Vulnerabilidad

IBM ha revelado detalles sobre una falla de seguridad crítica en su producto API Connect que podría permitir a atacantes remotos obtener acceso no autorizado a la aplicación. Detalles de la Vulnerabilidad La vulnerabilidad, identificada como CVE-2025-13915, ha recibido una puntuación de 9.8 sobre 10.0 en el sistema de calificación CVSS, lo que la clasifica como crítica. Se describe como una falla de omisión de autenticación. IBM ha declarado en un boletín que “IBM API Connect podría permitir que un atacante remoto omita los mecanismos de autenticación y obtenga acceso no autorizado a la aplicación”. ...

Advertencia de Vulnerabilidad Crítica en SmarterTools SmarterMail La Agencia de Ciberseguridad de Singapur (CSA) ha emitido una alerta sobre una falla de seguridad de máxima gravedad en el software de correo electrónico SmarterTools SmarterMail. Esta vulnerabilidad, con una puntuación CVSS de 10.0, podría ser explotada para lograr la ejecución remota de código (RCE) sin necesidad de autenticación. Detalles de la Vulnerabilidad (CVE-2025-52691) La vulnerabilidad, identificada como CVE-2025-52691, es un caso de carga arbitraria de archivos. Esto significa que un atacante no autenticado podría subir archivos de cualquier tipo a cualquier ubicación en el servidor de correo. Si estos archivos maliciosos (como web shells o binarios) son interpretados y ejecutados como código por el entorno de la aplicación, el atacante podría obtener control con los mismos privilegios que el servicio SmarterMail. ...

Una vulnerabilidad de seguridad crítica ha sido revelada en la plataforma de automatización de flujos de trabajo n8n. La falla, si se explota con éxito, podría resultar en la ejecución de código arbitrario bajo ciertas circunstancias. La vulnerabilidad, rastreada como CVE-2025-68613, tiene una puntuación CVSS de 9.9 sobre 10.0, lo que subraya su gravedad. Según las estadísticas de npm, el paquete de n8n registra aproximadamente 57,000 descargas semanales. ...

Hewlett Packard Enterprise (HPE) ha anunciado la resolución de una vulnerabilidad de seguridad de máxima gravedad en su software OneView. La falla, si se explota con éxito, podría permitir la ejecución remota de código. La vulnerabilidad crítica ha sido identificada con el CVE-2025-37164 y tiene una puntuación CVSS de 10.0. HPE OneView es una herramienta de gestión de infraestructura de TI que simplifica las operaciones y permite el control centralizado de todos los sistemas. ...

WatchGuard ha emitido una alerta de seguridad y lanzado parches para abordar una vulnerabilidad crítica en su sistema operativo Fireware que, según ha confirmado la compañía, ha sido explotada activamente en ataques en el mundo real. La vulnerabilidad, identificada como CVE-2025-14733, afecta a las configuraciones de VPN IKEv2 y tiene una puntuación CVSS de 9.3 (Crítica), permitiendo la ejecución remota de código por parte de atacantes no autenticados. ...

Microsoft ha corregido silenciosamente una vulnerabilidad de seguridad que ha sido explotada por múltiples actores de amenazas desde 2017. La corrección se incluyó en las actualizaciones de Patch Tuesday de noviembre de 2025. La vulnerabilidad, rastreada como CVE-2025-9491 (puntuación CVSS: 7.8/7.0), es un fallo de “malinterpretación de la interfaz de usuario de archivos de acceso directo (LNK) de Windows” que podría conducir a la ejecución remota de código. ...

Investigadores de seguridad han revelado una vulnerabilidad crítica en Avast Free Antivirus que podría permitir a atacantes obtener privilegios elevados del sistema y ejecutar código malicioso con acceso a nivel de kernel. La vulnerabilidad, rastreada como CVE-2025-3500, recibió una puntuación CVSS alta de 8.8 y se hizo pública el 24 de abril de 2025, después de que Avast emitiera un parche. Detalles Técnicos de la Vulnerabilidad La falla de seguridad reside en el controlador de kernel aswbidsdriver de Avast Free Antivirus y se origina por una validación incorrecta de los datos proporcionados por el usuario. ...

Resumen de la Vulnerabilidad Crítica en Mattermost Una configuración predeterminada en Mattermost, una plataforma de colaboración de código abierto utilizada por empresas y agencias gubernamentales, expone a los despliegues a un riesgo crítico de toma de control de cuentas (Account Takeover). La vulnerabilidad, identificada como CVE-2025-12421, permite a un atacante, mediante una única solicitud, secuestrar cualquier cuenta de usuario en el sistema. Detalles Técnicos de CVE-2025-12421 La falla reside en el flujo de autenticación de Mattermost, específicamente en el manejo de la conmutación entre diferentes métodos de autenticación (como de email/contraseña a OAuth). El problema se encuentra en el endpoint /users/login/sso/code-exchange. ...

Una nueva investigación de CrowdStrike ha revelado que el modelo de razonamiento de inteligencia artificial (IA) DeepSeek-R1 produce un número significativamente mayor de vulnerabilidades de seguridad en respuesta a solicitudes que contienen temas considerados políticamente sensibles por China. El estudio, que evaluó el impacto de los sesgos geopolíticos en la calidad del código generado por IA, encontró que la probabilidad de que DeepSeek-R1 genere código con vulnerabilidades graves aumenta hasta en un 50% cuando se incluyen “temas que el Partido Comunista Chino (PCCh) probablemente considera políticamente sensibles”. ...

Descubrimiento de Fallos Críticos en Fluent Bit Investigadores de ciberseguridad han descubierto un conjunto de vulnerabilidades críticas que afectan a Fluent Bit, un agente de telemetría ampliamente utilizado con más de 15 mil millones de despliegues. Estos fallos resaltan debilidades en componentes esenciales que las organizaciones utilizan para mover registros, métricas y trazas a través de plataformas bancarias, de nube y de software como servicio (SaaS). Según un aviso de Oligo Security, la flexibilidad de Fluent Bit puede convertirse en un riesgo significativo si la sanitización de datos falla. Los problemas identificados residen en el manejo de entradas, el procesamiento de etiquetas y la gestión de salidas. ...