Contexto
Esta é a Notificação de Vulnerabilidades (NDV) referente ao mês de dezembro de 2025. Neste documento, produzido pelo time de Inteligência de Ameaças Cibernéticas da SEK, estão listadas as principais vulnerabilidades catalogadas no último mês.
Em nossa análise, priorizamos as vulnerabilidades críticas e altas presentes nos produtos e tecnologias mais relevantes e utilizados na indústria. Cabe pontuar que este é um documento direcionado à comunidade de cibersegurança como um todo. Para um trabalho mais específico, recomendamos a contratação de nosso serviço de gestão de vulnerabilidades, cujo foco está na detecção e mitigação de vulnerabilidades encontradas em todo o parque de nossos clientes de forma personalizada.
Para cada vulnerabilidade listada neste documento, especificamos as versões e sistemas afetados e indicamos uma remediação de contorno e uma solução, para que nossos clientes possam atuar de forma imediata caso utilizem o produto ou tecnologia vulnerável. Lembramos que a remediação de contorno – se houver – é uma medida de caráter contingencial, que não soluciona o problema por completo. Reforçamos, sempre, a necessidade de atualização do serviço ou produto afetado o mais rápido possível.
A SEK se coloca à disposição para ajudar seus clientes a corrigirem as vulnerabilidades listadas neste documento. Reforçamos, ainda, a importância da manutenção de um serviço periódico de gestão de vulnerabilidades e implementação de patches, tendo em vista o cenário crescente de aumento de superfície de ataque e de atores de ameaça em todo o mundo.
Sumário
Clique nos cards para navegar até a vulnerabilidade específica
Apache Tika
Grafana Enterprise SCIM
IBM AIX Network Installation Manager
GeoServer
Fortinet FortiWeb
Ivanti Endpoint Manager
Oracle Identity Manager
Oracle E-Business Suite
GitHub Copilot for JetBrains
Microsoft Windows
Android Framework
THINK AHEAD, ACT NOW.
Apache Tika
Descrição
Os módulos afetados do framework apresentam uma falha que permite ataques de injeção de XML External Entity através de arquivos XFA maliciosos incorporados em documentos PDF. A vulnerabilidade decorre da restrição inadequada de referências a entidades externas durante o processamento de conteúdo XML, permitindo que atacantes remotos não autenticados leiam arquivos sensíveis do servidor. O problema reside especificamente no componente tika-core, onde o analisador XML processa inadequadamente arquivos XFA incorporados em PDFs. A exploração bem-sucedida possibilita acesso não autorizado a dados confidenciais. Esta vulnerabilidade substitui e expande o escopo da CVE-2025-54988 divulgada anteriormente, esclarecendo que atualizações apenas no módulo PDF não mitigam o risco, sendo essencial atualizar o tika-core.
Sistemas afetados
- Apache Tika core (tika-core): versões 1.13 a 3.2.1
- Apache Tika PDF parser module (tika-parser-pdf-module): versões 2.0.0 a 3.2.1
- Apache Tika parsers (tika-parsers): versões 1.13 a 1.28.5
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
A Apache Software Foundation disponibilizou correções nas versões tika-core 3.2.2, tika-parser-pdf-module 3.2.2 e tika-parsers 2.0.0 ou posteriores.
Fontes primárias e secundárias
Grafana Enterprise SCIM
Descrição
O componente SCIM apresenta uma falha crítica no tratamento de identidade de usuários que permite a um cliente SCIM malicioso ou comprometido provisionar usuários com externalId numérico. A vulnerabilidade decorre do mapeamento direto do atributo externalId do protocolo SCIM para o identificador interno user.uid do Grafana, possibilitando que valores numéricos sejam interpretados como contas de usuário existentes. Atacantes podem explorar essa fraqueza para sobrescrever identificadores internos de usuários privilegiados, resultando em personificação administrativa ou escalada de privilégios. A funcionalidade SCIM, introduzida em abril de 2025, está vulnerável apenas quando tanto o flag enableSCIM quanto a opção user_sync_enabled no bloco de configuração [auth.scim] estão definidos como verdadeiro.
Sistemas afetados
- Grafana Enterprise: versões 12.0.0 até 12.2.1 (quando SCIM está habilitado e configurado)
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
O Grafana Labs disponibilizou correções em múltiplas versões: 12.3.0, 12.2.1, 12.1.3 e 12.0.6. Organizações que executam Grafana Enterprise 12.x com SCIM habilitado devem atualizar imediatamente para uma das versões corrigidas.
Fontes primárias e secundárias
IBM AIX Network Installation Manager
Descrição
O serviço Network Installation Manager apresenta falha crítica de controle de processos que permite execução remota não autenticada de comandos arbitrários no sistema operacional. A vulnerabilidade reside especificamente no serviço nimesis, anteriormente denominado NIM master, onde controles inadequados de processos possibilitam que atacantes remotos sem qualquer privilégio executem comandos de sua escolha no sistema alvo. A exploração requer apenas conectividade de rede com o host afetado, sem necessidade de autenticação ou interação do usuário, permitindo que invasores obtenham controle completo do sistema, instalem malware, estabeleçam backdoors e realizem movimentação lateral através da rede corporativa. Esta vulnerabilidade aborda vetores de ataque adicionais para problema previamente corrigido sob identificador CVE-2024-56346.
