' credentials, or invoke endpoints that should not be publicly accessible.
Affected systems
- ASP.NET Core 10.0: versions 10.0.0-rc.1.25451.107 and earlier
- ASP.NET Core 9.0: versions 9.0.0 to 9.0.9
- ASP.NET Core 8.0: versions 8.0.0 to 8.0.20
- Microsoft.AspNetCore.Server.Kestrel.Core 2.x: version 2.3.0 and earlier
Workarounds
Review application request processing logic, especially around authentication, authorization, and input validation. Verify reverse proxy configurations, such as Azure Front Door, Azure Web Apps, or nginx, to confirm they normalize requests and detect smuggling attempts. Monitor abnormal request patterns in logs and telemetry. Validate baseline security configurations to ensure the application does not skip critical checks based on request structure.
Solution
Apply security updates provided by Microsoft. For .NET 8.0, install Runtime 8.0.21 or SDK 8.0.318. For .NET 9.0, install Runtime 9.0.10 or SDK 9.0.111. For .NET 10.0, install Runtime 10.0.0-rc.2.25476.107 or SDK 10.0.100-rc.2.25476.107. For the Microsoft.AspNetCore.Server.Kestrel.Core package, update to version 2.3.6. Self-contained applications must also be recompiled and redeployed with patched versions.
Primary and secondary sources
SAP Solution Manager
Description
The flaw stems from inadequate input data sanitization in a remotely enabled function module in SAP Solution Manager. Authenticated attackers with low privileges can exploit this weakness to inject and execute arbitrary malicious code through specially crafted remote function module calls. The vulnerability has changed scope impact, meaning successful exploitation can affect resources beyond the initially vulnerable component, potentially compromising the entire connected SAP environment. Since SAP Solution Manager acts as a centralized management platform for configuration, patching, monitoring, and lifecycle tasks across critical systems like ERP, CRM, SCM, and analytics, a compromise in this component can have widespread consequences across the entire corporate SAP landscape.
Affected systems
- SAP Solution Manager (ST) version 720
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
SAP released a fix through security note 3668705. Organizations should apply the update immediately due to critical severity and potential for complete system compromise. Public availability of the patch may accelerate development of reverse exploits, making urgent application of the fix essential. Although there is no evidence of active exploitation at the time of disclosure, the history of SAP vulnerabilities being quickly weaponized after patch release makes the remediation window very short.
Primary and secondary sources
Fortinet FortiWeb
Description
The flaw combines two distinct weaknesses that work together to bypass authentication controls. The first involves a relative path traversal vulnerability in FortiWeb's web management interface API, which does not properly validate URI paths. When a URI starts with a valid API path like /api/v2.0/cmdb/system/admin, attackers can use traversal sequences to reach the underlying fwbcgi CGI executable. The second weakness allows unauthenticated attackers to bypass authentication checks and execute administrative commands through specially crafted HTTP or HTTPS requests. Chaining these vulnerabilities allows attackers to create administrative accounts, gain full control over vulnerable devices, and execute arbitrary code without any prior authentication.
Affected systems
- FortiWeb 7.0.x
- FortiWeb 7.2.x
- FortiWeb 7.4.x
- FortiWeb 7.6.x
- FortiWeb 8.0.x (prior to 8.0.2)
Workarounds
As a temporary measure, Fortinet recommends disabling HTTP or HTTPS access on publicly exposed devices, significantly reducing the attack vector until fixes can be applied.
Solution
Fortinet has released fixes for all affected versions. Organizations should update immediately according to security bulletin FG-IR-25-910 guidance. CISA added this vulnerability to the KEV catalog with a remediation deadline of November 21, 2025, signaling confirmed active exploitation.
Primary and secondary sources
expr-eval JavaScript Library
Description
The flaw results from insufficient validation of input data in the context passed to the library's Parser.evaluate() function. The expr-eval library is a JavaScript expression parser and evaluator designed to safely evaluate mathematical expressions with user-defined variables. However, due to lack of proper verification of the provided variables object or context, attackers can pass a specially crafted variables object containing malicious functions to the evaluate() function, triggering arbitrary JavaScript code execution. This vulnerability allows attackers to gain complete control over the affected software's behavior or complete disclosure of all information on the compromised system.
Affected systems
- expr-eval (original library): all versions up to 2.0.2
- expr-eval-fork (actively maintained version): all versions up to 2.0.2
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Developers should immediately migrate to expr-eval-fork version 3.0.0, which fixes the vulnerability by implementing an allowlist of safe functions for evaluation, a registration system for custom functions, and improved test coverage for these restrictions. For users of the original expr-eval library, there is a pull request implementing the fix, however, due to the project maintainers being inactive, there is no timeline for when it will be integrated into a new version. Affected projects should republish their libraries after updating to ensure end users receive the fix.
Primary and secondary sources
Noo JobMonster Theme for WordPress
Description
The flaw resides in the check_login() function of the JobMonster theme for WordPress, which does not properly verify a user's identity before successfully authenticating them. This improper authentication weakness allows unauthenticated attackers to bypass standard authentication mechanisms and gain access to administrative accounts without possessing valid credentials. The theme trusts external login data without properly verifying it, allowing attackers to forge administrative access. Exploitation requires social login to be enabled on sites using the theme, otherwise there is no impact. The JobMonster theme is widely used in job listing sites, recruitment portals, and candidate search tools, with over 5,500 sales on the Envato marketplace.
