Vulnerabilidades

Veeam ha lanzado una serie de actualizaciones de seguridad críticas para su software Backup & Replication, abordando múltiples fallos, incluyendo una vulnerabilidad clasificada como “crítica” que podría llevar a la ejecución remota de código (RCE). Vulnerabilidad Crítica de Ejecución Remota de Código (RCE) La vulnerabilidad más destacada es CVE-2025-59470, que ostenta una puntuación CVSS de 9.0. Este fallo permite a un operador de Backup o Tape realizar una ejecución remota de código como el usuario postgres al enviar un parámetro interval u order malicioso. ...

IBM ha revelado detalles sobre una falla de seguridad crítica en su producto API Connect que podría permitir a atacantes remotos obtener acceso no autorizado a la aplicación. Detalles de la Vulnerabilidad La vulnerabilidad, identificada como CVE-2025-13915, ha recibido una puntuación de 9.8 sobre 10.0 en el sistema de calificación CVSS, lo que la clasifica como crítica. Se describe como una falla de omisión de autenticación. IBM ha declarado en un boletín que “IBM API Connect podría permitir que un atacante remoto omita los mecanismos de autenticación y obtenga acceso no autorizado a la aplicación”. ...

Advertencia de Vulnerabilidad Crítica en SmarterTools SmarterMail La Agencia de Ciberseguridad de Singapur (CSA) ha emitido una alerta sobre una falla de seguridad de máxima gravedad en el software de correo electrónico SmarterTools SmarterMail. Esta vulnerabilidad, con una puntuación CVSS de 10.0, podría ser explotada para lograr la ejecución remota de código (RCE) sin necesidad de autenticación. Detalles de la Vulnerabilidad (CVE-2025-52691) La vulnerabilidad, identificada como CVE-2025-52691, es un caso de carga arbitraria de archivos. Esto significa que un atacante no autenticado podría subir archivos de cualquier tipo a cualquier ubicación en el servidor de correo. Si estos archivos maliciosos (como web shells o binarios) son interpretados y ejecutados como código por el entorno de la aplicación, el atacante podría obtener control con los mismos privilegios que el servicio SmarterMail. ...

Una vulnerabilidad de seguridad crítica ha sido revelada en la plataforma de automatización de flujos de trabajo n8n. La falla, si se explota con éxito, podría resultar en la ejecución de código arbitrario bajo ciertas circunstancias. La vulnerabilidad, rastreada como CVE-2025-68613, tiene una puntuación CVSS de 9.9 sobre 10.0, lo que subraya su gravedad. Según las estadísticas de npm, el paquete de n8n registra aproximadamente 57,000 descargas semanales. ...

Hewlett Packard Enterprise (HPE) ha anunciado la resolución de una vulnerabilidad de seguridad de máxima gravedad en su software OneView. La falla, si se explota con éxito, podría permitir la ejecución remota de código. La vulnerabilidad crítica ha sido identificada con el CVE-2025-37164 y tiene una puntuación CVSS de 10.0. HPE OneView es una herramienta de gestión de infraestructura de TI que simplifica las operaciones y permite el control centralizado de todos los sistemas. ...

Una vulnerabilidad de seguridad ha sido identificada en modelos específicos de placas base de fabricantes líderes como ASRock, ASUSTeK Computer, GIGABYTE y MSI. Esta falla deja a los sistemas susceptibles a ataques de Acceso Directo a Memoria (DMA) durante la fase de arranque temprano, afectando arquitecturas que implementan la Interfaz de Firmware Extensible Unificada (UEFI) y la Unidad de Gestión de Memoria de Entrada/Salida (IOMMU). Fallo en la Protección de DMA de Arranque Temprano La vulnerabilidad, descubierta por Nick Peterson y Mohamed Al-Sharifi de Riot Games, reside en la implementación del firmware UEFI. Aunque el IOMMU y UEFI están diseñados para evitar accesos no autorizados a la memoria por parte de periféricos, la falla surge de una discrepancia: el firmware indica que la protección DMA está activa, pero no logra configurar ni habilitar el IOMMU correctamente durante la fase crítica de arranque. ...

WatchGuard ha emitido una alerta de seguridad y lanzado parches para abordar una vulnerabilidad crítica en su sistema operativo Fireware que, según ha confirmado la compañía, ha sido explotada activamente en ataques en el mundo real. La vulnerabilidad, identificada como CVE-2025-14733, afecta a las configuraciones de VPN IKEv2 y tiene una puntuación CVSS de 9.3 (Crítica), permitiendo la ejecución remota de código por parte de atacantes no autenticados. ...

Cisco ha emitido una alerta sobre una vulnerabilidad de día cero con gravedad máxima en su software Cisco AsyncOS. Esta falla ha sido activamente explotada por un actor de amenaza persistente avanzada (APT) con nexos en China, apodado UAT-9686, en ataques dirigidos a Cisco Secure Email Gateway y Cisco Secure Email and Web Manager. Detalles de la Amenaza La campaña de intrusión se detectó el 10 de diciembre de 2025. Cisco identificó que un subconjunto limitado de sus appliances, con puertos específicos expuestos a Internet, fueron el objetivo. La vulnerabilidad, rastreada como CVE-2025-20393, posee una puntuación CVSS de 10.0 y permite a los atacantes ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente del appliance afectado. Los atacantes han logrado establecer mecanismos de persistencia para mantener el control sobre los sistemas comprometidos. ...

Google ha lanzado una actualización de seguridad para Chrome el 10 de diciembre, parchando tres nuevas vulnerabilidades, incluyendo una de alta gravedad que está siendo explotada activamente en la naturaleza. Esta vulnerabilidad representa el octavo zero-day de Chrome explotado en 2025. La Vulnerabilidad Zero-Day de Alta Gravedad Google ha emitido un aviso de seguridad para abordar una vulnerabilidad zero-day de alta gravedad. En el momento de la publicación, Google no ha asignado un CVE (Common Vulnerabilities and Exposures) a esta falla. En su lugar, se hace referencia a ella mediante el ID de rastreo interno de Google, 466192044. ...

La CISA advierte sobre la vulnerabilidad de WinRAR La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de EE. UU. ha añadido una vulnerabilidad que afecta al software de compresión WinRAR a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa. La vulnerabilidad, rastreada como CVE-2025-6218 (puntuación CVSS: 7.8), es un fallo de path traversal que podría permitir la ejecución de código. Para ser explotada, requiere que un objetivo visite una página web maliciosa o abra un archivo malicioso. ...