Microsoft Releases Guidance on High-Severity Vulnerability (CVE-2025-53786) in Hybrid Exchange Deployments

Last RevisedAugust 12, 2025

Update (08/12/2025): CISA has updated this alert to provide clarification on identifying Exchange Servers on an organization’s networks and provided further guidance on running the Microsoft Exchange Health Checker.

https://www.cisa.gov/news-events/alerts/2025/08/06/microsoft-releases-guidance-high-severity-vulnerability-cve-2025-53786-hybrid-exchange-deployments

Ejecución remota de comandos en FortiSIEM de Fortinet

Fecha 13/08/2025
Importancia 5 - Crítica

Recursos Afectados
FortiSIEM 7.3, versiones 7.3.0 a 7.3.1;
FortiSIEM 7.2, versiones 7.2.0 a 7.2.5;
FortiSIEM 7.1, versiones 7.1.0 a 7.1.7;
FortiSIEM 7.0, versiones 7.0.0 a 7.0.3;
FortiSIEM 6.7, versiones 6.7.0 a 6.7.9;
FortiSIEM 6.6, todas las versiones;
FortiSIEM 6.5, todas las versiones;
FortiSIEM 6.4, todas las versiones;
FortiSIEM 6.3, todas las versiones;
FortiSIEM 6.2, todas las versiones;
FortiSIEM 6.1, todas las versiones;
FortiSIEM 5.4, todas las versiones.
Nota: FortiSIEM 7.4 no está afectado

Descripción
Se ha identificado una inyección de comandos del sistema operativo en FortiSIEM de Fortinet que permite la ejecución remota de comandos.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-comandos-en-fortisiem-de-fortinet

Vulnerabilidad crítica en clientes de Zoom para Windows

Fecha 13/08/2025
Importancia 5 - Crítica

Recursos Afectados
Zoom Workplace para Windows, versiones anteriores a 6.3.10;
Zoom Workplace VDI para Windows, versiones anteriores a 6.3.10 (excepto 6.1.16 y 6.2.12);
Zoom Rooms para Windows, versiones anteriores a 6.3.10;
Zoom Rooms Controller para Windows, versiones anteriores a 6.3.10;
Zoom Meeting SDK para Windows, versiones anteriores a 6.3.10.

Descripción
Zoom informa de una vulnerabilidad en algunas de sus aplicaciones clientes para Windows que puede permitir a un usuario no autenticado incrementar sus privilegios.

https://www.incibe.es/empresas/avisos/vulnerabilidad-critica-en-clientes-de-zoom-para-windows

Plex warns users to patch security vulnerability immediately

Plex has notified some of its users on Thursday to urgently update their media servers due to a recently patched security vulnerability.

The company has yet to assign a CVE-ID to track the flaw and didn't provide additional details regarding the patch, only saying that it impacts Plex Media Server versions 1.41.7.x to 1.42.0.x.

https://www.bleepingcomputer.com/news/security/plex-warns-users-to-patch-security-vulnerability-immediately/

Ejecución remota de código en RADIUS del FMC de Cisco

Fecha 18/08/2025
Importancia 5 - Crítica

Recursos Afectados
Cisco Secure FMC Software versiones 7.0.7 y 7.0 que tengan activada la autenticación RADIUS

Descripción
Cisco ha informado de una vulnerabilidad de severidad crítica que se encuentra en la implementación del subsistema RADIUS de Cisco Secure Firewall Management Center (FMC) y, en caso de ser explotada, podría permitir a un atacante remoto sin autenticar inyectar comandos arbitrarios que serían ejecutados por el dispositivo.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-radius-del-fmc-de-cisco

Múltiples vulnerabilidades en AutoCAD de Autodesk y algunos productos basados en él

Fecha 22/08/2025
Importancia 4 - Alta

Recursos Afectados
Los siguientes productos en su versión 2026:
Autodesk AutoCAD;
Autodesk AutoCAD LT;
Autodesk AutoCAD Architecture;
Autodesk AutoCAD Electrical;
Autodesk AutoCAD Mechanical;
Autodesk AutoCAD MEP;
Autodesk AutoCAD Plant 3D;
AutoCAD Map 3D;
Autodesk Civil 3D;
Autodesk Advance Steel.

https://www.incibe.es/empresas/avisos/multiples-vulnerabilidades-en-autocad-de-autodesk-y-algunos-productos-basados-en-el

CVE-2025-9074

Docker Desktop allows unauthenticated access to Docker Engine API from containers

Description
A vulnerability was identified in Docker Desktop that allows local running Linux containers to access the Docker Engine API via the configured Docker subnet, at 192.168.65.7:2375 by default. This vulnerability occurs with or without Enhanced Container Isolation (ECI) enabled, and with or without the "Expose daemon on tcp://localhost:2375 without TLS" option enabled. This can lead to execution of a wide range of privileged commands to the engine API, including controlling other containers, creating new ones, managing images etc. In some circumstances (e.g. Docker Desktop for Windows with WSL backend) it also allows mounting the host drive with the same privileges as the user running Docker Desktop.