Affected systems
- Noo JobMonster Theme for WordPress: all versions up to 4.8.1
Workarounds
As a temporary measure until the fix is applied, organizations should disable the social login functionality on affected sites, which eliminates the attack vector. Additionally, it is recommended to enable two-factor authentication for all administrative accounts, rotate credentials, and check access logs for suspicious activity.
Solution
NooThemes released a fix in version 4.8.2 of the JobMonster theme. Users should update immediately to the patched version. The vulnerability is under confirmed active exploitation, with Wordfence blocking multiple abuse attempts in a short period. These are targeted attacks against sites where JobMonster's social login feature is enabled, making application of the update critical and urgent.
Primary and secondary sources
Gladinet CentreStack and Triofox
Description
The flaw stems from using cryptographic keys hardcoded directly in the applications' web.config configuration files. The hardcoded machineKey keys are used to protect ViewState data in ASP.NET applications, and knowledge of them allows attackers to forge malicious ViewState payloads that pass integrity checks. Exploitation of this vulnerability enables server-side deserialization attacks, resulting in arbitrary remote code execution without any prerequisite beyond knowledge of the default keys. After successful exploitation, attackers execute code as IISAPPPOOL\portaluser, easily escalating privileges to NT AUTHORITY\SYSTEM and completely compromising the target server.
Affected systems
- Gladinet CentreStack: versions up to 16.1.10296.56315 (fixed in version 16.4.10315.56368)
- Gladinet Triofox: versions up to 16.4.10317.56372
Note: The vulnerability specifically affects servers with default hardcoded keys exposed to the internet.
Workarounds
Block network access to CentreStack or Triofox servers from untrusted networks, limiting all network access to servers through firewalls, access control lists, or network segmentation to restrict access only to trusted administrative IP addresses or VPN-only access. Implement a Web Application Firewall to filter or challenge suspicious unauthenticated requests. Manually rotate machineKey values in web.config files located at root\web.config and portal\web.config within the installation directory.
Solution
Update immediately to the patched versions. For CentreStack, install version 16.4.10315.56368 released on April 3, 2025. For Triofox, install version 16.4.10317.56372. After updating, verify and ensure machineKey values have been changed from default settings. Organizations suspecting they have been impacted should conduct complete forensic investigations for compromise indicators, including abnormal PowerShell processes originating from w3wp.exe, installed remote access tools like MeshCentral, and lateral movement activities on the network.
Primary and secondary sources
Windows Server Update Services (WSUS)
Description
The flaw exists in the WSUS component responsible for client authorization and reporting management, specifically in the ClientWebService web service. The problem stems from insecure deserialization of untrusted data when the server processes specially crafted SOAP requests, typically directed at endpoints like SyncUpdates. The server attempts to decrypt and deserialize an AuthorizationCookie object provided by the attacker using .NET's insecure BinaryFormatter. Since legacy .NET deserializers are known to allow gadget chains that execute code during deserialization, attackers can craft serialized object graphs that invoke constructors, delegates, or callbacks resulting in arbitrary code execution with SYSTEM privileges.
Affected systems
- Windows Server 2012, 2012 R2, 2016, 2019, 2022 (including 23H2 edition) and 2025
Note: The vulnerability only affects servers where the WSUS server role is enabled. This feature is not enabled by default. Typical attack surface exposure occurs when WSUS ports 8530 (HTTP) or 8531 (HTTPS) are accessible.
Workarounds
Temporarily disable the WSUS server role on affected servers. Block all inbound traffic to TCP ports 8530 and 8531 on the host firewall. Restrict network access to WSUS servers, allowing only necessary management systems and Microsoft Update to reach the WSUS environment, blocking all other inbound connections. Increase monitoring for abnormal reconnaissance patterns, PowerShell processes spawned by w3wp.exe and wsusservice.exe, and suspicious lateral movement activities.
Solution
Immediately apply the out-of-band security update released by Microsoft on October 23, 2025. Specific cumulative updates vary by Windows Server version and should be obtained through Windows Update, Microsoft Update, or Microsoft Update Catalog. Servers configured to receive updates automatically will download and install the fix without manual intervention. After installing updates, restart WSUS servers to complete remediation. Organizations that delayed applying the fix should assume initial access compromise and immediately trigger forensic investigations.
Primary and secondary sources
Lanscope Endpoint Manager
Description
The flaw exists in the Client Program and Detection Agent components of the on-premises version of the endpoint management system. The problem stems from inadequate verification of communication channel origins, allowing specially crafted network packets to be accepted and processed without robust validation that they originate from a trusted manager or controller. Unauthenticated remote attackers can exploit this vulnerability to execute arbitrary code on affected systems, establish backdoors for persistent remote access, and perform lateral movement on the network. The flaw was actively exploited as a zero-day since April 2025 in targeted attacks against Japanese organizations, particularly financial institutions, by the APT Bronze Butler group.
Affected systems
- Lanscope Endpoint Manager (On-Premises): versions 9.4.7.1 and earlier, including Client Program (MR) and Detection Agent (DA)
Note: The cloud/SaaS version is not affected by this vulnerability.
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Immediately update all client computers with the patched versions provided by Motex. Fixes are available in versions 9.4.7.3, 9.4.6.3, 9.4.5.4, 9.4.4.6, 9.4.3.8, 9.4.2.6, 9.4.1.5, 9.4.0.5, 9.3.3.9, and 9.3.2.7. The management server software is not affected and does not require updating. Endpoints with the client program or detection agent installed in environments accessible from external networks should be prioritized for immediate remediation.
