Vulnerabilidades

Veeam ha lanzado una serie de actualizaciones de seguridad críticas para su software Backup & Replication, abordando múltiples fallos, incluyendo una vulnerabilidad clasificada como “crítica” que podría llevar a la ejecución remota de código (RCE). Vulnerabilidad Crítica de Ejecución Remota de Código (RCE) La vulnerabilidad más destacada es CVE-2025-59470, que ostenta una puntuación CVSS de 9.0. Este fallo permite a un operador de Backup o Tape realizar una ejecución remota de código como el usuario postgres al enviar un parámetro interval u order malicioso. ...

Una vulnerabilidad de seguridad ha sido identificada en modelos específicos de placas base de fabricantes líderes como ASRock, ASUSTeK Computer, GIGABYTE y MSI. Esta falla deja a los sistemas susceptibles a ataques de Acceso Directo a Memoria (DMA) durante la fase de arranque temprano, afectando arquitecturas que implementan la Interfaz de Firmware Extensible Unificada (UEFI) y la Unidad de Gestión de Memoria de Entrada/Salida (IOMMU). Fallo en la Protección de DMA de Arranque Temprano La vulnerabilidad, descubierta por Nick Peterson y Mohamed Al-Sharifi de Riot Games, reside en la implementación del firmware UEFI. Aunque el IOMMU y UEFI están diseñados para evitar accesos no autorizados a la memoria por parte de periféricos, la falla surge de una discrepancia: el firmware indica que la protección DMA está activa, pero no logra configurar ni habilitar el IOMMU correctamente durante la fase crítica de arranque. ...

Google ha lanzado una actualización de seguridad para Chrome el 10 de diciembre, parchando tres nuevas vulnerabilidades, incluyendo una de alta gravedad que está siendo explotada activamente en la naturaleza. Esta vulnerabilidad representa el octavo zero-day de Chrome explotado en 2025. La Vulnerabilidad Zero-Day de Alta Gravedad Google ha emitido un aviso de seguridad para abordar una vulnerabilidad zero-day de alta gravedad. En el momento de la publicación, Google no ha asignado un CVE (Common Vulnerabilities and Exposures) a esta falla. En su lugar, se hace referencia a ella mediante el ID de rastreo interno de Google, 466192044. ...

La CISA advierte sobre la vulnerabilidad de WinRAR La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de EE. UU. ha añadido una vulnerabilidad que afecta al software de compresión WinRAR a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa. La vulnerabilidad, rastreada como CVE-2025-6218 (puntuación CVSS: 7.8), es un fallo de path traversal que podría permitir la ejecución de código. Para ser explotada, requiere que un objetivo visite una página web maliciosa o abra un archivo malicioso. ...

Fortinet, Ivanti y SAP han publicado actualizaciones para solucionar fallos críticos de seguridad en sus productos. Estas vulnerabilidades podrían permitir la omisión de autenticación o la ejecución remota de código si son explotadas con éxito. Vulnerabilidades Críticas de Fortinet (CVE-2025-59718 y CVE-2025-59719) Fortinet ha abordado dos vulnerabilidades críticas (CVSS 9.8) que afectan a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager. Los fallos, identificados como CVE-2025-59718 y CVE-2025-59719, se deben a una verificación incorrecta de la firma criptográfica (CWE-347). ...

Una investigación reciente ha revelado más de 30 vulnerabilidades de seguridad en varios Entornos de Desarrollo Integrado (IDEs) impulsados por inteligencia artificial (IA). Estos fallos, denominados colectivamente “IDEsaster”, combinan primitivas de inyección de prompts con características legítimas de los IDEs para lograr la exfiltración de datos y la ejecución remota de código (RCE). El investigador de seguridad Ari Marzouk (MaccariTA) descubrió que las vulnerabilidades afectan a IDEs y extensiones populares como Cursor, Windsurf, Kiro.dev, GitHub Copilot, Zed.dev, Roo Code, Junie y Cline, entre otros. De estas, 24 vulnerabilidades han recibido identificadores CVE. ...

Una investigación conjunta de Amnistía Internacional, Haaretz, Inside Story e Inside IT ha revelado que el abogado de derechos humanos de la provincia de Baluchistán, Pakistán, fue el objetivo del software espía Predator de Intellexa. Este incidente marca la primera vez que un miembro de la sociedad civil en Pakistán es atacado por esta herramienta de vigilancia. El ataque se llevó a cabo mediante un enlace sospechoso enviado por WhatsApp, que Amnistía Internacional identificó como un “intento de ataque Predator” basado en su comportamiento técnico y características. ...

Investigadores de seguridad de Ontinue han descubierto un “punto ciego entre inquilinos” en Microsoft Teams que permite a los atacantes eludir las protecciones de Microsoft Defender for Office 365 mediante la función de acceso de invitados. El problema radica en que cuando un usuario opera como invitado en un inquilino externo, sus protecciones de seguridad son determinadas completamente por el entorno de alojamiento, y no por las políticas de seguridad de su organización de origen. Esta brecha arquitectónica fundamental abre la puerta a escenarios de ataque donde los usuarios se convierten en invitados desprotegidos en un entorno malicioso controlado por el atacante. ...

Una nueva investigación ha revelado que organizaciones de sectores sensibles, como gobiernos, telecomunicaciones e infraestructura crítica, están exponiendo contraseñas y credenciales al pegarlas en herramientas online de formato y validación de código como JSONformatter y CodeBeautify. La compañía de ciberseguridad watchTowr Labs capturó un conjunto de datos de más de 80,000 archivos de estos sitios, descubriendo miles de nombres de usuario, contraseñas, claves de autenticación de repositorios, credenciales de Active Directory, credenciales de bases de datos, claves de entorno cloud, información de configuración LDAP y claves de API. ...

Investigadores de seguridad de Oligo Security han descubierto cinco vulnerabilidades en Fluent Bit, un agente de telemetría ligero y de código abierto, que podrían encadenarse para comprometer y tomar el control de infraestructuras en la nube. Fluent Bit es ampliamente utilizado en entornos empresariales, y la explotación exitosa de estas fallas podría permitir a los atacantes interrumpir servicios en la nube, manipular datos y profundizar en infraestructuras de Kubernetes y la nube. ...