Aquí tienes la nota periodística basada en la información de The Hacker News: CISA alerta sobre la explotación activa de cuatro nuevas vulnerabilidades de software

Washington D.C. / EEUU – 23 de enero de 2026

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos ha actualizado su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), integrando cuatro fallos de seguridad que están siendo utilizados actualmente por actores maliciosos. Estos fallos afectan a plataformas populares como Zimbra, Versa Concerto, y ecosistemas de desarrollo de software como Vite y paquetes de npm.

1. Zimbra: Inclusión de archivos sin autenticación

La vulnerabilidad CVE-2025-68645 (puntaje CVSS: 8.8) afecta a la suite de colaboración Synacor Zimbra. Permite a atacantes remotos incluir archivos arbitrarios del directorio raíz de la web sin necesidad de autenticarse. Según la firma de seguridad CrowdSec, los intentos de explotación de este fallo han sido constantes desde mediados de enero de 2026.

2. Versa Concerto: Bypass de autenticación crítico

Identificada como CVE-2025-34026, esta falla tiene una de las gravedades más altas (CVSS: 9.2). Afecta a la plataforma de orquestación SD-WAN Versa Concerto, permitiendo que un atacante salte las barreras de autenticación y acceda a paneles administrativos, lo que podría comprometer redes corporativas completas.

3. Ataque a la cadena de suministro: Scavenger Loader

El fallo CVE-2025-54313 (puntaje CVSS: 7.5) es el resultado de un ataque a la cadena de suministro que afectó al popular paquete eslint-config-prettier y otros seis paquetes de npm. Los atacantes utilizaron técnicas de phishing para robar credenciales de los mantenedores de estos paquetes y publicar versiones "troyanizadas" que descargan un malware llamado Scavenger Loader, diseñado para el robo de información.

4. Vulnerabilidad en Vite (Vitejs)

Finalmente, se incluyó el fallo CVE-2025-31125 (puntaje CVSS: 5.3), un error de control de acceso en la herramienta de desarrollo Vite. Este fallo permite que el contenido de archivos arbitrarios del servidor de desarrollo sea enviado directamente al navegador del atacante mediante parámetros de consulta específicos.

Plazo límite para la remediación

De acuerdo con las directivas federales, las agencias gubernamentales de EE. UU. tienen hasta el 12 de febrero de 2026 para aplicar los parches correspondientes. Sin embargo, CISA insta a todas las organizaciones del sector privado a revisar sus inventarios de software y actualizar estas herramientas de inmediato para mitigar el riesgo de ataques dirigidos.

Expertos coinciden en que la inclusión de estos fallos en el catálogo KEV es una señal clara de que los atacantes están priorizando vulnerabilidades tanto en servicios de infraestructura crítica como en herramientas de desarrollo de software modernas.