Primary and secondary sources
Oracle E-Business Suite
Description
The flaw exists in the Runtime UI component of the Oracle Configurator product, allowing unauthenticated remote attackers to perform server-side request forgery. The vulnerability is easily exploitable through HTTP network access and allows arbitrary requests to be sent from the vulnerable server to internal or external systems. Successful exploitation can result in unauthorized access to critical enterprise configuration data or complete access to all data accessible by Oracle Configurator. The vulnerability was actively exploited in real attacks, possibly related to the Cl0p ransomware group's extortion campaign targeting Oracle EBS customers.
Affected systems
- Oracle E-Business Suite: versions 12.2.3 to 12.2.14
Note: Version 12.1.3 may also potentially be vulnerable.
Workarounds
Temporarily block network access to the Oracle Configurator Runtime UI component from untrusted networks, using firewalls, access control lists, or network segmentation to restrict access only to trusted administrative IP addresses or VPN-only access. Implement a Web Application Firewall to filter or challenge suspicious unauthenticated requests directed to Configurator UI paths. Disable Runtime UI or remove the Configurator component where feasible, if not needed in the environment.
Solution
Immediately apply security patches provided by Oracle. For version 12.2, apply Patch 38512809:R12.CZ.C and Patch 37614922:R12.IES.C. For version 12.1, patches are pending release. Review HTTP access and application logs for suspicious activity during the vulnerability period. Increase monitoring of EBS web endpoints and implement alerts for unauthorized access and large data responses.
Primary and secondary sources
SonicOS SSLVPN
Description
The flaw exists in the SSLVPN service of the SonicOS operating system and stems from a stack-based buffer overflow that allows unauthenticated remote attackers to cause denial of service. When successfully exploited, the vulnerability allows an attacker to send specially crafted requests to the vulnerable SSLVPN interface, causing the affected firewall to crash and interrupting network services. The vulnerability affects devices where the SSLVPN interface or service is enabled, potentially resulting in widespread network traffic disruption and opening for more sophisticated attacks if combined with other exploits.
Affected systems
- Gen7 hardware firewalls: TZ270 to TZ670 series, NSa 2700 to 6700, NSsp 10700 to 15700
- Gen7 virtual firewalls (NSv): NSv270, NSv470, NSv870 on ESX, KVM, Hyper-V, AWS and Azure platforms
- Gen8 hardware firewalls: TZ80 to TZ680, NSa 2800 to 5800
Note: Systems running Gen6, SMA 1000 and SMA 100 series are not affected. The vulnerability only impacts devices with SSLVPN interface or service enabled.
Workarounds
Restrict SSLVPN access only to trusted source IP addresses or disable SSLVPN from untrusted internet sources. This can be done by adjusting SSLVPN access rules within SonicOS. This measure significantly reduces the attack surface by preventing unknown external hosts from reaching the vulnerable service.
Solution
Install updated firmware versions provided by SonicWall that fix the vulnerability. Administrators should schedule updates as soon as possible and verify after updating that SSLVPN services are running on patched versions. Specific patched versions vary by product line and should be consulted in SonicWall's official security advisory. After applying updates, restart devices to complete remediation.
Primary and secondary sources
Microsoft Windows Kernel
Description
The flaw stems from a race condition in the operating system kernel, where multiple threads access shared kernel resources simultaneously without proper synchronization. Attackers with local access and low privileges can exploit this weakness by running a specially crafted application that forces the kernel to free the same memory block twice, characterizing a double free vulnerability. This memory corruption allows manipulation of critical kernel structures, overwriting sensitive data, and redirecting execution flow. When successfully exploited, the vulnerability allows attackers to elevate local privileges to SYSTEM level, the highest permission level in Windows systems, enabling complete control of the affected device.
Affected systems
- Windows 10 (all supported versions, including Extended Security Updates)
- Windows 11 versions 22H2, 23H2, 24H2 and 25H2
- Windows Server 2019, 2022 and 2025
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Microsoft released fixes in the November 2025 Patch Tuesday. Updates are available in packages KB5068779, KB5068781, KB5068787, KB5068791, KB5068861, and KB5068865, varying by operating system version. Organizations should apply security updates immediately, prioritizing critical systems, domain controllers, and production servers. The vulnerability is under confirmed active exploitation by Microsoft and has been added to CISA's KEV catalog.
Primary and secondary sources
Contexto
Esta es la Notificación de Vulnerabilidades (NDV) correspondiente al mes de noviembre de 2025. En este documento, producido por el equipo de Inteligencia de Amenazas Cibernéticas de SEK, se listan las principales vulnerabilidades catalogadas en el último mes.
En nuestro análisis, priorizamos las vulnerabilidades críticas y altas presentes en productos y tecnologías más relevantes y utilizados en la industria. Cabe señalar que este es un documento dirigido a la comunidad de ciberseguridad en su conjunto. Para un trabajo más específico, recomendamos la contratación de nuestro servicio de gestión de vulnerabilidades, cuyo enfoque está en la detección y mitigación de vulnerabilidades encontradas en todo el parque de nuestros clientes de forma personalizada.
Para cada vulnerabilidad listada en este documento, especificamos las versiones y sistemas afectados e indicamos una remediación de contorno y una solución, para que nuestros clientes puedan actuar de forma inmediata si utilizan el producto o tecnología vulnerable. Recordamos que la remediación de contorno – si la hay – es una medida de carácter contingencial, que no soluciona el problema por completo. Reforzamos, siempre, la necesidad de actualización del servicio o producto afectado lo más rápido posible.