Sistemas afetados
- IBM AIX 7.2
- IBM AIX 7.3
- IBM VIOS 3.1
- IBM VIOS 4.1
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Aplicar imediatamente as correções cumulativas disponibilizadas pela IBM.
Fontes primárias e secundárias
GeoServer
Descrição
O servidor open-source para compartilhamento e edição de dados geoespaciais apresenta uma vulnerabilidade de XML External Entity (XXE) no endpoint /geoserver/wms através da operação GetMap. A falha decorre da sanitização inadequada de entrada XML, permitindo que atacantes remotos não autenticados definam entidades externas dentro das requisições XML. A exploração possibilita leitura de arquivos arbitrários do sistema de arquivos do servidor, execução de ataques Server-Side Request Forgery (SSRF) para interação com sistemas internos e negação de serviço através de exaustão de recursos do sistema. A falha foi incluída no catálogo Known Exploited Vulnerabilities da CISA, com evidências de exploração ativa em ambiente real.
Sistemas afetados
- GeoServer: todas as versões até 2.25.5
- GeoServer: versões de 2.26.0 até 2.26.1
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Atualizar imediatamente para GeoServer versão 2.25.6, 2.26.2, 2.27.0 ou posteriores, devido à exploração ativa confirmada.
Fontes primárias e secundárias
Fortinet FortiWeb
Descrição
O firewall de aplicação web apresenta falha de path traversal que permite a atacantes remotos não autenticados executar comandos administrativos através de requisições HTTP ou HTTPS especialmente criadas. A exploração bem-sucedida resulta em comprometimento completo do dispositivo, incluindo modificação de regras do firewall e exfiltração de dados de configuração. A falha foi confirmada como explorada ativamente desde outubro de 2025, sendo incluída no catálogo KEV da CISA.
Sistemas afetados
- FortiWeb 8.0: versões 8.0.0 até 8.0.1
- FortiWeb 7.6: versões 7.6.0 até 7.6.4
- FortiWeb 7.4: versões 7.4.0 até 7.4.9
- FortiWeb 7.2: versões 7.2.0 até 7.2.11
- FortiWeb 7.0: versões 7.0.0 até 7.0.11
Remediações de contorno
Desabilitar HTTP ou HTTPS nas interfaces voltadas para a internet até que a atualização seja aplicada. Caso a interface de gerenciamento HTTP/HTTPS esteja acessível apenas internamente conforme melhores práticas, o risco é significativamente reduzido. A Fortinet recomenda implementar esta medida imediatamente enquanto o processo de atualização não é concluído.
Solução
Atualizar imediatamente para as versões corrigidas: FortiWeb 8.0.2 ou superior, 7.6.5 ou superior, 7.4.10 ou superior, 7.2.12 ou superior, ou 7.0.12 ou superior. Após a atualização, revisar configurações e logs para identificar modificações inesperadas ou adição de contas administrativas não autorizadas.
Fontes primárias e secundárias
Ivanti Endpoint Manager
Descrição
A plataforma de gerenciamento de endpoints apresenta vulnerabilidade de cross-site scripting armazenado que permite a atacantes remotos não autenticados injetar código JavaScript malicioso através da API de dados de entrada. Quando administradores acessam interfaces do console de gerenciamento contendo os dados envenenados durante operação normal, a interação do usuário desencadeia a execução de JavaScript no contexto do navegador, resultando em sequestro da sessão administrativa.
Sistemas afetados
- Ivanti Endpoint Manager: todas as versões anteriores à 2024 SU4 SR1
Remediações de contorno
A Ivanti enfatiza que o EPM não foi projetado para ser solução voltada para internet. Organizações que não expuseram sua interface de gerenciamento à internet pública reduzem significativamente o risco desta vulnerabilidade.
Solução
Atualizar imediatamente para Ivanti Endpoint Manager versão 2024 SU4 SR1, disponível através do portal oficial.
Fontes primárias e secundárias
Oracle Identity Manager
Descrição
O componente REST WebServices do Oracle Identity Manager apresenta falha crítica de autenticação que permite execução remota de código sem credenciais. A exploração permite tomada completa do sistema. A CISA adicionou a vulnerabilidade ao catálogo KEV em novembro de 2025, estabelecendo prazo obrigatório de correção para agências federais norte-americanas.
Sistemas afetados
- Oracle Identity Manager versão 12.2.1.4.0
- Oracle Identity Manager versão 14.1.2.1.0
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Aplicar imediatamente o Oracle Critical Patch Update. A Oracle corrigiu a vulnerabilidade para implementar autenticação adequada.