Affected:
from 4.25 before 4.44.3

https://www.cve.org/CVERecord?id=CVE-2025-9074
https://docs.docker.com/desktop/release-notes/#4443

Múltiples vulnerabilidades en productos Citrix

Fecha 27/08/2025
Importancia 5 - Crítica

Recursos Afectados
NetScaler ADC y NetScaler Gateway:  versiones 14.1 anteriores a 14.1-47.48;
NetScaler ADC y NetScaler Gateway: versiones 13.1 anteriores a 13.1-59.22;
NetScaler ADC: versiones 13.1-FIPS y NDcPP anteriores a 13.1-37.241-FIPS y NDcPP;
NetScaler ADC: versiones 12.1-FIPS y NDcPP anteriores 12.1-55.330-FIPS y NDcPP.

Descripción
Jimi Sebree de Horizon3.ai, Jonathan Hetzer de Schramm & Partnerfor, y François Hämmerli, han reportado 3 vulnerabilidades: 1 de severidad crítica y 2 de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una ejecución remota de código, obtener un acceso indebido o provocar una condición de denegación de servicio (DoS).

Citrix ha observado intentos de explotación del CVE-2025-7775 en dispositivos sin las medidas de mitigación aplicadas.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-citrix-2

Ejecución de código arbitrario en productos de TP-Link

Fecha 08/09/2025
Importancia 4 - Alta

Recursos Afectados
AX10 V1/V1.2/V2/V2.6/V3/V3.6: versiones de firmware anteriores a la 1.2.1.
AX1500 V1/V1.20/V1.26/V1.60/V1.80/V2.60/V3.6: versiones de firmware anteriores a la 1.3.11.

Descripción
TP-Link ha publicado una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario de forma remota a través del binario CWMP en los dispositivos de las series AX10 y AX1500.


https://www.incibe.es/empresas/avisos/ejecucion-de-codigo-arbitrario-en-productos-de-tp-link

Microsoft - Sep 2025 Security Updates

https://msrc.microsoft.com/update-guide/releaseNote/2025-Sep

Múltiples vulnerabilidades en Telco Intelligent Assurance de HPE

Fecha 18/09/2025
Importancia 5 - Crítica

Recursos Afectados
HPE Telco Intelligent Assurance 5.0.

Descripción
HPE ha publicado 13 vulnerabilidades: 4 de severidad crítica, 2 de severidad alta y 7 de severidad media, cuya explotación podría permitir a un atacante ejecutar comandos arbitrarios en el servidor (RCE), exfiltrar archivos confidenciales, e inyectar contenido en dichos archivos.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-telco-intelligent-assurance-de-hpe

Escritura fuera de límites en Firebox de WatchGuard

Fecha 18/09/2025
Importancia 5 - Crítica

Recursos Afectados
Las siguientes versiones de Firebox:
Fireware OS 12.5.x;
Fireware OS 12.x;
Fireware OS 2025.1.x;
Fireware OS 11.10.2 hasta 11.12.4_Update1.
Para consultar la lista detallada de productos afectados, consultar el enlace de las referencias.

Descripción
WatchGuard ha informado de 1 vulnerabilidad de severidad crítica que puede permitir a un atacante remoto, no autenticado, ejecutar código arbitrario.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/escritura-fuera-de-limites-en-firebox-de-watchguard

Múltiples vulnerabilidades en productos de Cisco

Fecha 26/09/2025
Importancia 5 - Crítica

Recursos Afectados
Según la vulnerabilidad, los productos afectados son:

CVE-2025-20333 (severidad crítica) y CVE-2025-20362 (severidad media):
Dispositivos Cisco que ejecuten alguno de los siguientes productos que estén configurados de forma vulnerable:
Cisco Secure Firewall ASA Software, características que pueden ser vulnerables debido a que su configuración básica puede hacer que los sockets SSL de escucha estén habilitados:
AnyConnect IKEv2 Remote Access (con servicios cliente);
Mobile User Security (MUS);
SSL VPN.
Cisco Secure FTD Software, características que pueden ser vulnerables debido a que su configuración básica puede hacer que los sockets SSL de escucha estén habilitados:
AnyConnect IKEv2 Remote Access (con servicios cliente);
AnyConnect SSL VPN.
CVE-2025-20363, severidad crítica:
Secure Firewall ASA Software, si tiene habilitada alguna de las siguientes características, ya que en su configuración básica pueden hacer que los sockets SSL de escucha estén habilitados:
Mobile User Security (MUS);
SSL VPN.
Secure Firewall FTD Software, si tiene habilitada alguna de las siguientes características, ya que en su configuración básica pueden hacer que los sockets SSL de escucha estén habilitados:
AnyConnect SSL VPN.
IOS Software, si tienen la característica de Remote Access SSL VPN habilitada;
IOS XE Software, si tienen la característica de Remote Access SSL VPN habilitada;
IOS XR Software (32-bit) si se ejecuta en routers Cisco ASR 9001 con HTTP server habilitado.
En los enlaces de las referencias se pueden encontrar detalles de cómo son las configuraciones vulnerables.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-cisco-9