SEK se pone a disposición para ayudar a sus clientes a corregir las vulnerabilidades listadas en este documento. Reforzamos, además, la importancia del mantenimiento de un servicio periódico de gestión de vulnerabilidades e implementación de parches, teniendo en cuenta el escenario creciente de aumento de superficie de ataque y de actores de amenaza en todo el mundo.
Resumen
Haga clic en las tarjetas para navegar a la vulnerabilidad específica
Adobe Experience Manager Forms on JEE
SAP SQL Anywhere Monitor (Non-GUI)
Grafana Enterprise
ASP.NET Core
SAP Solution Manager
Fortinet FortiWeb
expr-eval JavaScript Library
Noo JobMonster Theme for WordPress
Gladinet CentreStack y Triofox
Windows Server Update Services (WSUS)
Lanscope Endpoint Manager
Oracle E-Business Suite
SonicOS SSLVPN
Microsoft Windows Kernel
THINK AHEAD, ACT NOW.
Adobe Experience Manager Forms on JEE
Descripción
La falla proviene de una configuración inadecuada en el módulo FormServer que deja el modo de desarrollador de Apache Struts habilitado en la interfaz administrativa. Esta misconfiguration permite que atacantes no autenticados eviten mecanismos de seguridad y ejecuten expresiones OGNL (Object-Graph Navigation Language) como código Java. El problema se agrava por una vulnerabilidad de deserialización Java que procesa datos proporcionados por el usuario sin validación adecuada. La explotación no requiere interacción del usuario y puede realizarse remotamente a través de solicitudes HTTP especialmente construidas al endpoint /adminui/debug, resultando en ejecución arbitraria de código en el servidor y compromiso total del sistema.
Sistemas afectados
- Adobe Experience Manager Forms on JEE versión 6.5.23.0 y anteriores
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad. Como medida temporal, las organizaciones deben restringir el acceso a Adobe Experience Manager Forms solo a redes internas confiables y eliminar la exposición a internet hasta que se aplique la actualización.
Solución
Adobe lanzó una corrección en la versión 6.5.0-0108 de Adobe Experience Manager Forms on JEE. Las organizaciones deben actualizar inmediatamente a la versión corregida. La vulnerabilidad está bajo explotación activa y ha sido agregada al catálogo KEV de CISA, que estableció un plazo de remediación para el 5 de noviembre de 2025 para agencias federales de EE.UU.
Fuentes primarias y secundarias
SAP SQL Anywhere Monitor (Non-GUI)
Descripción
La falla consiste en credenciales administrativas incorporadas directamente en el código fuente del componente SQL Anywhere Monitor sin interfaz gráfica. Esta práctica expone recursos y funcionalidades del sistema a usuarios no autorizados, permitiendo que atacantes remotos obtengan acceso privilegiado sin necesidad de autenticación previa. La vulnerabilidad posibilita que invasores ejecuten código arbitrario con privilegios administrativos, comprometiendo completamente la confidencialidad, integridad y disponibilidad del sistema. SQL Anywhere Monitor es una herramienta crítica de monitoreo y alerta de base de datos, frecuentemente implementada en ambientes distribuidos o remotos, lo que amplía la superficie de ataque.
Sistemas afectados
- SAP SQL Anywhere Monitor (Non-GUI) versión 17.0
Remediaciones de contorno
Como medida temporal hasta la aplicación de la corrección, SAP recomienda interrumpir inmediatamente el uso del SQL Anywhere Monitor y eliminar todas las instancias existentes de la base de datos asociada al componente.
Solución
SAP lanzó una corrección a través de la nota de seguridad 3666261, que elimina completamente el componente SQL Anywhere Monitor del sistema. Las organizaciones deben aplicar la corrección inmediatamente o, si es imposible, seguir rigurosamente las recomendaciones temporales de desactivación. Aunque no hay evidencias de explotación activa en el momento de la divulgación, el historial de ataques a productos SAP y la naturaleza crítica de la falla demandan remediación prioritaria.
Fuentes primarias y secundarias
Grafana Enterprise
Descripción
La falla ocurre en el recurso de aprovisionamiento SCIM (System for Cross-domain Identity Management) y proviene de la gestión inadecuada de privilegios en el tratamiento de identidades de usuarios. El problema permite que un cliente SCIM malicioso o comprometido aprovisione un usuario con un identificador externo numérico que puede ser interpretado como un identificador interno de usuario existente. Como Grafana mapea el externalId del SCIM directamente al user.uid interno, valores numéricos como "1" pueden ser tratados como identificadores de cuentas internas existentes, incluyendo la cuenta de administrador. Esto posibilita que el usuario recién aprovisionado sea tratado como una cuenta administrativa existente, resultando en suplantación de usuarios o escalada de privilegios.
Sistemas afectados
- Grafana Enterprise: versiones 12.0.0 a 12.2.1 (cuando SCIM está habilitado)
Nota: Los usuarios de Grafana OSS no están afectados. Los servicios Grafana Cloud, incluyendo Amazon Managed Grafana y Azure Managed Grafana, ya han recibido correcciones.
Remediaciones de contorno
Deshabilitar temporalmente el aprovisionamiento SCIM definiendo la feature flag enableSCIM como falso o configurando la opción user_sync_enabled en el bloque auth.scim como falso, si la aplicación de los patches no puede realizarse inmediatamente. Monitorear registros de aprovisionamiento en busca de creaciones de usuarios con identificadores externos sospechosos y revisar permisos de usuarios recientemente aprovisionados.