Fontes primárias e secundárias
Oracle E-Business Suite
Descrição
O componente BI Publisher Integration do Oracle Concurrent Processing apresenta cadeia crítica de exploração que permite execução remota de código sem autenticação. A cadeia culmina no bypass de filtros de autenticação, permitindo acesso a arquivos. Investigações apontam que o grupo de ransomware Cl0p explorou ativamente a vulnerabilidade como zero-day desde agosto de 2025 em campanhas massivas de roubo de dados e extorsão contra múltiplas corporações. Depois, um coletivo denominado Scattered Lapsus$ Hunters vazou publicamente código de exploração completo, ampliando drasticamente o risco de ataques oportunistas por outros atores maliciosos. A CISA adicionou a vulnerabilidade ao catálogo KEV em outubro de 2025, confirmando uso em campanhas de ransomware.
Sistemas afetados
- Oracle E-Business Suite versões 12.2.3 até 12.2.14
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Aplicar imediatamente o Oracle Security Alert para CVE-2025-61882 disponibilizado em 4 de outubro de 2025. É pré-requisito obrigatório aplicar o Oracle Critical Patch Update de outubro de 2023 antes de instalar as correções desta vulnerabilidade. Organizações devem revisar minuciosamente os indicadores de comprometimento publicados pela Oracle.
Fontes primárias e secundárias
GitHub Copilot for JetBrains
Descrição
O plugin GitHub Copilot para IDEs JetBrains apresenta falha de injeção de comando que permite execução local de código arbitrário através de neutralização inadequada de elementos especiais utilizados em comandos. A falha decorre da construção insegura de comandos que incorporam saídas do modelo de linguagem sem sanitização apropriada de caracteres especiais e delimitadores. A vulnerabilidade foi incluída na Patch Tuesday de dezembro de 2025.
Sistemas afetados
- GitHub Copilot Plugin for JetBrains IDEs: todas as versões anteriores à atualização de dezembro de 2025
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Aplicar imediatamente as atualizações de segurança de dezembro de 2025 através do Microsoft Patch Tuesday.
Fontes primárias e secundárias
Microsoft Windows
Descrição
O Windows apresenta falha no tratamento de arquivos de atalho que permite ocultação de comandos maliciosos através de representação inadequada na interface do usuário. A vulnerabilidade decorre da limitação do diálogo de propriedades em exibir apenas os primeiros 260 caracteres do campo Target, embora a estrutura do arquivo .lnk permita strings de argumentos com dezenas de milhares de caracteres. Atacantes exploram essa limitação preenchendo o campo com caracteres de espaçamento em branco, deslocando comandos maliciosos para além da visualização do usuário que inspeciona as propriedades do atalho. A técnica foi explorada ativamente como zero-day desde 2017 por pelo menos 11 grupos patrocinados por estados-nação incluindo Evil Corp, Bitter, APT37, APT43, Mustang Panda, SideWinder, RedHotel e Konni.
Sistemas afetados
- Microsoft Windows 11 Enterprise 23H2 22631.4169 x64
Remediações de contorno
O fabricante apontou que o Windows identifica arquivos de atalho como um tipo de arquivo potencialmente perigoso. Ao tentar abrir um arquivo .lnk baixado da Internet, um aviso de segurança é exibido automaticamente. A Microsoft ressalta que usuários precisam "seguir este aviso".
Solução
Aplicar as atualizações cumulativas do Windows que modificaram a interface de propriedades de arquivos .lnk para exibir todos os caracteres no campo target, independentemente do comprimento.
Fontes primárias e secundárias
Android Framework
Descrição
O Android Framework contém falha de elevação de privilégios que permite a atacantes locais escalarem permissões sem necessidade de privilégios adicionais ou interação do usuário. Google confirmou exploração ativa e limitada em campanhas direcionadas contra alvos de alto valor, incluindo jornalistas, ativistas e figuras políticas. A CISA incluiu a vulnerabilidade no catálogo KEV em dezembro de 2025, estabelecendo prazo de remediação até 23 de dezembro para agências federais.
Sistemas afetados
- Android versões anteriores à 13
- Android versões anteriores à 14
- Android versões anteriores à 15
- Android versões anteriores à 16
Remediações de contorno
O fabricante não divulgou remediações de contorno para esta vulnerabilidade.
Solução
Atualizar imediatamente para o nível de patch de segurança Android 2025-12-01 ou posterior. Usuários devem verificar a disponibilidade de atualizações através das configurações do dispositivo e aplicá-las assim que disponíveis.
Fontes primárias e secundárias
Context
This is the Vulnerability Notification (NDV) for December 2025. In this document, produced by SEK's Cyber Threat Intelligence team, the main vulnerabilities cataloged in the last month are listed.
In our analysis, we prioritize critical and high vulnerabilities present in products and technologies most relevant and used in the industry. It should be noted that this is a document aimed at the cybersecurity community as a whole. For more specific work, we recommend hiring our vulnerability management service, whose focus is on the detection and mitigation of vulnerabilities found throughout our clients' infrastructure in a personalized way.
For each vulnerability listed in this document, we specify the affected versions and systems and indicate a workaround and a solution, so that our clients can act immediately if they use the vulnerable product or technology. We remind you that the workaround – if any – is a contingency measure, which does not completely solve the problem. We always emphasize the need to update the affected service or product as quickly as possible.
