Vulnerabilidad

Resumen de la Vulnerabilidad Crítica en Mattermost Una configuración predeterminada en Mattermost, una plataforma de colaboración de código abierto utilizada por empresas y agencias gubernamentales, expone a los despliegues a un riesgo crítico de toma de control de cuentas (Account Takeover). La vulnerabilidad, identificada como CVE-2025-12421, permite a un atacante, mediante una única solicitud, secuestrar cualquier cuenta de usuario en el sistema. Detalles Técnicos de CVE-2025-12421 La falla reside en el flujo de autenticación de Mattermost, específicamente en el manejo de la conmutación entre diferentes métodos de autenticación (como de email/contraseña a OAuth). El problema se encuentra en el endpoint /users/login/sso/code-exchange. ...

Una nueva investigación de CrowdStrike ha revelado que el modelo de razonamiento de inteligencia artificial (IA) DeepSeek-R1 produce un número significativamente mayor de vulnerabilidades de seguridad en respuesta a solicitudes que contienen temas considerados políticamente sensibles por China. El estudio, que evaluó el impacto de los sesgos geopolíticos en la calidad del código generado por IA, encontró que la probabilidad de que DeepSeek-R1 genere código con vulnerabilidades graves aumenta hasta en un 50% cuando se incluyen “temas que el Partido Comunista Chino (PCCh) probablemente considera políticamente sensibles”. ...

Descubrimiento de Fallos Críticos en Fluent Bit Investigadores de ciberseguridad han descubierto un conjunto de vulnerabilidades críticas que afectan a Fluent Bit, un agente de telemetría ampliamente utilizado con más de 15 mil millones de despliegues. Estos fallos resaltan debilidades en componentes esenciales que las organizaciones utilizan para mover registros, métricas y trazas a través de plataformas bancarias, de nube y de software como servicio (SaaS). Según un aviso de Oligo Security, la flexibilidad de Fluent Bit puede convertirse en un riesgo significativo si la sanitización de datos falla. Los problemas identificados residen en el manejo de entradas, el procesamiento de etiquetas y la gestión de salidas. ...

Fuga Masiva de Datos Potencialmente Histórica Investigadores austriacos han revelado una vulnerabilidad de enumeración masiva en WhatsApp que permitió la extracción de 3.500 millones de números de teléfono de usuarios. Este hallazgo subraya un fallo de seguridad en la función de “descubrimiento de contactos” de la aplicación, que, al carecer de una limitación de velocidad estricta, permitió a los investigadores raspar una gran parte de la base de usuarios de WhatsApp. ...

Una campaña de ciberataque recién descubierta, denominada Operation WrtHug, ha comprometido a decenas de miles de routers ASUS que se encuentran al final de su vida útil (EoL) o están desactualizados. La operación ha reclutado estos dispositivos en una vasta red de botnets. Durante los últimos seis meses, el equipo STRIKE de SecurityScorecard identificó más de 50,000 direcciones IP únicas de dispositivos comprometidos a nivel mundial. Las regiones más afectadas incluyen Taiwán, Estados Unidos y Rusia, aunque también se han registrado infecciones en el sudeste asiático y países europeos. ...

Una vulnerabilidad de seguridad recientemente revelada que afecta a 7-Zip está siendo activamente explotada en la práctica, según un aviso emitido por NHS England Digital del Reino Unido. La vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en los sistemas afectados. Detalles de la Vulnerabilidad (CVE-2025-11001) La vulnerabilidad principal, identificada como CVE-2025-11001 (con una puntuación CVSS de 7.0), reside en el manejo de enlaces simbólicos dentro de archivos ZIP. ...