CISA ha añadido cinco vulnerabilidades de Apple, Craft CMS y Laravel Livewire a su catálogo KEV por evidencia de explotación activa y ha ordenado a las agencias federales aplicar parches antes del 3 de abril de 2026. La inclusión eleva la prioridad de mitigación también para organizaciones no federales, dado el riesgo de RCE y compromisos en dispositivos iOS y servidores web.
La Cybersecurity and Infrastructure Security Agency (CISA) ha incorporado cinco vulnerabilidades al catálogo Known Exploited Vulnerabilities (KEV), un listado que reúne fallos con explotación confirmada en el mundo real. Junto a la actualización del catálogo, CISA ha marcado un plazo de cumplimiento para agencias federales de EE. UU.: aplicar las correcciones necesarias antes del 3 de abril de 2026. Aunque el mandato es para el entorno federal, en la práctica suele funcionar como señal de prioridad para empresas y administraciones, porque indica que los atacantes ya están aprovechando estas debilidades.
Las vulnerabilidades afectan a dos frentes muy comunes en organizaciones: dispositivos y navegadores basados en Apple (con fallos en WebKit y en componentes del kernel) y aplicaciones web construidas sobre Craft CMS y Laravel Livewire. En el caso de Apple, se citan tres CVE vinculados a problemas de corrupción de memoria: CVE-2025-31277 (en WebKit) y CVE-2025-43510 y CVE-2025-43520 (relacionados con el kernel). El artículo relaciona su explotación con un presunto kit de exploits para iOS llamado DarkSword, referenciado por investigadores de GTIG, iVerify y Lookout, y asociado al despliegue de malware como GHOSTBLADE, GHOSTKNIFE y GHOSTSABER con objetivos de robo de información. Para muchas organizaciones, esto refuerza un punto operativo clave: los parches de dispositivos y el ciclo de actualizaciones de iOS/iPadOS/macOS no son ‘mantenimiento’, sino control preventivo frente a intrusiones.
En el entorno servidor, Craft CMS aparece con CVE-2025-32432, descrita como una vulnerabilidad de inyección de código que puede desembocar en remote code execution (RCE) y con impacto crítico (se menciona CVSS 10.0). Según el texto, habría sido explotada como 0-day desde febrero de 2025 y posteriormente utilizada por un actor rastreado como Mimo (también referido como Hezb) para instalar un minero de criptomonedas y proxyware residencial, dos cargas habituales cuando se busca monetización rápida y persistencia en infraestructura ajena.
Por último, Laravel Livewire figura con CVE-2025-54068, una vulnerabilidad de inyección de código (con severidad muy alta, citándose CVSS 9.8) que el artículo vincula con actividad atribuida a MuddyWater (también conocido como Boggy Serpens), un grupo asociado al MOIS iraní y conocido por campañas de espionaje, a menudo apoyadas en spear-phishing y en el compromiso de servicios expuestos.
A nivel práctico, el mensaje para equipos de seguridad y de sistemas es claro: si en tu inventario hay Apple WebKit, componentes de Apple kernel, instancias de Craft CMS o aplicaciones con Laravel Livewire, conviene tratar estas correcciones como prioritarias. Además del parcheo, es razonable reforzar el monitoreo de señales post-explotación en servidores (procesos anómalos, tareas programadas sospechosas, binarios de minería, conexiones salientes inusuales o uso de la máquina como proxy), ya que el propio KEV sugiere que los atacantes ya están capitalizando estas rutas de entrada.
Más información
- The Hacker News: https://thehackernews.com/2026/03/cisa-flags-apple-craft-cms-laravel-bugs.html
- CVE-2025-31277: https://nvd.nist.gov/vuln/detail/CVE-2025-31277
- CVE-2025-54068: https://nvd.nist.gov/vuln/detail/CVE-2025-54068
- CVE-2025-32432:https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2025-32432
- CVE-2025-43520: https://nvd.nist.gov/vuln/detail/CVE-2025-43520
- CVE-2025-43510: https://nvd.nist.gov/vuln/detail/CVE-2025-43510
- CVE-2025-31277: https://nvd.nist.gov/vuln/detail/CVE-2025-31277