SEK is available to help its clients correct the vulnerabilities listed in this document. We also reinforce the importance of maintaining a periodic vulnerability management and patch implementation service, given the growing scenario of increased attack surface and threat actors worldwide.
Summary
Click on the cards to navigate to the specific vulnerability
Apache Tika
Grafana Enterprise SCIM
IBM AIX Network Installation Manager
GeoServer
Fortinet FortiWeb
Ivanti Endpoint Manager
Oracle Identity Manager
Oracle E-Business Suite
GitHub Copilot for JetBrains
Microsoft Windows
Android Framework
THINK AHEAD, ACT NOW.
Apache Tika
Description
The affected framework modules exhibit a flaw that enables XML External Entity injection attacks through malicious XFA files embedded in PDF documents. The vulnerability stems from inadequate restriction of external entity references during XML content processing, allowing unauthenticated remote attackers to read sensitive server files. The problem specifically resides in the tika-core component, where the XML parser improperly processes XFA files embedded in PDFs. Successful exploitation enables unauthorized access to confidential data. This vulnerability supersedes and expands the scope of CVE-2025-54988 disclosed earlier, clarifying that updates only to the PDF module do not mitigate the risk, making it essential to update tika-core.
Affected systems
- Apache Tika core (tika-core): versions 1.13 through 3.2.1
- Apache Tika PDF parser module (tika-parser-pdf-module): versions 2.0.0 through 3.2.1
- Apache Tika parsers (tika-parsers): versions 1.13 through 1.28.5
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
The Apache Software Foundation has released fixes in versions tika-core 3.2.2, tika-parser-pdf-module 3.2.2 and tika-parsers 2.0.0 or later.
Primary and secondary sources
Grafana Enterprise SCIM
Description
The SCIM component exhibits a critical flaw in user identity handling that allows a malicious or compromised SCIM client to provision users with numeric externalId. The vulnerability stems from direct mapping of the SCIM protocol's externalId attribute to Grafana's internal user.uid identifier, enabling numeric values to be interpreted as existing user accounts. Attackers can exploit this weakness to overwrite internal identifiers of privileged users, resulting in administrative impersonation or privilege escalation. The SCIM functionality, introduced in April 2025, is only vulnerable when both the enableSCIM flag and the user_sync_enabled option in the [auth.scim] configuration block are set to true.
Affected systems
- Grafana Enterprise: versions 12.0.0 through 12.2.1 (when SCIM is enabled and configured)
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Grafana Labs has released fixes in multiple versions: 12.3.0, 12.2.1, 12.1.3 and 12.0.6. Organizations running Grafana Enterprise 12.x with SCIM enabled should update immediately to one of the fixed versions.
Primary and secondary sources
IBM AIX Network Installation Manager
Description
The Network Installation Manager service exhibits a critical process control flaw that enables unauthenticated remote execution of arbitrary commands on the operating system. The vulnerability specifically resides in the nimesis service, formerly known as NIM master, where inadequate process controls enable remote attackers without any privilege to execute commands of their choosing on the target system. Exploitation requires only network connectivity with the affected host, without need for authentication or user interaction, allowing invaders to gain complete system control, install malware, establish backdoors and perform lateral movement across the corporate network. This vulnerability addresses additional attack vectors for a problem previously fixed under identifier CVE-2024-56346.
Affected systems
- IBM AIX 7.2
- IBM AIX 7.3
- IBM VIOS 3.1
- IBM VIOS 4.1
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Apply immediately the cumulative fixes released by IBM.
Primary and secondary sources
GeoServer
Description
The open-source server for sharing and editing geospatial data exhibits an XML External Entity (XXE) vulnerability in the /geoserver/wms endpoint through the GetMap operation. The flaw stems from inadequate XML input sanitization, allowing unauthenticated remote attackers to define external entities within XML requests. Exploitation enables reading of arbitrary files from the server's file system, execution of Server-Side Request Forgery (SSRF) attacks for interaction with internal systems, and denial of service through system resource exhaustion. The flaw was included in CISA's Known Exploited Vulnerabilities catalog, with evidence of active exploitation in real-world environments.
Affected systems
- GeoServer: all versions through 2.25.5
- GeoServer: versions 2.26.0 through 2.26.1
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Update immediately to GeoServer version 2.25.6, 2.26.2, 2.27.0 or later, due to confirmed active exploitation.
Primary and secondary sources
Fortinet FortiWeb
Description
The web application firewall exhibits a path traversal flaw that allows unauthenticated remote attackers to execute administrative commands through specially crafted HTTP or HTTPS requests. Successful exploitation results in complete device compromise, including modification of firewall rules and exfiltration of configuration data. The flaw was confirmed as actively exploited since October 2025, being included in CISA's KEV catalog.