Múltiples vulnerabilidades en productos de Cisco

Fecha 25/09/2025
Importancia 4 - Alta

Recursos Afectados
Según la vulnerabilidad, los productos afectados son:

CVE-2025-20312: s witches Cisco si ejecutan una versión vulnerable del software Cisco IOS XE y tienen configurado el campo experimental (EXP) de detección aleatoria temprana ponderada (WRED) para la switches de etiquetas multiprotocolo (MPLS) y la función SNMP habilitada, independientemente de la versión de SNMP: 1, 2c y 3.
CVE-2025-20352: dispositivos Cisco si ejecutan una versión vulnerable del software Cisco IOS o del software Cisco IOS XE. Meraki MS390 y Cisco Catalyst 9300 Series Switches que ejecutan Meraki CS 17 y anteriores, también están afectados.
CVE-2025-20313 y CVE-2025-20314:
1000 Series Integrated Services Routers: 17.8.1;
1100 Terminal Services Gateways: 17.7.1;
4000 Series Integrated Services Routers: 17.3.1;
8100 Series Secure Routers : 17.15.1;
8400 Series Secure Routers: 17.12.1;
ASR 1000 Series Aggregation Services Routers: 17.7.1;
C8375-E-G2 Platforms: 17.15.3;
Catalyst IE3300 Rugged Series Routers: 17.12.1;
Catalyst IR1100 Rugged Series Routers: 17.13.1;
Catalyst IR8100 Heavy Duty Series Routers: 17.4.1;
Catalyst IR8300 Rugged Series Routers: 17.7.1;
Catalyst 8200 Series Edge Platforms: 17.8.1;
Catalyst 8300 Series Edge Platforms: 17.8.1;
Catalyst 8500L Edge Platforms: 17.8.1;
Catalyst 9200 Series Switches: 17.8.1;
Embedded Services 3300 Series: 17.12.1;
VG410 Analog Voice Gateways: 17.17.1;
CVE-2025-20315:
1100 Integrated Services Routers;
4000 Series Integrated Services Routers;
ASR 920 Series Aggregation Services Routers;
ASR 1000 Series Aggregation Services Routers;
Catalyst 1101 Rugged Routers;
Catalyst 8000V Edge Software;
Catalyst 8200 Series Edge Platforms;
Catalyst 8300 Series Edge Platforms;
Catalyst 8500 Edge Platforms;
Catalyst 8500L Edge Platforms;
Catalyst IR8300 Rugged Series Routers.
CVE-2025-20334: dispositivos Cisco si ejecutan una versión vulnerable del software Cisco IOS XE y tienen habilitada la función de servidor HTTP.
CVE-2025-20160: dispositivos Cisco si ejecutan una versión vulnerable del software Cisco IOS e IOS XE y si están configurados para usar TACACS+ pero les falta el secreto compartido de TACACS+.
CVE-2025-20327: switches Cisco Industrial Ethernet (IE) Series si ejecutan una versión vulnerable del software Cisco IOS y tienen habilitada la función de servidor HTTP. Son los siguientes
Serie IE 2000;
Serie IE 3010;
Serie IE 4000;
Serie IE 4010;
Serie IE 5000.
CVE-2025-20311: plataformas de la familia de switches Cisco Catalyst 9000 si ejecutan una versión vulnerable del software Cisco IOS XE y tienen habilitado un puerto troncal, un puerto habilitado para Cisco TrustSec o un puerto habilitado para MACSec. Son los productos: Catalyst 9200, 9300, 9400, 9500 y 9600 Series Switches. Meraki MS390 y Cisco Catalyst 9300 Series Switches que ejecuten un software anterior a Meraki CS 17.2.2 también están afectados. Cloud-Managed Hybrid Operating Mode para Controladores Catalyst Wireless LAN que ejecutan Cisco IOS XE Software en versiones anteriores a la 17.15.4 también están afectados.

