A CISA (Agência de Segurança Cibernética e de Infraestrutura dos EUA) emitiu um alerta urgente nesta segunda-feira (20), adicionando cinco novas vulnerabilidades críticas ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (CISA KEV).
Entre as novas adições estão falhas que afetam produtos amplamente utilizados das gigantes Oracle, Microsoft e Apple, além da plataforma Kentico Xperience CMS. Segundo a agência, todas as vulnerabilidades listadas estão sendo exploradas ativamente em ataques reais, o que torna urgente a aplicação dos patches de segurança já disponibilizados pelos fabricantes.
Quando uma falha entra no Catálogo KEV da CISA, significa que ela já está sendo usada por agentes maliciosos em ataques concretos — não se trata mais de um risco teórico. Esse status coloca as correções correspondentes na mais alta prioridade para administradores de sistemas, equipes de segurança e usuários corporativos em todo o mundo.
O que é o catálogo KEV da CISA e por que ele importa?
O Catálogo de Vulnerabilidades Exploradas Conhecidas (Known Exploited Vulnerabilities – KEV) é uma lista mantida pela CISA que reúne todas as falhas de segurança que possuem evidências confirmadas de exploração ativa.
Na prática, se uma vulnerabilidade entra nesse catálogo, ela é tratada como uma ameaça imediata, pois hackers e grupos cibercriminosos já estão utilizando-a para invadir sistemas ou roubar dados.
Embora o catálogo tenha sido criado para orientar agências federais dos Estados Unidos, ele se tornou uma referência global de priorização de correções. Sempre que uma falha é adicionada, as agências norte-americanas têm um prazo fixo — neste caso, até 10 de novembro de 2025 — para aplicar os patches. No entanto, empresas privadas e instituições fora dos EUA também devem considerar esse prazo como um indicativo de urgência máxima.
Oracle E-Business Suite (EBS) na mira dos invasores
A falha SSRF no Oracle Configurator (CVE-2025-61884)
A vulnerabilidade CVE-2025-61884, com pontuação CVSS 7.5, afeta o componente Oracle Configurator dentro do Oracle E-Business Suite (EBS). Trata-se de uma falha do tipo SSRF (Server-Side Request Forgery), que permite a um invasor forçar o servidor a realizar requisições para outros sistemas em seu nome.
Esse tipo de falha é particularmente perigoso porque pode ser explorado remotamente e sem autenticação, o que significa que um atacante pode explorar o erro sem precisar de credenciais válidas. Em cenários corporativos, isso pode levar ao acesso indevido a sistemas internos e dados sensíveis.
Conexão com falhas anteriores e o grupo Cl0p
Esta é a segunda falha no Oracle EBS a ser adicionada ao Catálogo KEV da CISA em 2025. Em setembro, a vulnerabilidade CVE-2025-61882 (com pontuação CVSS 9.8) já havia sido confirmada como explorada.
Segundo informações do Google Threat Intelligence Group (GTIG) e da Mandiant, há indícios de que grupos de extorsão digital como o Cl0p possam estar por trás da exploração dessas falhas. O grupo é conhecido por ataques sofisticados que exploram vulnerabilidades em softwares corporativos para realizar roubo de dados e extorsão.
As outras quatro falhas adicionadas pela CISA
Microsoft Windows SMB (CVE-2025-33073)
A vulnerabilidade CVE-2025-33073 afeta o cliente SMB (Server Message Block) do Microsoft Windows e foi classificada como uma falha de controle de acesso impróprio.
Seu impacto principal está no escalonamento de privilégios local, permitindo que um usuário com acesso limitado obtenha permissões administrativas no sistema. Embora a exploração exija acesso prévio, a falha já foi observada em campanhas direcionadas.
A Microsoft corrigiu essa vulnerabilidade no ciclo de atualizações de junho de 2025, mas muitos ambientes corporativos ainda não aplicaram o patch — o que explica sua inclusão recente no Catálogo KEV da CISA.
Kentico Xperience CMS (CVE-2025-2746 e CVE-2025-2747)
O Kentico Xperience CMS, amplamente usado para gerenciamento de conteúdo corporativo, é afetado por duas falhas críticas de bypass de autenticação, identificadas como CVE-2025-2746 e CVE-2025-2747, ambas com pontuação CVSS 9.8.
Essas vulnerabilidades residem no módulo Staging Sync Server, e permitem que um invasor ignore os mecanismos de autenticação e obtenha controle total sobre objetos administrativos. Na prática, isso significa que um atacante pode modificar, excluir ou implantar conteúdo malicioso em sites baseados em Kentico.
Os patches para essas falhas foram disponibilizados em março de 2025, mas, de acordo com a CISA, versões desatualizadas ainda estão sendo exploradas ativamente.
Apple JavaScriptCore (CVE-2022-48503)
A vulnerabilidade CVE-2022-48503 é mais antiga, mas a CISA confirmou agora sua exploração ativa em ataques recentes.
Ela afeta o componente JavaScriptCore da Apple, usado no processamento de conteúdo web por navegadores e aplicativos do ecossistema iOS e macOS. Essa falha permite a execução arbitrária de código, ou seja, um invasor pode executar comandos maliciosos no dispositivo comprometido por meio de uma página web especialmente criada.
Embora a Apple tenha corrigido essa vulnerabilidade em 2022, a CISA reforça que a exploração recente demonstra a longevidade de falhas antigas quando usuários e organizações deixam de atualizar seus dispositivos.
Conclusão: Prazo curto e necessidade de ação imediata
A entrada dessas cinco novas falhas no catálogo KEV da CISA é um alerta contundente de que os invasores estão agindo rapidamente para explorar brechas conhecidas em produtos amplamente utilizados por empresas e governos.
A CISA estabeleceu o prazo de 10 de novembro de 2025 para que todas as agências federais dos EUA apliquem as atualizações correspondentes. Contudo, especialistas recomendam que organizações privadas tratem esse prazo como um limite crítico.
Administradores de sistemas que gerenciam Oracle E-Business Suite, servidores Windows, instâncias de Kentico ou dispositivos Apple devem priorizar imediatamente a aplicação dos patches. Adiar correções conhecidas e exploradas é abrir as portas para invasões, vazamentos e extorsões digitais.
A mensagem é clara: se está no KEV, é urgente.