Affected systems
- FortiWeb 8.0: versions 8.0.0 through 8.0.1
- FortiWeb 7.6: versions 7.6.0 through 7.6.4
- FortiWeb 7.4: versions 7.4.0 through 7.4.9
- FortiWeb 7.2: versions 7.2.0 through 7.2.11
- FortiWeb 7.0: versions 7.0.0 through 7.0.11
Workarounds
Disable HTTP or HTTPS on internet-facing interfaces until the update is applied. If the HTTP/HTTPS management interface is accessible only internally following best practices, the risk is significantly reduced. Fortinet recommends implementing this measure immediately while the update process is not completed.
Solution
Update immediately to the fixed versions: FortiWeb 8.0.2 or higher, 7.6.5 or higher, 7.4.10 or higher, 7.2.12 or higher, or 7.0.12 or higher. After updating, review configurations and logs to identify unexpected modifications or addition of unauthorized administrative accounts.
Primary and secondary sources
Ivanti Endpoint Manager
Description
The endpoint management platform exhibits a stored cross-site scripting vulnerability that allows unauthenticated remote attackers to inject malicious JavaScript code through the data input API. When administrators access management console interfaces containing the poisoned data during normal operation, user interaction triggers JavaScript execution in the browser context, resulting in administrative session hijacking.
Affected systems
- Ivanti Endpoint Manager: all versions prior to 2024 SU4 SR1
Workarounds
Ivanti emphasizes that EPM was not designed to be an internet-facing solution. Organizations that have not exposed their management interface to the public internet significantly reduce the risk of this vulnerability.
Solution
Update immediately to Ivanti Endpoint Manager version 2024 SU4 SR1, available through the official portal.
Primary and secondary sources
Oracle Identity Manager
Description
The REST WebServices component of Oracle Identity Manager exhibits a critical authentication flaw that enables remote code execution without credentials. Exploitation allows complete system takeover. CISA added the vulnerability to the KEV catalog in November 2025, establishing a mandatory remediation deadline for U.S. federal agencies.
Affected systems
- Oracle Identity Manager version 12.2.1.4.0
- Oracle Identity Manager version 14.1.2.1.0
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Apply immediately the Oracle Critical Patch Update. Oracle fixed the vulnerability to implement proper authentication.
Primary and secondary sources
Oracle E-Business Suite
Description
The BI Publisher Integration component of Oracle Concurrent Processing exhibits a critical exploitation chain that enables remote code execution without authentication. The chain culminates in bypassing authentication filters, allowing file access. Investigations indicate that the Cl0p ransomware group actively exploited the vulnerability as a zero-day since August 2025 in massive data theft and extortion campaigns against multiple corporations. Subsequently, a collective named Scattered Lapsus$ Hunters publicly leaked complete exploitation code, drastically expanding the risk of opportunistic attacks by other malicious actors. CISA added the vulnerability to the KEV catalog in October 2025, confirming use in ransomware campaigns.
Affected systems
- Oracle E-Business Suite versions 12.2.3 through 12.2.14
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Apply immediately the Oracle Security Alert for CVE-2025-61882 released on October 4, 2025. It is a mandatory prerequisite to apply the Oracle Critical Patch Update from October 2023 before installing the fixes for this vulnerability. Organizations must thoroughly review the indicators of compromise published by Oracle.
Primary and secondary sources
GitHub Copilot for JetBrains
Description
The GitHub Copilot plugin for JetBrains IDEs exhibits a command injection flaw that enables local execution of arbitrary code through improper neutralization of special elements used in commands. The flaw stems from insecure command construction that incorporates language model outputs without appropriate sanitization of special characters and delimiters. The vulnerability was included in the December 2025 Patch Tuesday.
Affected systems
- GitHub Copilot Plugin for JetBrains IDEs: all versions prior to the December 2025 update
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Apply immediately the December 2025 security updates through Microsoft Patch Tuesday.
Primary and secondary sources
Microsoft Windows
Description
Windows exhibits a flaw in handling shortcut files that allows concealment of malicious commands through inadequate representation in the user interface. The vulnerability stems from the properties dialog limitation in displaying only the first 260 characters of the Target field, although the .lnk file structure permits argument strings with tens of thousands of characters. Attackers exploit this limitation by filling the field with whitespace characters, displacing malicious commands beyond the user's view when inspecting shortcut properties. The technique was actively exploited as a zero-day since 2017 by at least 11 nation-state sponsored groups including Evil Corp, Bitter, APT37, APT43, Mustang Panda, SideWinder, RedHotel and Konni.
Affected systems
- Microsoft Windows 11 Enterprise 23H2 22631.4169 x64
Workarounds
The vendor noted that Windows identifies shortcut files as a potentially dangerous file type. When attempting to open a .lnk file downloaded from the Internet, a security warning is automatically displayed. Microsoft emphasizes that users need to "follow this warning."
Solution
Apply the Windows cumulative updates that modified the .lnk file properties interface to display all characters in the target field, regardless of length.
Primary and secondary sources
Android Framework
Description
The Android Framework contains a privilege escalation flaw that allows local attackers to escalate permissions without requiring additional privileges or user interaction. Google confirmed active and limited exploitation in targeted campaigns against high-value targets, including journalists, activists and political figures. CISA included the vulnerability in the KEV catalog in December 2025, establishing a remediation deadline until December 23 for federal agencies.
