Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) mengonfirmasi adanya eksploitasi aktif terhadap empat kerentanan keamanan yang berdampak pada perangkat lunak enterprise. Celah-celah tersebut ditemukan pada produk dari Versa dan Zimbra, serta pada tool pengembangan frontend Vite dan formatter kode Prettier. Seluruh kerentanan ini kini telah dimasukkan ke dalam katalog Known Exploited Vulnerabilities (KEV), yang menandakan adanya bukti eksploitasi nyata di lapangan.
Salah satu kerentanan yang dikonfirmasi dieksploitasi adalah CVE-2025-31125, sebuah isu kontrol akses tidak semestinya dengan tingkat keparahan tinggi. Kerentanan ini pertama kali diungkap pada Maret tahun lalu dan dapat dimanfaatkan untuk mengekspos file yang seharusnya tidak dapat diakses, khususnya ketika instance pengembangan dijalankan dalam kondisi terbuka ke jaringan. Celah ini hanya berdampak pada instance dev yang terekspos dan telah diperbaiki pada sejumlah versi perangkat lunak, termasuk rilis 6.2.4, 6.1.3, 6.0.13, 5.4.16, dan 4.5.11.
CISA juga menandai CVE-2025-34026 sebagai kerentanan yang sedang dieksploitasi. Celah ini merupakan bypass autentikasi dengan tingkat keparahan kritis yang memengaruhi platform orkestrasi SD-WAN Versa Concerto. Masalah ini disebabkan oleh kesalahan konfigurasi reverse proxy Traefik, yang memungkinkan akses ke endpoint administratif internal. Dampaknya termasuk terbukanya heap dump dan trace log sensitif. Versi Concerto 12.1.2 hingga 12.2.0 diketahui terdampak, meskipun tidak menutup kemungkinan versi lain juga terpengaruh. Kerentanan ini telah diperbaiki oleh vendor sejak Maret 2025.
Kerentanan ketiga yang masuk dalam daftar KEV adalah CVE-2025-54313, sebuah isu supply chain dengan tingkat keparahan tinggi yang berdampak pada paket eslint-config-prettier. Paket ini digunakan untuk menyelaraskan konflik antara ESLint dan Prettier dalam ekosistem JavaScript. Pada pertengahan tahun lalu, beberapa library populer di repositori npm dibajak dan dirilis ulang dengan kode berbahaya. Versi tertentu dari eslint-config-prettier mengandung skrip instalasi berbahaya yang dijalankan saat pemasangan, dengan tujuan mencuri token autentikasi npm, khususnya pada sistem Windows.
CISA juga memperingatkan eksploitasi aktif terhadap CVE-2025-68645, sebuah kerentanan local file inclusion pada antarmuka Webmail Classic milik Zimbra Collaboration Suite versi 10.0 dan 10.1. Celah ini muncul akibat penanganan parameter input pengguna yang tidak tepat pada komponen RestFilter servlet. Penyerang tanpa autentikasi dapat memanfaatkan endpoint tertentu untuk memuat file arbitrer dari direktori WebRoot, berpotensi mengekspos informasi sensitif.
Sebagai tindak lanjut, CISA mewajibkan seluruh instansi federal yang berada di bawah mandat BOD 22-01 untuk segera menerapkan pembaruan keamanan yang tersedia atau mitigasi yang direkomendasikan vendor. Jika hal tersebut tidak memungkinkan, penggunaan produk yang terdampak harus dihentikan paling lambat 12 Februari 2026.
Meski CISA tidak merinci metode eksploitasi yang digunakan oleh para pelaku, konfirmasi ini menegaskan bahwa keempat celah tersebut telah dimanfaatkan secara aktif. Status keterkaitan dengan serangan ransomware saat ini masih belum diketahui. Situasi ini menjadi pengingat bagi organisasi enterprise untuk segera melakukan audit, pembaruan, dan pengamanan sistem guna meminimalkan risiko eksploitasi lanjutan.