CISA incorpora vulnerabilidades activamente explotadas en Microsoft Office y HPE OneView al catálogo KEV

* CVE-2025-37164

* Producto: HPE OneView (versiones anteriores a 11.00)

* Tipo: Inyección de código

* Severidad: CVSS 10.0 (crítica)

* Impacto: Permite ejecución remota de código y control total de los entornos de gestión de servidores y almacenamiento.

* Contexto de riesgo: La publicación de un exploit proof-of-concept el 23 de diciembre de 2025 incrementó significativamente la probabilidad de ataques dirigidos contra infraestructuras empresariales que administran hardware desde OneView.

Microsoft Office / PowerPoint: legado aún expuesto

• CVE-2009-0556

• Producto: PowerPoint en Microsoft Office

• Tipo: Inyección de código

• Severidad: CVSS 8.8

• Estado: Corregida en MS09-017 (2009)

• Riesgo actual: Sigue siendo explotable en sistemas no actualizados o no soportados, habilitando ejecución arbitraria mediante archivos maliciosos.

Recomendaciones de mitigación

CISA recomienda acciones inmediatas y priorizadas:

• Aplicar los hotfixes de HPE para OneView sin demoras.

• Actualizar o retirar versiones legacy de Office, especialmente en estaciones con acceso a correo o archivos externos.

• Priorizar entornos críticos y segmentar accesos a consolas de gestión.

• Monitorear explotación activa y reforzar detección con Microsoft Defender u otras soluciones EDR/XDR.

• Mantener inventarios de activos actualizados y ciclos de parchado estrictos.

La explotación de fallas antiguas y críticas subraya que la deuda técnica sigue siendo un vector de ataque. La gestión de parches y el control de versiones continúan siendo determinantes para reducir superficie de ataque.