CVE-2025-20059: Vulnerabilidad de Recorrido de Ruta Relativa en Ping Identity PingAM Java Policy Agent
Poco después de la reciente divulgación de la explotación de CVE-2025-0108 que afecta a los productos Palo Alto Networks PAN-OS, surge otra vulnerabilidad crítica. Los defensores identificaron una nueva vulnerabilidad crítica de recorrido de ruta relativa en Ping Identity PingAM Java Policy Agent, CVE-2025-20059, que da luz verde a los atacantes para inyectar parámetros maliciosos ampliando aún más la infección.
El número de CVEs registrados aumentó un 30% en 2024, alcanzando más de 30,000 nuevas vulnerabilidades para fin de año. Dado que una gran porción de estas fallas ha sido armada para ataques en libertad, la detección proactiva de la explotación de vulnerabilidades sigue siendo una de las principales prioridades para los ciberdefensores a nivel mundial.
La Plataforma SOC Prime para la defensa cibernética colectiva ofrece un amplio conjunto de contenido de detección que aborda la explotación potencial de vulnerabilidades. Regístrese en la Plataforma para acceder al feed global de amenazas activas, inteligencia de ciberamenazas en tiempo real y contenido de detección personalizado para siempre estar un paso adelante de los atacantes. Consulte nuestra biblioteca de reglas filtrada con la etiqueta “CVE” presionando el botón Explorar Detecciones para que no pierda ninguna amenaza que potencialmente desafíe a su negocio, ya que las detecciones se agregan diariamente.
Todas las reglas son compatibles con múltiples soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK® para agilizar la investigación de amenazas. Además, cada regla está enriquecida con metadatos detallados, incluyendo referencias de inteligencia de amenazas líneas de tiempo de ataques, recomendaciones de triaje y más.
Análisis de CVE-2025-20059
NIST NVD recientemente iluminó una novedosa falla de recorrido de ruta relativa en el agente de políticas Java de Ping Identity PingAM rastreado como CVE-2025-20059, que representa riesgos crecientes para versiones de software hasta 5.10.3, 2023.11.1 y 2024.9. La falla crítica con un alto puntaje CVSS de 9.2 también puede afectar versiones más antiguas no compatibles, por lo que es altamente imperativo asegurar los despliegues de manera rápida.
Los atacantes podrían armar este problema de seguridad para la manipulación de rutas de archivos, la inyección de parámetros y la exfiltración de datos. Como resultado de una explotación exitosa, podría potencialmente interrumpir las operaciones del sistema. Aunque actualmente no hay un PoC público disponible ni hay casos reportados de explotación de CVE-2025-20059 en el entorno, la accesibilidad remota y la falta de interacción del usuario hacen que la falla sea particularmente peligrosa y fácil de explotar.
Como posibles pasos de mitigación de CVE, las organizaciones deberían actualizar a la última versión de software. Notablemente, las correcciones están disponibles al actualizar más allá de las versiones 5.10.3, 2023.11.1 y 2024.9. Como solución alternativa potencial que es aplicable solo a la versión de producto 2024.9, el proveedor también recomienda agregar la propiedad específica al archivo AgentBootstrap.properties , que bloqueará cualquier ruta URL que contenga un punto y coma, devolviendo HTTP 400. Sin embargo, no se aplica a los parámetros de consulta. Además, para minimizar los riesgos de explotación, los defensores recomiendan imponer una validación estricta de entrada, implementar la segmentación de red, mantener un seguimiento continuo de acceso a archivos sospechosos o intentos de inyección de parámetros, y realizar una revisión de seguridad exhaustiva.
El conjunto completo de productos de SOC Prime para la seguridad empresarial equipa a los ciberdefensores con todo lo que necesitan para habilitar la orquestación inteligente de datos, adoptar un CI/CD completo para la detección avanzada de amenazas y la ingeniería de detección impulsada por IA, proporcionar capacidad de caza de amenazas impulsada por inteligencia y optimizar el riesgo de su postura de ciberseguridad. Más específicamente, Attack Detective proporciona a las organizaciones acceso a capacidades de detección y caza de amenazas en tiempo real, investigadas y empaquetadas para proteger a las organizaciones de intentos de explotación de vulnerabilidades altamente sofisticadas que podrían ser los más desafiantes de identificar. Proporciona auditorías de datos y contenido para una visibilidad integral de amenazas y cobertura mejorada de detección, equipa a los equipos de seguridad con reglas de baja señal y alta calidad para alertas, y permite la caza automatizada de amenazas.
