CISA dopisuje 4 podatności do KEV: Zimbra, Versa Concerto, Vite i eslint-config-prettier – aktywna eksploatacja i termin działań do 12.02.2026

Wprowadzenie do problemu / definicja luki

Katalog Known Exploited Vulnerabilities (KEV) prowadzony przez CISA to lista podatności, dla których istnieją dowody realnej eksploatacji “in the wild”. Trafienie CVE do KEV w praktyce podnosi priorytet obsługi incydentów i zarządzania łatami: oznacza, iż luka nie jest tylko teoretyczna, ale jest (lub była) używana przez atakujących.

W aktualizacji z 22 stycznia 2026 r. dopisano cztery pozycje, z terminem działań do 12 lutego 2026 r. (wymóg dotyczy agencji FCEB w USA, ale rekomendacje są uniwersalne dla wszystkich organizacji).

W skrócie

Do KEV (data dodania: 2026-01-22) trafiły:

• CVE-2025-68645 – Zimbra Collaboration (ZCS): podatność typu Local File Inclusion (LFI) w Webmail Classic UI przez endpoint /h/rest (bez uwierzytelnienia), oceniana m.in. na 8.8 (HIGH).
• CVE-2025-34026 – Versa Concerto SD-WAN: authentication bypass związany z konfiguracją Traefik reverse proxy; możliwy dostęp do endpointów administracyjnych oraz m.in. heap dumpów/trace logów (CVSS v4: 9.2 CRITICAL wg CNA).
• CVE-2025-31125 – Vite (vitejs): obejście kontroli dostępu ujawniające treści plików przez parametry ?inline&import lub ?raw?import – istotne głównie, gdy dev server jest wystawiony na sieć.
• CVE-2025-54313 – eslint-config-prettier: złośliwy kod w wybranych wersjach paczki npm (supply chain) – uruchomienie install.js i załadowanie node-gyp.dll na Windows.

Wspólny wymóg KEV: wdrożyć mitygacje wg dostawcy / wytycznych lub zaprzestać używania, jeżeli nie ma skutecznej mitygacji; termin w KEV: 2026-02-12.

Kontekst / historia / powiązania

Ten zestaw CVE jest ciekawy, bo łączy klasyczne podatności aplikacyjne (Zimbra), podatność w platformie orkiestracji (SD-WAN) (Versa), ryzyko wynikające z błędnej ekspozycji narzędzi deweloperskich (Vite) oraz incydent łańcucha dostaw (eslint-config-prettier).

W praktyce oznacza to, iż eksploatacja dotyczy zarówno infrastruktury komunikacyjnej (poczta), sieci/SD-WAN, jak i ekosystemu developer tooling oraz zależności npm.

Analiza techniczna / szczegóły luki

CVE-2025-68645 (Zimbra ZCS) – LFI przez /h/rest

NVD opisuje lukę jako Local File Inclusion spowodowaną niewłaściwą obsługą parametrów w serwlecie RestFilter. Atakujący zdalnie, bez logowania, może manipulować dispatchingiem żądań do endpointu /h/rest, co umożliwia dołączanie plików z katalogu WebRoot do odpowiedzi.
W kontekście poczty oznacza to ryzyko ujawnienia wrażliwych plików (konfiguracje, zasoby aplikacji), a w części scenariuszy bywa to etapem do dalszych działań (np. przygotowania kolejnego łańcucha exploitów).

CVE-2025-34026 (Versa Concerto) – obejście uwierzytelnienia

Podatność to authentication bypass w obszarze Traefik reverse proxy, umożliwiający dostęp do endpointów administracyjnych; NVD wskazuje także możliwość użycia wewnętrznego endpointu Actuator do pozyskania m.in. heap dumpów i logów śledzenia. Zakres znanych podatnych wersji: 12.1.2 – 12.2.0 (mogą istnieć kolejne).
To szczególnie groźne w środowiskach, gdzie Concerto jest “mózgiem” zarządzania SD-WAN – kompromitacja takiej warstwy zwykle ma efekt kaskadowy.

CVE-2025-31125 (Vite) – ujawnienie plików w dev server

Vite może ujawnić zawartość plików, które powinny być zablokowane, poprzez użycie parametrów ?inline&import albo ?raw?import. najważniejsze ograniczenie z opisu: zagrożone są głównie aplikacje, które jawnie wystawiły dev server na sieć (np. --host / server.host). Luka ma poprawki w wielu liniach wydań (m.in. 6.2.4, 6.1.3, 6.0.13, 5.4.16, 4.5.11).
Uwaga praktyczna: w NVD widać rozbieżność oceny CVSS między NIST i CNA (GitHub) – co często wynika z innego podejścia do preconditionów (interakcja użytkownika / ekspozycja na sieć). Do KEV trafiają jednak przypadki rzeczywiście wykorzystywane, więc priorytet powinien wynikać z ekspozycji i telemetryki, a nie samej liczby.

CVE-2025-54313 (eslint-config-prettier) – supply chain i malware na Windows

To nie “zwykła luka”, tylko złośliwy kod osadzony w konkretnych wersjach pakietu: 8.10.1, 9.1.1, 10.1.6, 10.1.7. Instalacja uruchamia install.js, który na Windows ładuje node-gyp.dll (malware).
W praktyce jest to ryzyko dla pipeline’ów CI/CD i stacji deweloperskich, zwłaszcza gdy zależności są pobierane bez pinowania i bez weryfikacji integralności.

