خمس ثغرات مستغلة جديدة تظهر في كتالوج CISA — Oracle وMicrosoft من بين الأهداف
وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) يوم الاثنين وأضاف خمسة عيوب أمنية في نقاط الضعف المستغلة المعروفة (كيف) الكتالوج، الذي يؤكد رسميًا وجود ثغرة أمنية تم الكشف عنها مؤخرًا والتي تؤثر على Oracle E-Business Suite (EBS) تم استخدامها كسلاح في الهجمات الواقعية.
العيب الأمني المعني هو CVE-2025-61884 (درجة CVSS: 7.5)، والذي تم وصفه على أنه ثغرة أمنية لتزوير الطلب من جانب الخادم (SSRF) في مكون وقت التشغيل في Oracle Configurator والتي قد تسمح للمهاجمين بالوصول غير المصرح به إلى البيانات المهمة.
وقالت CISA: “يمكن استغلال هذه الثغرة الأمنية عن بعد دون مصادقة”.
CVE-2025-61884 هو الخلل الثاني في Oracle EBS الذي يتم استغلاله بشكل نشط إلى جانب CVE-2025-61882 (درجة CVSS: 9.8)، وهو خطأ حرج قد يسمح للمهاجمين غير المصادقين بتنفيذ تعليمات برمجية عشوائية على المثيلات الحساسة.
في وقت سابق من هذا الشهر، كشفت مجموعة Google Threat Intelligence Group (GTIG) وMandiant أن العشرات من المؤسسات ربما تأثرت بعد استغلال CVE-2025-61882.
قال زاندر وورك، كبير مهندسي الأمن في GTIG، لموقع The Hacker News الأسبوع الماضي: “في هذا الوقت، لا يمكننا أن نعزو أي نشاط استغلال محدد إلى جهة فاعلة معينة، ولكن من المحتمل أن بعض أنشطة الاستغلال التي لاحظناها على الأقل تم إجراؤها من قبل جهات فاعلة تقوم الآن بعمليات ابتزاز تحمل العلامة التجارية Cl0p”.
أضافت CISA أيضًا إلى كتالوج KEV أربع نقاط ضعف أخرى –
- CVE-2025-33073 (درجة CVSS: 8.8) – ثغرة أمنية غير مناسبة للتحكم في الوصول في Microsoft Windows SMB Client والتي قد تسمح بتصعيد الامتيازات (تم إصلاحها بواسطة Microsoft في يونيو 2025)
- CVE-2025-2746 (درجة CVSS: 9.8) – تجاوز المصادقة باستخدام مسار بديل أو ثغرة أمنية في القناة في Kentico Xperience CMS والتي قد تسمح للمهاجم بالتحكم في الكائنات الإدارية من خلال الاستفادة من معالجة كلمة مرور Staging Sync Server لأسماء مستخدمي SHA1 الفارغة في مصادقة الملخص (تم الإصلاح في Kentico في مارس 2025)
- CVE-2025-2747 (درجة CVSS: 9.8) – تجاوز المصادقة باستخدام مسار بديل أو ثغرة أمنية في القناة في Kentico Xperience CMS والتي قد تسمح للمهاجم بالتحكم في الكائنات الإدارية من خلال الاستفادة من معالجة كلمة مرور Staging Sync Server للخادم المحدد بلا نوع (تم الإصلاح في Kentico في مارس 2025)
- CVE-2022-48503 (درجة CVSS: 8.8) – التحقق غير الصحيح من ثغرة فهرس المصفوفة في مكون JavaScriptCore من Apple والذي قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية عند معالجة محتوى الويب (تم إصلاحه بواسطة Apple في يوليو 2022)
لا توجد حاليًا أي تفاصيل حول كيفية استغلال المشكلات الأربع المذكورة أعلاه في البرية، على الرغم من مشاركة التفاصيل حول CVE-2025-33073 وCVE-2025-2746 وCVE-2025-2747 من قبل باحثين من Synacktiv وwatchTowr Labs، على التوالي.
يُطلب من وكالات السلطة التنفيذية المدنية الفيدرالية (FCEB) معالجة نقاط الضعف المحددة بحلول 10 نوفمبر 2025، لتأمين شبكاتها ضد التهديدات النشطة.