Affected systems
- Android versions prior to 13
- Android versions prior to 14
- Android versions prior to 15
- Android versions prior to 16
Workarounds
The vendor has not disclosed workarounds for this vulnerability.
Solution
Update immediately to Android security patch level 2025-12-01 or later. Users should verify update availability through device settings and apply them as soon as available.
Primary and secondary sources
Contexto
Esta es la Notificación de Vulnerabilidades (NDV) correspondiente al mes de diciembre de 2025. En este documento, producido por el equipo de Inteligencia de Amenazas Cibernéticas de SEK, se listan las principales vulnerabilidades catalogadas en el último mes.
En nuestro análisis, priorizamos las vulnerabilidades críticas y altas presentes en productos y tecnologías más relevantes y utilizados en la industria. Cabe señalar que este es un documento dirigido a la comunidad de ciberseguridad en su conjunto. Para un trabajo más específico, recomendamos la contratación de nuestro servicio de gestión de vulnerabilidades, cuyo enfoque está en la detección y mitigación de vulnerabilidades encontradas en todo el parque de nuestros clientes de forma personalizada.
Para cada vulnerabilidad listada en este documento, especificamos las versiones y sistemas afectados e indicamos una remediación de contorno y una solución, para que nuestros clientes puedan actuar de forma inmediata si utilizan el producto o tecnología vulnerable. Recordamos que la remediación de contorno – si la hay – es una medida de carácter contingencial, que no soluciona el problema por completo. Reforzamos, siempre, la necesidad de actualización del servicio o producto afectado lo más rápido posible.
SEK se pone a disposición para ayudar a sus clientes a corregir las vulnerabilidades listadas en este documento. Reforzamos, además, la importancia del mantenimiento de un servicio periódico de gestión de vulnerabilidades e implementación de parches, teniendo en cuenta el escenario creciente de aumento de superficie de ataque y de actores de amenaza en todo el mundo.
Resumen
Haga clic en las tarjetas para navegar a la vulnerabilidad específica
Apache Tika
Grafana Enterprise SCIM
IBM AIX Network Installation Manager
GeoServer
Fortinet FortiWeb
Ivanti Endpoint Manager
Oracle Identity Manager
Oracle E-Business Suite
GitHub Copilot for JetBrains
Microsoft Windows
Android Framework
THINK AHEAD, ACT NOW.
Apache Tika
Descripción
Los módulos afectados del framework presentan una falla que permite ataques de inyección de XML External Entity a través de archivos XFA maliciosos incorporados en documentos PDF. La vulnerabilidad se deriva de la restricción inadecuada de referencias a entidades externas durante el procesamiento de contenido XML, permitiendo que atacantes remotos no autenticados lean archivos sensibles del servidor. El problema reside específicamente en el componente tika-core, donde el analizador XML procesa inadecuadamente archivos XFA incorporados en PDFs. La explotación exitosa posibilita acceso no autorizado a datos confidenciales. Esta vulnerabilidad reemplaza y expande el alcance de CVE-2025-54988 divulgada anteriormente, aclarando que actualizaciones solo en el módulo PDF no mitigan el riesgo, siendo esencial actualizar el tika-core.
Sistemas afectados
- Apache Tika core (tika-core): versiones 1.13 a 3.2.1
- Apache Tika PDF parser module (tika-parser-pdf-module): versiones 2.0.0 a 3.2.1
- Apache Tika parsers (tika-parsers): versiones 1.13 a 1.28.5
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
La Apache Software Foundation ha publicado correcciones en las versiones tika-core 3.2.2, tika-parser-pdf-module 3.2.2 y tika-parsers 2.0.0 o posteriores.
Fuentes primarias y secundarias
Grafana Enterprise SCIM
Descripción
El componente SCIM presenta una falla crítica en el tratamiento de identidad de usuarios que permite a un cliente SCIM malicioso o comprometido aprovisionar usuarios con externalId numérico. La vulnerabilidad se deriva del mapeo directo del atributo externalId del protocolo SCIM al identificador interno user.uid de Grafana, posibilitando que valores numéricos sean interpretados como cuentas de usuario existentes. Los atacantes pueden explotar esta debilidad para sobrescribir identificadores internos de usuarios privilegiados, resultando en suplantación administrativa o escalada de privilegios. La funcionalidad SCIM, introducida en abril de 2025, está vulnerable solo cuando tanto el flag enableSCIM como la opción user_sync_enabled en el bloque de configuración [auth.scim] están definidos como verdadero.
Sistemas afectados
- Grafana Enterprise: versiones 12.0.0 hasta 12.2.1 (cuando SCIM está habilitado y configurado)
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Grafana Labs ha publicado correcciones en múltiples versiones: 12.3.0, 12.2.1, 12.1.3 y 12.0.6. Las organizaciones que ejecutan Grafana Enterprise 12.x con SCIM habilitado deben actualizar inmediatamente a una de las versiones corregidas.