Praktyczne konsekwencje / ryzyko

• Zimbra: możliwy wyciek danych i informacji konfiguracyjnych z serwera pocztowego, co może wspierać dalszą eskalację lub ruch boczny.
• Versa Concerto: ryzyko przejęcia kontroli nad warstwą orkiestracji SD-WAN; potencjalnie wpływ na wiele lokalizacji jednocześnie oraz na widoczność/telemetrię sieci.
• Vite: wyciek plików (np. .env, klucze, konfiguracje) w scenariuszach, gdzie dev server został nieintencjonalnie wystawiony na Internet lub do segmentu o niskim zaufaniu.
• eslint-config-prettier: kompromitacja łańcucha dostaw – w najgorszym wypadku kradzież sekretów, tokenów i dalsze skażenie buildów (szczególnie dotkliwe w organizacjach software’owych).

Rekomendacje operacyjne / co zrobić teraz

Priorytet 0: identyfikacja ekspozycji i szybka redukcja powierzchni ataku (≤24h)

1. Sprawdź, czy w organizacji występują: Zimbra ZCS 10.0/10.1, Versa Concerto 12.1.2–12.2.0, Vite w podatnych wersjach, oraz czy w zależnościach npm pojawiają się wskazane wersje eslint-config-prettier.
2. Jeśli nie ma natychmiastowej mitygacji – zgodnie z wpisem KEV rozważ czasowe wyłączenie/usunięcie komponentu z ekspozycji.

Priorytet 1: naprawa / aktualizacja (≤72h)

• Zimbra: aktualizuj do wersji naprawionych (co najmniej 10.0.18+ lub 10.1.13+, zgodnie z zakresem CPE w NVD) i ogranicz publiczną ekspozycję, jeżeli to możliwe.
• Versa Concerto: zastosuj mitygacje i aktualizacje wg zaleceń dostawcy; minimalnie usuń ekspozycję paneli/endpointów administracyjnych z niezaufanych sieci i zweryfikuj, czy nie ma dostępu do Actuator/diagnostyki.
• Vite: aktualizacja do wersji naprawionych (właściwa linia wydań), a dodatkowo twarda zasada: dev server nie może być wystawiony na Internet; ogranicz --host, segmentuj sieć, stosuj allowlisty i reverse proxy tylko w razie konieczności.
• eslint-config-prettier: usuń/podmień skompromitowane wersje, wymuś pinowanie wersji, sprawdź lockfile, a w środowiskach Windows potraktuj to jak potencjalny incydent (triage hostów, weryfikacja procesów instalacji, rotacja sekretów zależnie od ekspozycji).

Priorytet 2: detekcja i hunting (≤7 dni)

• Przejrzyj logi WAF/reverse proxy i logi aplikacyjne pod kątem nietypowych żądań do /h/rest (Zimbra) oraz podejrzanych wywołań endpointów administracyjnych/diagnostycznych (Versa).
• Zidentyfikuj repozytoria i pipeline’y, które mogły pobrać skompromitowane wersje eslint-config-prettier, i sprawdź artefakty buildów z okresu użycia.

Deadline (KEV): 12.02.2026 – to data egzekwowana dla FCEB, ale warto przyjąć ją jako wewnętrzny SLA dla systemów internet-facing i krytycznych.

Różnice / porównania z innymi przypadkami

• Zimbra (LFI/RFI): klasyczny wektor webowy, często łatwy do masowego skanowania; ryzyko rośnie, gdy serwer jest publicznie wystawiony.
• Versa (auth bypass w warstwie orkiestracji): mniej “głośny” niż typowe RCE, ale potencjalnie bardziej systemowy – dostęp do orkiestratora bywa równoważny dostępowi do dużej części sieci.
• Vite (dev tooling): ryzyko jest często “organizacyjne” (błędna ekspozycja), a nie czysto produktowe – to sygnał, by wzmacniać standardy uruchomień dev/prod.
• eslint-config-prettier (supply chain): incydent zależności – wymaga dojrzałości w SBOM, pinowaniu, kontroli integralności i reakcji na skażone paczki.

Podsumowanie / najważniejsze wnioski

1. Cztery CVE dodane do KEV 22.01.2026 obejmują bardzo różne klasy ryzyka – od podatności webowych po supply chain.
2. Wpis do KEV oznacza praktyczną eksploatację, więc priorytet powinien być wysoki niezależnie od sporów wokół CVSS (szczególnie widocznych przy Vite).
3. Minimalny standard reakcji: patch/mitygacja lub wyłączenie produktu tam, gdzie nie da się gwałtownie zabezpieczyć – z celem operacyjnym do 12.02.2026.

Źródła / bibliografia

• NVD: CVE-2025-68645 (Zimbra ZCS /h/rest, KEV update) (nvd.nist.gov)
• NVD: CVE-2025-34026 (Versa Concerto auth bypass, KEV update, CVSS) (nvd.nist.gov)
• NVD: CVE-2025-31125 (Vite, parametry inline/raw/import, KEV update, fixed versions) (nvd.nist.gov)
• NVD: CVE-2025-54313 (eslint-config-prettier, złośliwe wersje, node-gyp.dll, KEV update) (nvd.nist.gov)