Vulnerabilidades

Investigadores de seguridad de Ontinue han descubierto un “punto ciego entre inquilinos” en Microsoft Teams que permite a los atacantes eludir las protecciones de Microsoft Defender for Office 365 mediante la función de acceso de invitados. El problema radica en que cuando un usuario opera como invitado en un inquilino externo, sus protecciones de seguridad son determinadas completamente por el entorno de alojamiento, y no por las políticas de seguridad de su organización de origen. Esta brecha arquitectónica fundamental abre la puerta a escenarios de ataque donde los usuarios se convierten en invitados desprotegidos en un entorno malicioso controlado por el atacante. ...

Investigadores de ciberseguridad han descubierto código vulnerable en paquetes de Python obsoletos que podría allanar el camino para un ataque de compromiso de la cadena de suministro en el Python Package Index (PyPI) mediante una técnica de toma de control de dominio (domain takeover). La empresa de seguridad de la cadena de suministro de software ReversingLabs identificó la vulnerabilidad en archivos de arranque (“bootstrap files”) proporcionados por una herramienta de automatización de compilación y despliegue llamada zc.buildout. ...

Resumen de la Vulnerabilidad Crítica en Mattermost Una configuración predeterminada en Mattermost, una plataforma de colaboración de código abierto utilizada por empresas y agencias gubernamentales, expone a los despliegues a un riesgo crítico de toma de control de cuentas (Account Takeover). La vulnerabilidad, identificada como CVE-2025-12421, permite a un atacante, mediante una única solicitud, secuestrar cualquier cuenta de usuario en el sistema. Detalles Técnicos de CVE-2025-12421 La falla reside en el flujo de autenticación de Mattermost, específicamente en el manejo de la conmutación entre diferentes métodos de autenticación (como de email/contraseña a OAuth). El problema se encuentra en el endpoint /users/login/sso/code-exchange. ...

Una nueva investigación ha revelado que organizaciones de sectores sensibles, como gobiernos, telecomunicaciones e infraestructura crítica, están exponiendo contraseñas y credenciales al pegarlas en herramientas online de formato y validación de código como JSONformatter y CodeBeautify. La compañía de ciberseguridad watchTowr Labs capturó un conjunto de datos de más de 80,000 archivos de estos sitios, descubriendo miles de nombres de usuario, contraseñas, claves de autenticación de repositorios, credenciales de Active Directory, credenciales de bases de datos, claves de entorno cloud, información de configuración LDAP y claves de API. ...