Solución
Actualizar inmediatamente a una de las versiones corregidas proporcionadas por Grafana Labs: Grafana Enterprise 12.3.0, 12.2.1, 12.1.3 o 12.0.6. Los administradores de instalaciones autogestionadas deben aplicar la actualización lo más rápido posible. Después de la actualización, revisar usuarios aprovisionados vía SCIM durante el período de vulnerabilidad para identificar posibles cuentas comprometidas o con privilegios indebidos.
Fuentes primarias y secundarias
ASP.NET Core
Descripción
La falla permite que atacantes realicen HTTP request smuggling explotando diferencias en la interpretación de solicitudes HTTP entre proxies y el servidor Kestrel. El problema ocurre en el procesamiento de extensiones de chunks en transferencias codificadas, donde terminadores de línea inválidos en encabezados de chunk son tratados de forma inconsistente. Esta ambigüedad permite que un atacante envíe una solicitud maliciosa conteniendo otra solicitud oculta, posibilitando evadir controles de autenticación y autorización, realizar ataques de falsificación de solicitud del lado del servidor (SSRF), obtener escalada de privilegios, exponer credenciales de otros usuarios o invocar endpoints que no deberían ser públicamente accesibles.
Sistemas afectados
- ASP.NET Core 10.0: versiones 10.0.0-rc.1.25451.107 y anteriores
- ASP.NET Core 9.0: versiones 9.0.0 a 9.0.9
- ASP.NET Core 8.0: versiones 8.0.0 a 8.0.20
- Microsoft.AspNetCore.Server.Kestrel.Core 2.x: versión 2.3.0 y anteriores
Remediaciones de contorno
Revisar la lógica de procesamiento de solicitudes de la aplicación, especialmente alrededor de autenticación, autorización y validación de entrada. Verificar configuraciones de proxies reversos, como Azure Front Door, Azure Web Apps o nginx, para confirmar que normalizan solicitudes y detectan intentos de smuggling. Monitorear patrones anormales de solicitudes en registros y telemetría. Validar configuraciones de seguridad base para garantizar que la aplicación no ignore verificaciones críticas basadas en la estructura de la solicitud.
Solución
Aplicar las actualizaciones de seguridad proporcionadas por Microsoft. Para .NET 8.0, instalar el Runtime 8.0.21 o SDK 8.0.318. Para .NET 9.0, instalar el Runtime 9.0.10 o SDK 9.0.111. Para .NET 10.0, instalar el Runtime 10.0.0-rc.2.25476.107 o SDK 10.0.100-rc.2.25476.107. Para el paquete Microsoft.AspNetCore.Server.Kestrel.Core, actualizar a la versión 2.3.6. Las aplicaciones self-contained también deben ser recompiladas y reimplantadas con las versiones corregidas.
Fuentes primarias y secundarias
SAP Solution Manager
Descripción
La falla proviene de la ausencia de sanitización adecuada de datos de entrada en un módulo de función habilitado remotamente en SAP Solution Manager. Atacantes autenticados con privilegios bajos pueden explotar esta debilidad para insertar y ejecutar código malicioso arbitrario a través de llamadas especialmente construidas a módulos de función remotos. La vulnerabilidad tiene impacto de alcance alterado, lo que significa que la explotación exitosa puede afectar recursos más allá del componente inicialmente vulnerable, potencialmente comprometiendo todo el ambiente SAP conectado. Como SAP Solution Manager actúa como plataforma centralizada de gestión para configuración, aplicación de patches, monitoreo y tareas de ciclo de vida en sistemas críticos como ERP, CRM, SCM y análisis, un compromiso en este componente puede tener consecuencias generalizadas en todo el paisaje SAP corporativo.
Sistemas afectados
- SAP Solution Manager (ST) versión 720
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
SAP lanzó una corrección a través de la nota de seguridad 3668705. Las organizaciones deben aplicar la actualización inmediatamente debido a la severidad crítica y al potencial de compromiso completo del sistema. La disponibilización pública del patch puede acelerar el desarrollo de exploits reversos, haciendo esencial la aplicación urgente de la corrección. Aunque no hay evidencias de explotación activa en el momento de la divulgación, el historial de vulnerabilidades SAP siendo rápidamente armadas después del lanzamiento de correcciones hace que la ventana de oportunidad para remediación sea muy corta.
Fuentes primarias y secundarias
Fortinet FortiWeb
Descripción
La falla combina dos debilidades distintas que trabajan en conjunto para evadir controles de autenticación. La primera involucra una vulnerabilidad de travesía de ruta relativa en la API de la interfaz de gestión web del FortiWeb, que no valida adecuadamente rutas de URI. Cuando una URI inicia con una ruta de API válida como /api/v2.0/cmdb/system/admin, atacantes pueden usar secuencias de travesía para alcanzar el ejecutable CGI subyacente fwbcgi. La segunda debilidad permite que atacantes no autenticados eviten verificaciones de autenticación y ejecuten comandos administrativos a través de solicitudes HTTP o HTTPS especialmente construidas. El encadenamiento de estas vulnerabilidades permite que invasores creen cuentas administrativas, obtengan control total sobre dispositivos vulnerables y ejecuten código arbitrario sin cualquier autenticación previa.
Sistemas afectados
- FortiWeb 7.0.x
- FortiWeb 7.2.x
- FortiWeb 7.4.x
- FortiWeb 7.6.x
- FortiWeb 8.0.x (anteriores a 8.0.2)
Remediaciones de contorno
Como medida temporal, Fortinet recomienda deshabilitar el acceso HTTP o HTTPS en dispositivos expuestos públicamente a internet, reduciendo significativamente el vector de ataque hasta que las correcciones puedan ser aplicadas.
