RCE

Veeam ha lanzado una serie de actualizaciones de seguridad críticas para su software Backup & Replication, abordando múltiples fallos, incluyendo una vulnerabilidad clasificada como “crítica” que podría llevar a la ejecución remota de código (RCE). Vulnerabilidad Crítica de Ejecución Remota de Código (RCE) La vulnerabilidad más destacada es CVE-2025-59470, que ostenta una puntuación CVSS de 9.0. Este fallo permite a un operador de Backup o Tape realizar una ejecución remota de código como el usuario postgres al enviar un parámetro interval u order malicioso. ...

Advertencia de Vulnerabilidad Crítica en SmarterTools SmarterMail La Agencia de Ciberseguridad de Singapur (CSA) ha emitido una alerta sobre una falla de seguridad de máxima gravedad en el software de correo electrónico SmarterTools SmarterMail. Esta vulnerabilidad, con una puntuación CVSS de 10.0, podría ser explotada para lograr la ejecución remota de código (RCE) sin necesidad de autenticación. Detalles de la Vulnerabilidad (CVE-2025-52691) La vulnerabilidad, identificada como CVE-2025-52691, es un caso de carga arbitraria de archivos. Esto significa que un atacante no autenticado podría subir archivos de cualquier tipo a cualquier ubicación en el servidor de correo. Si estos archivos maliciosos (como web shells o binarios) son interpretados y ejecutados como código por el entorno de la aplicación, el atacante podría obtener control con los mismos privilegios que el servicio SmarterMail. ...

Hewlett Packard Enterprise (HPE) ha anunciado la resolución de una vulnerabilidad de seguridad de máxima gravedad en su software OneView. La falla, si se explota con éxito, podría permitir la ejecución remota de código. La vulnerabilidad crítica ha sido identificada con el CVE-2025-37164 y tiene una puntuación CVSS de 10.0. HPE OneView es una herramienta de gestión de infraestructura de TI que simplifica las operaciones y permite el control centralizado de todos los sistemas. ...

Una investigación reciente ha revelado más de 30 vulnerabilidades de seguridad en varios Entornos de Desarrollo Integrado (IDEs) impulsados por inteligencia artificial (IA). Estos fallos, denominados colectivamente “IDEsaster”, combinan primitivas de inyección de prompts con características legítimas de los IDEs para lograr la exfiltración de datos y la ejecución remota de código (RCE). El investigador de seguridad Ari Marzouk (MaccariTA) descubrió que las vulnerabilidades afectan a IDEs y extensiones populares como Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie y Cline, entre otros. De estas, 24 vulnerabilidades han recibido identificadores CVE. ...

Dos grupos de hacking vinculados a China han sido detectados weaponizando la vulnerabilidad recién divulgada en los Componentes de Servidor de React (RSC), conocida como React2Shell. La explotación se observó pocas horas después de que se hiciera pública la existencia de la falla, lo que subraya la rapidez con la que los actores de amenazas integran nuevos exploits en sus campañas. La Vulnerabilidad React2Shell (CVE-2025-55182) La vulnerabilidad en cuestión es CVE-2025-55182, que ha recibido una puntuación CVSS de 10.0, lo que indica su máxima severidad. Esta falla permite la ejecución remota de código (RCE) no autenticada. ...

Investigadores de seguridad de Oligo Security han descubierto cinco vulnerabilidades en Fluent Bit, un agente de telemetría ligero y de código abierto, que podrían encadenarse para comprometer y tomar el control de infraestructuras en la nube. Fluent Bit es ampliamente utilizado en entornos empresariales, y la explotación exitosa de estas fallas podría permitir a los atacantes interrumpir servicios en la nube, manipular datos y profundizar en infraestructuras de Kubernetes y la nube. ...

Una vulnerabilidad de seguridad recientemente revelada que afecta a 7-Zip está siendo activamente explotada en la práctica, según un aviso emitido por NHS England Digital del Reino Unido. La vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en los sistemas afectados. Detalles de la Vulnerabilidad (CVE-2025-11001) La vulnerabilidad principal, identificada como CVE-2025-11001 (con una puntuación CVSS de 7.0), reside en el manejo de enlaces simbólicos dentro de archivos ZIP. ...