Descripción
Cisco ha publicado 16 notas de seguridad con 17 vulnerabilidades de las cuales 9 son de severidad alta y 8 medias que, de ser explotadas, podrían provocar, denegaciones de servicio, ejecución remota de código, omisión de arranque seguro, inyección de comandos u omisión de autenticación.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-cisco-8

Ataque de falsificación en múltiples productos de HPE

Fecha 24/09/2025
Importancia 5 - Crítica

Recursos Afectados
Los siguientes productos HPE Aruba Networking:
EdgeConnect SD-WAN Gateway: versión 9.5.4.0 y anteriores.
EdgeConnect SD-WAN Orchestrator: versión 9.5.4.0 y anteriores.
Switches con AOS-CX:
versión 10.14.1000 y anteriores;
versión 10.13.1030 y anteriores;
versión 10.10.1130 y anteriores.
Puertas de enlace WLAN y SD-WAN que ejecutan AOS-10:
versión AOS-10.6.0.2 y anteriores;
versión AOS-10.4.1.3 y anteriores.
Controladores de movilidad que ejecutan AOS-8:
versión AOS-8.12.0.1 y anteriores;
versión AOS-8.10.0.13 y anteriores.
Puntos de acceso que ejecutan Instant AOS-8 y AOS-10:
versión 8.12.0.3 y anteriores;
versión 8.10.0.13 y anteriores;
versión 10.7.0.2 y anteriores;
versión 10.6.0.2 y anteriores;
versión 10.4.1.3 y anteriores.
AirWave Management Platform: versión 8.3.0.2 y anteriores.
ClearPass Policy Manager:
versión 6.12.1 y anteriores;
versión 6.11.8 y anteriores.
Aruba Fabric Composer: versión 7.1.0 y anteriores.
HPE Networking Instant On:
Serie de switches 1930 y 1960 con firmware 3.0.0.0 y anteriores en modo local (el modo en la nube no es vulnerable) utilizando los siguientes métodos de autenticación:
Autenticación AAA;
Autenticación basada en MAC.
Puntos de acceso con firmware 3.0.0.0 y anteriores.
Las versiones de producto que han alcanzado el fin de su vida útil ( end of life) están afectadas por estas vulnerabilidades, salvo que se indique lo contrario.

Descripción
HPE ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a los atacantes acceder a recursos confidenciales de la red sin autenticación.

Solución
El equipo de HPE ha resuelto la vulnerabilidad reportada en las nuevas versiones de software de los productos HPE Aruba Networking. Consultar las referencias para la versión específica de cada producto afectado.

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ataque-de-falsificacion-en-multiples-productos-de-hpe

MySonicWall Cloud Backup File Incident

https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330

SonicWall releases SMA100 firmware update to wipe rootkit malware

SonicWall has released a firmware update that can help customers remove rootkit malware deployed in attacks targeting SMA 100 series devices.

"SonicWall SMA 100 10.2.2.2-92sv build has been released with additional file checking, providing the capability to remove known rootkit malware present on the SMA devices," the company said in a Monday advisory.

https://www.bleepingcomputer.com/news/security/sonicwall-releases-sma100-firmware-update-to-wipe-rootkit-malware/

Cisco ASA Firewall Zero-Day Exploits Deploy RayInitiator and LINE VIPER Malware

https://thehackernews.com/2025/09/cisco-asa-firewall-zero-day-exploits.html

Alert - AL25-012 - Vulnerabilities impacting Cisco ASA and FTD devices – CVE-2025-20333, CVE-2025-20362 and CVE-2025-20363

Number: AL25-012
Date: September 25, 2025

https://www.cyber.gc.ca/en/alerts-advisories/al25-012-vulnerabilities-impacting-cisco-asa-ftd-devices-cve-2025-20333-cve-2025-20362-cve-2025-20363

VMSA-2025-0016: VMware vCenter and NSX updates address multiple vulnerabilities (CVE-2025-41250, CVE-2025-41251, CVE-2025-41252)

Advisory ID: VMSA-2025-0016

Advisory Severity: Important
CVSSv3 Range: 7.5-8.5

Synopsis: VMware vCenter and NSX updates address multiple vulnerabilities (CVE-2025-41250, CVE-2025-41251, CVE-2025-41252)

Issue date: 2025-09-29
CVE() : CVE-2025-41250, CVE-2025-41251, CVE-2025-41252

Impacted Products
VMware NSX
NSX-T
VMware Cloud Foundation
VMware vCenter Server
VMware Telco Cloud Platform
VMware Telco Cloud Infrastructure

Introduction
Multiple vulnerabilities in VMware vCenter and NSX were privately reported to Broadcom. Updates are available to remediate these vulnerabilities in affected Broadcom products.

https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36150