Solución
Fortinet ha lanzado correcciones para todas las versiones afectadas. Las organizaciones deben actualizar inmediatamente conforme a las orientaciones del boletín de seguridad FG-IR-25-910. CISA agregó esta vulnerabilidad al catálogo KEV con plazo de remediación del 21 de noviembre de 2025, señalizando explotación activa confirmada.
Fuentes primarias y secundarias
expr-eval JavaScript Library
Descripción
La falla resulta de la validación insuficiente de datos de entrada en el contexto pasado a la función Parser.evaluate() de la biblioteca. La biblioteca expr-eval es un parser y evaluador de expresiones JavaScript diseñado para evaluar con seguridad expresiones matemáticas con variables definidas por el usuario. Sin embargo, debido a la ausencia de verificación adecuada del objeto de variables o contexto proporcionado, atacantes pueden pasar un objeto de variables especialmente construido conteniendo funciones maliciosas a la función evaluate(), desencadenando ejecución arbitraria de código JavaScript. Esta vulnerabilidad permite que invasores obtengan control total sobre el comportamiento del software afectado o divulgación completa de todas las informaciones en el sistema comprometido.
Sistemas afectados
- expr-eval (biblioteca original): todas las versiones hasta 2.0.2
- expr-eval-fork (versión mantenida activamente): todas las versiones hasta 2.0.2
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Los desarrolladores deben migrar inmediatamente a expr-eval-fork versión 3.0.0, que corrige la vulnerabilidad implementando una allowlist de funciones seguras para evaluación, sistema de registro para funciones personalizadas y cobertura de pruebas mejorada para estas restricciones. Para usuarios de la biblioteca original expr-eval, existe una solicitud de pull que implementa la corrección, sin embargo, debido a que los mantenedores del proyecto están inactivos, no hay previsión de cuándo será integrada a una nueva versión. Los proyectos afectados deben republicar sus bibliotecas después de la actualización para garantizar que los usuarios finales reciban la corrección.
Fuentes primarias y secundarias
Noo JobMonster Theme for WordPress
Descripción
La falla reside en la función check_login() del tema JobMonster para WordPress, que no verifica adecuadamente la identidad de un usuario antes de autenticarlo con éxito. Esta debilidad de autenticación inadecuada permite que atacantes no autenticados evadan mecanismos de autenticación estándar y obtengan acceso a cuentas administrativas sin poseer credenciales válidas. El tema confía en los datos de login externo sin verificarlos adecuadamente, permitiendo que invasores falsifiquen acceso administrativo. La explotación requiere que el login social esté habilitado en los sitios que utilizan el tema, de lo contrario no hay impacto. El tema JobMonster es ampliamente utilizado en sitios de listado de empleos, portales de reclutamiento y herramientas de búsqueda de candidatos, teniendo más de 5.500 ventas en el marketplace Envato.
Sistemas afectados
- Noo JobMonster Theme for WordPress: todas las versiones hasta 4.8.1
Remediaciones de contorno
Como medida temporal hasta la aplicación de la corrección, las organizaciones deben deshabilitar la funcionalidad de login social en sitios afectados, lo que elimina el vector de ataque. Adicionalmente, se recomienda habilitar autenticación de dos factores para todas las cuentas administrativas, rotar credenciales y verificar registros de acceso en busca de actividades sospechosas.
Solución
NooThemes lanzó una corrección en la versión 4.8.2 del tema JobMonster. Los usuarios deben actualizar inmediatamente a la versión corregida. La vulnerabilidad está bajo explotación activa confirmada, con Wordfence bloqueando múltiples intentos de abuso en corto período de tiempo. Se tratan de ataques dirigidos contra sitios donde la función de login social de JobMonster está habilitada, haciendo que la aplicación de la actualización sea crítica y urgente.
Fuentes primarias y secundarias
Gladinet CentreStack y Triofox
Descripción
La falla proviene del uso de claves criptográficas codificadas directamente en el código en los archivos de configuración web.config de las aplicaciones. Las claves machineKey codificadas son utilizadas para proteger datos del ViewState en aplicaciones ASP.NET, y su conocimiento permite que atacantes forjen payloads maliciosos del ViewState que pasan por las verificaciones de integridad. La explotación de esta vulnerabilidad posibilita ataques de deserialización en el lado del servidor, resultando en ejecución remota de código arbitrario sin cualquier pre-requisito además del conocimiento de las claves predeterminadas. Después de explotación exitosa, atacantes ejecutan código como IISAPPPOOL\portaluser, pudiendo fácilmente escalar privilegios a NT AUTHORITY\SYSTEM y comprometer completamente el servidor objetivo.
Sistemas afectados
- Gladinet CentreStack: versiones hasta 16.1.10296.56315 (corregida en la versión 16.4.10315.56368)
- Gladinet Triofox: versiones hasta 16.4.10317.56372
Nota: La vulnerabilidad afecta específicamente servidores con las claves predeterminadas codificadas expuestos a internet.
Remediaciones de contorno
Bloquear el acceso de red al servidor CentreStack o Triofox a partir de redes no confiables, limitando todo acceso de red a los servidores a través de firewalls, listas de control de acceso o segmentación de red para restringir el acceso solo a direcciones IP administrativas confiables o acceso exclusivo vía VPN. Implementar un Web Application Firewall para filtrar o desafiar solicitudes no autenticadas sospechosas. Rotar manualmente los valores de machineKey en los archivos web.config localizados en root\web.config y portal\web.config dentro del directorio de instalación.