Fuentes primarias y secundarias
IBM AIX Network Installation Manager
Descripción
El servicio Network Installation Manager presenta falla crítica de control de procesos que permite ejecución remota no autenticada de comandos arbitrarios en el sistema operativo. La vulnerabilidad reside específicamente en el servicio nimesis, anteriormente denominado NIM master, donde controles inadecuados de procesos posibilitan que atacantes remotos sin ningún privilegio ejecuten comandos de su elección en el sistema objetivo. La explotación requiere solo conectividad de red con el host afectado, sin necesidad de autenticación o interacción del usuario, permitiendo que invasores obtengan control completo del sistema, instalen malware, establezcan backdoors y realicen movimiento lateral a través de la red corporativa. Esta vulnerabilidad aborda vectores de ataque adicionales para problema previamente corregido bajo identificador CVE-2024-56346.
Sistemas afectados
- IBM AIX 7.2
- IBM AIX 7.3
- IBM VIOS 3.1
- IBM VIOS 4.1
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Aplicar inmediatamente las correcciones acumulativas publicadas por IBM.
Fuentes primarias y secundarias
GeoServer
Descripción
El servidor open-source para compartir y editar datos geoespaciales presenta una vulnerabilidad de XML External Entity (XXE) en el endpoint /geoserver/wms a través de la operación GetMap. La falla se deriva de la sanitización inadecuada de entrada XML, permitiendo que atacantes remotos no autenticados definan entidades externas dentro de las solicitudes XML. La explotación posibilita lectura de archivos arbitrarios del sistema de archivos del servidor, ejecución de ataques Server-Side Request Forgery (SSRF) para interacción con sistemas internos y denegación de servicio a través de agotamiento de recursos del sistema. La falla fue incluida en el catálogo Known Exploited Vulnerabilities de CISA, con evidencias de explotación activa en ambiente real.
Sistemas afectados
- GeoServer: todas las versiones hasta 2.25.5
- GeoServer: versiones de 2.26.0 hasta 2.26.1
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Actualizar inmediatamente a GeoServer versión 2.25.6, 2.26.2, 2.27.0 o posteriores, debido a la explotación activa confirmada.
Fuentes primarias y secundarias
Fortinet FortiWeb
Descripción
El firewall de aplicación web presenta falla de path traversal que permite a atacantes remotos no autenticados ejecutar comandos administrativos a través de solicitudes HTTP o HTTPS especialmente creadas. La explotación exitosa resulta en compromiso completo del dispositivo, incluyendo modificación de reglas del firewall y exfiltración de datos de configuración. La falla fue confirmada como explotada activamente desde octubre de 2025, siendo incluida en el catálogo KEV de CISA.
Sistemas afectados
- FortiWeb 8.0: versiones 8.0.0 hasta 8.0.1
- FortiWeb 7.6: versiones 7.6.0 hasta 7.6.4
- FortiWeb 7.4: versiones 7.4.0 hasta 7.4.9
- FortiWeb 7.2: versiones 7.2.0 hasta 7.2.11
- FortiWeb 7.0: versiones 7.0.0 hasta 7.0.11
Remediaciones de contorno
Deshabilitar HTTP o HTTPS en las interfaces orientadas a internet hasta que se aplique la actualización. Si la interfaz de gestión HTTP/HTTPS está accesible solo internamente conforme mejores prácticas, el riesgo se reduce significativamente. Fortinet recomienda implementar esta medida inmediatamente mientras el proceso de actualización no se completa.
Solución
Actualizar inmediatamente a las versiones corregidas: FortiWeb 8.0.2 o superior, 7.6.5 o superior, 7.4.10 o superior, 7.2.12 o superior, o 7.0.12 o superior. Después de la actualización, revisar configuraciones y logs para identificar modificaciones inesperadas o adición de cuentas administrativas no autorizadas.
Fuentes primarias y secundarias
Ivanti Endpoint Manager
Descripción
La plataforma de gestión de endpoints presenta vulnerabilidad de cross-site scripting almacenado que permite a atacantes remotos no autenticados inyectar código JavaScript malicioso a través de la API de datos de entrada. Cuando los administradores acceden a interfaces de la consola de gestión que contienen los datos envenenados durante operación normal, la interacción del usuario desencadena la ejecución de JavaScript en el contexto del navegador, resultando en secuestro de la sesión administrativa.
Sistemas afectados
- Ivanti Endpoint Manager: todas las versiones anteriores a 2024 SU4 SR1
Remediaciones de contorno
Ivanti enfatiza que EPM no fue diseñado para ser solución orientada a internet. Las organizaciones que no expusieron su interfaz de gestión a internet pública reducen significativamente el riesgo de esta vulnerabilidad.
Solución
Actualizar inmediatamente a Ivanti Endpoint Manager versión 2024 SU4 SR1, disponible a través del portal oficial.
Fuentes primarias y secundarias
Oracle Identity Manager
Descripción
El componente REST WebServices de Oracle Identity Manager presenta falla crítica de autenticación que permite ejecución remota de código sin credenciales. La explotación permite toma completa del sistema. CISA agregó la vulnerabilidad al catálogo KEV en noviembre de 2025, estableciendo plazo obligatorio de corrección para agencias federales norteamericanas.