Solución
Actualizar inmediatamente a las versiones corregidas. Para CentreStack, instalar la versión 16.4.10315.56368 lanzada el 3 de abril de 2025. Para Triofox, instalar la versión 16.4.10317.56372. Después de la actualización, verificar y garantizar que los valores de machineKey fueron alterados de las configuraciones predeterminadas. Las organizaciones que sospechan haber sido impactadas deben realizar investigaciones forenses completas en busca de indicadores de compromiso, incluyendo procesos PowerShell anormales originados de w3wp.exe, herramientas de acceso remoto instaladas como MeshCentral y actividades de movimiento lateral en la red.
Fuentes primarias y secundarias
Windows Server Update Services (WSUS)
Descripción
La falla está presente en el componente WSUS responsable por la gestión de autorización de clientes y reportes, específicamente en el servicio web ClientWebService. El problema proviene de la deserialización insegura de datos no confiables cuando el servidor procesa solicitudes SOAP especialmente elaboradas, típicamente dirigidas a endpoints como SyncUpdates. El servidor intenta descifrar y deserializar un objeto AuthorizationCookie proporcionado por el atacante utilizando el BinaryFormatter inseguro del .NET. Como los deserializadores legados del .NET son conocidos por permitir cadenas de gadgets que ejecutan código durante la deserialización, atacantes pueden elaborar grafos de objetos serializados que invocan constructores, delegados o callbacks resultando en ejecución arbitraria de código con privilegios SYSTEM.
Sistemas afectados
- Windows Server 2012, 2012 R2, 2016, 2019, 2022 (incluyendo edición 23H2) y 2025
Nota: La vulnerabilidad afecta solo servidores donde la función de servidor WSUS está habilitada. Este recurso no está habilitado por defecto. La exposición típica de la superficie de ataque ocurre cuando los puertos WSUS 8530 (HTTP) o 8531 (HTTPS) están accesibles.
Remediaciones de contorno
Deshabilitar temporalmente la función de servidor WSUS en los servidores afectados. Bloquear todo el tráfico de entrada para los puertos TCP 8530 y 8531 en el firewall del host. Restringir el acceso de red a los servidores WSUS, permitiendo solo que sistemas de gestión necesarios y Microsoft Update alcancen el ambiente WSUS, bloqueando todas las otras conexiones de entrada. Aumentar el monitoreo en busca de patrones anormales de reconocimiento, procesos PowerShell generados por w3wp.exe y wsusservice.exe, y actividades sospechosas de movimiento lateral.
Solución
Aplicar inmediatamente la actualización de seguridad fuera de banda lanzada por Microsoft el 23 de octubre de 2025. Las actualizaciones acumulativas específicas varían de acuerdo con la versión de Windows Server y deben ser obtenidas a través de Windows Update, Microsoft Update o Microsoft Update Catalog. Los servidores configurados para recibir actualizaciones automáticamente harán el download e instalación de la corrección sin intervención manual. Después de instalar las actualizaciones, reiniciar los servidores WSUS para completar la remediación. Las organizaciones que retrasaron la aplicación de la corrección deben asumir compromiso inicial de acceso e inmediatamente activar investigaciones forenses.
Fuentes primarias y secundarias
Lanscope Endpoint Manager
Descripción
La falla está presente en los componentes Client Program y Detection Agent de la versión on-premises del sistema de gestión de endpoints. El problema proviene de la verificación inadecuada del origen de canales de comunicación, permitiendo que paquetes de red especialmente elaborados sean aceptados y procesados sin validación robusta de que se originan de un gestor o controlador confiable. Atacantes remotos no autenticados pueden explotar esta vulnerabilidad para ejecutar código arbitrario en los sistemas afectados, establecer puertas traseras para acceso remoto persistente y realizar movimiento lateral en la red. La falla fue activamente explotada como zero-day desde abril de 2025 en ataques dirigidos contra organizaciones japonesas, particularmente instituciones financieras, por el grupo APT Bronze Butler.
Sistemas afectados
- Lanscope Endpoint Manager (On-Premises): versiones 9.4.7.1 y anteriores, incluyendo Client Program (MR) y Detection Agent (DA)
Nota: La versión en nube/SaaS no está afectada por esta vulnerabilidad.
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Actualizar inmediatamente todos los computadores clientes con las versiones corregidas proporcionadas por Motex. Las correcciones están disponibles en las versiones 9.4.7.3, 9.4.6.3, 9.4.5.4, 9.4.4.6, 9.4.3.8, 9.4.2.6, 9.4.1.5, 9.4.0.5, 9.3.3.9 y 9.3.2.7. El software del servidor de gestión no está afectado y no necesita actualización. Los endpoints con el programa cliente o agente de detección instalados en ambientes accesibles desde redes externas deben ser priorizados para corrección inmediata.
Fuentes primarias y secundarias
Oracle E-Business Suite
Descripción
La falla está presente en el componente Runtime UI del producto Oracle Configurator, permitiendo que atacantes remotos no autenticados realicen falsificación de solicitud del lado del servidor. La vulnerabilidad es fácilmente explotable a través de acceso por red HTTP y permite que solicitudes arbitrarias sean enviadas del servidor vulnerable a sistemas internos o externos. La explotación exitosa puede resultar en acceso no autorizado a datos críticos de configuración empresarial o acceso completo a todos los datos accesibles por Oracle Configurator. La vulnerabilidad fue explotada activamente en ataques reales, posiblemente relacionados a la campaña de extorsión del grupo ransomware Cl0p que apuntó a clientes de Oracle EBS.
Sistemas afectados
- Oracle E-Business Suite: versiones 12.2.3 a 12.2.14
Nota: La versión 12.1.3 también puede ser potencialmente vulnerable.
Remediaciones de contorno
Bloquear temporalmente el acceso de red al componente Oracle Configurator Runtime UI a partir de redes no confiables, utilizando firewalls, listas de control de acceso o segmentación de red para restringir el acceso solo a direcciones IP administrativas confiables o acceso exclusivo vía VPN. Implementar un Web Application Firewall para filtrar o desafiar solicitudes no autenticadas sospechosas dirigidas a los caminos del Configurator UI. Deshabilitar el Runtime UI o remover el componente Configurator donde sea viable, caso no sea necesario en el ambiente.
Solución
Aplicar inmediatamente los patches de seguridad proporcionados por Oracle. Para la versión 12.2, aplicar el Patch 38512809:R12.CZ.C y el Patch 37614922:R12.IES.C. Para la versión 12.1, los patches están pendientes de liberación. Revisar registros de acceso HTTP y aplicación en busca de actividades sospechosas durante el período de vulnerabilidad. Aumentar el monitoreo de endpoints web del EBS e implementar alertas para accesos no autorizados y respuestas de datos grandes.
Fuentes primarias y secundarias
SonicOS SSLVPN
Descripción
La falla está presente en el servicio SSLVPN del sistema operativo SonicOS y proviene de un buffer overflow basado en pila que permite a atacantes remotos no autenticados causar denegación de servicio. Cuando explotada con éxito, la vulnerabilidad permite que un invasor envíe solicitudes especialmente elaboradas a la interfaz SSLVPN vulnerable, provocando el fallo del firewall afectado e interrumpiendo los servicios de red. La vulnerabilidad afecta dispositivos donde la interfaz o servicio SSLVPN está habilitado, pudiendo resultar en interrupción generalizada del tráfico de red y potencial apertura para ataques más sofisticados si combinada con otras explotaciones.
Sistemas afectados
- Firewalls de hardware Gen7: series TZ270 a TZ670, NSa 2700 a 6700, NSsp 10700 a 15700
- Firewalls virtuales Gen7 (NSv): NSv270, NSv470, NSv870 en plataformas ESX, KVM, Hyper-V, AWS y Azure
- Firewalls de hardware Gen8: TZ80 a TZ680, NSa 2800 a 5800
Nota: Sistemas ejecutando Gen6, SMA 1000 y series SMA 100 no están afectados. La vulnerabilidad solo impacta dispositivos con interfaz o servicio SSLVPN habilitado.
Remediaciones de contorno
Restringir el acceso SSLVPN solo a direcciones IP de origen confiables o deshabilitar el SSLVPN de fuentes no confiables de internet. Esto puede ser hecho ajustando las reglas de acceso SSLVPN dentro de SonicOS. Esta medida reduce significativamente la superficie de ataque al impedir que hosts externos desconocidos alcancen el servicio vulnerable.
Solución
Instalar las versiones de firmware actualizadas proporcionadas por SonicWall que corrigen la vulnerabilidad. Los administradores deben programar actualizaciones lo más rápido posible y verificar después de la actualización que los servicios SSLVPN están ejecutándose en las versiones corregidas. Las versiones específicas con corrección varían de acuerdo con la línea de producto y deben ser consultadas en el comunicado de seguridad oficial de SonicWall. Después de aplicar las actualizaciones, reiniciar los dispositivos para completar la remediación.
Fuentes primarias y secundarias
Microsoft Windows Kernel
Descripción
La falla proviene de una condición de carrera (race condition) en el núcleo del sistema operativo, donde múltiples threads acceden recursos compartidos del kernel simultáneamente sin sincronización adecuada. Atacantes con acceso local y privilegios bajos pueden explotar esta debilidad ejecutando una aplicación especialmente construida que fuerza el kernel a liberar el mismo bloque de memoria dos veces, caracterizando una vulnerabilidad de liberación doble (double free). Esta corrupción de memoria permite manipular estructuras críticas del kernel, sobrescribir datos sensibles y redirigir el flujo de ejecución. Cuando explotada con éxito, la vulnerabilidad permite que invasores eleven privilegios locales a nivel SYSTEM, el más alto nivel de permiso en los sistemas Windows, posibilitando control total del dispositivo afectado.
Sistemas afectados
- Windows 10 (todas las versiones soportadas, incluyendo Extended Security Updates)
- Windows 11 versiones 22H2, 23H2, 24H2 y 25H2
- Windows Server 2019, 2022 y 2025
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Microsoft lanzó correcciones en el Patch Tuesday de noviembre de 2025. Las actualizaciones están disponibles en los paquetes KB5068779, KB5068781, KB5068787, KB5068791, KB5068861 y KB5068865, variando conforme a la versión del sistema operativo. Las organizaciones deben aplicar las actualizaciones de seguridad inmediatamente, priorizando sistemas críticos, controladores de dominio y servidores de producción. La vulnerabilidad está bajo explotación activa confirmada por Microsoft y fue agregada al catálogo KEV de CISA.
Fuentes primarias y secundarias
Central de Conteúdos SEK
SEK Content Hub
Central de Contenidos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de Conteúdos