Sistemas afectados
- Oracle Identity Manager versión 12.2.1.4.0
- Oracle Identity Manager versión 14.1.2.1.0
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Aplicar inmediatamente el Oracle Critical Patch Update. Oracle corrigió la vulnerabilidad para implementar autenticación adecuada.
Fuentes primarias y secundarias
Oracle E-Business Suite
Descripción
El componente BI Publisher Integration de Oracle Concurrent Processing presenta cadena crítica de explotación que permite ejecución remota de código sin autenticación. La cadena culmina en el bypass de filtros de autenticación, permitiendo acceso a archivos. Las investigaciones apuntan que el grupo de ransomware Cl0p explotó activamente la vulnerabilidad como zero-day desde agosto de 2025 en campañas masivas de robo de datos y extorsión contra múltiples corporaciones. Después, un colectivo denominado Scattered Lapsus$ Hunters filtró públicamente código de explotación completo, ampliando drásticamente el riesgo de ataques oportunistas por otros actores maliciosos. CISA agregó la vulnerabilidad al catálogo KEV en octubre de 2025, confirmando uso en campañas de ransomware.
Sistemas afectados
- Oracle E-Business Suite versiones 12.2.3 hasta 12.2.14
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Aplicar inmediatamente el Oracle Security Alert para CVE-2025-61882 publicado el 4 de octubre de 2025. Es prerrequisito obligatorio aplicar el Oracle Critical Patch Update de octubre de 2023 antes de instalar las correcciones de esta vulnerabilidad. Las organizaciones deben revisar minuciosamente los indicadores de compromiso publicados por Oracle.
Fuentes primarias y secundarias
GitHub Copilot for JetBrains
Descripción
El plugin GitHub Copilot para IDEs JetBrains presenta falla de inyección de comando que permite ejecución local de código arbitrario a través de neutralización inadecuada de elementos especiales utilizados en comandos. La falla se deriva de la construcción insegura de comandos que incorporan salidas del modelo de lenguaje sin sanitización apropiada de caracteres especiales y delimitadores. La vulnerabilidad fue incluida en la Patch Tuesday de diciembre de 2025.
Sistemas afectados
- GitHub Copilot Plugin for JetBrains IDEs: todas las versiones anteriores a la actualización de diciembre de 2025
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Aplicar inmediatamente las actualizaciones de seguridad de diciembre de 2025 a través del Microsoft Patch Tuesday.
Fuentes primarias y secundarias
Microsoft Windows
Descripción
Windows presenta falla en el tratamiento de archivos de acceso directo que permite ocultación de comandos maliciosos a través de representación inadecuada en la interfaz del usuario. La vulnerabilidad se deriva de la limitación del diálogo de propiedades en mostrar solo los primeros 260 caracteres del campo Target, aunque la estructura del archivo .lnk permite strings de argumentos con decenas de miles de caracteres. Los atacantes explotan esta limitación llenando el campo con caracteres de espaciado en blanco, desplazando comandos maliciosos más allá de la visualización del usuario que inspecciona las propiedades del acceso directo. La técnica fue explotada activamente como zero-day desde 2017 por al menos 11 grupos patrocinados por estados-nación incluyendo Evil Corp, Bitter, APT37, APT43, Mustang Panda, SideWinder, RedHotel y Konni.
Sistemas afectados
- Microsoft Windows 11 Enterprise 23H2 22631.4169 x64
Remediaciones de contorno
El fabricante señaló que Windows identifica archivos de acceso directo como un tipo de archivo potencialmente peligroso. Al intentar abrir un archivo .lnk descargado de Internet, una advertencia de seguridad se muestra automáticamente. Microsoft resalta que los usuarios necesitan "seguir esta advertencia".
Solución
Aplicar las actualizaciones acumulativas de Windows que modificaron la interfaz de propiedades de archivos .lnk para mostrar todos los caracteres en el campo target, independientemente de la longitud.
Fuentes primarias y secundarias
Android Framework
Descripción
Android Framework contiene falla de elevación de privilegios que permite a atacantes locales escalar permisos sin necesidad de privilegios adicionales o interacción del usuario. Google confirmó explotación activa y limitada en campañas dirigidas contra objetivos de alto valor, incluyendo periodistas, activistas y figuras políticas. CISA incluyó la vulnerabilidad en el catálogo KEV en diciembre de 2025, estableciendo plazo de remediación hasta el 23 de diciembre para agencias federales.
Sistemas afectados
- Android versiones anteriores a 13
- Android versiones anteriores a 14
- Android versiones anteriores a 15
- Android versiones anteriores a 16
Remediaciones de contorno
El fabricante no ha divulgado remediaciones de contorno para esta vulnerabilidad.
Solución
Actualizar inmediatamente al nivel de patch de seguridad Android 2025-12-01 o posterior. Los usuarios deben verificar la disponibilidad de actualizaciones a través de las configuraciones del dispositivo y aplicarlas tan pronto estén disponibles.
Fuentes primarias y secundarias
Central de Conteúdos SEK
SEK Content Hub
Central de Contenidos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de Conteúdos