Vulnerabilidad crítica RCE en pgAdmin4 permite ejecución remota de código
Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en pgAdmin4, la interfaz open source para bases de datos PostgreSQL. Identificada como CVE-2025-12762, afecta versiones hasta la 9.9 y permite a un atacante ejecutar comandos arbitrarios en el servidor mediante cargas maliciosas en formato PLAIN, comprometiendo la confidencialidad, integridad y disponibilidad de las infraestructuras. Requiere únicamente acceso de red y no interacción adicional del usuario. CVE y severidad CVE Severidad CVSS v3.1 Vector de ataque Impacto CVE-2025-12762 Crítica 9.3/10 Red (Remote Network) Alta confidencialidad; moderada integridad y disponibilidad Productos afectados pgAdmin4, versiones hasta la 9.9 en modo…
Actualización crítica para vulnerabilidades en NVIDIA NeMo Framework permite ejecución de código y escalada de privilegios
Se han identificado dos vulnerabilidades de severidad alta que afectan al NVIDIA NeMo Framework, un conjunto de herramientas avanzado utilizado para el desarrollo y despliegue de modelos de Inteligencia Artificial, incluyendo sistemas de procesamiento de lenguaje natural y aprendizaje profundo. Estas vulnerabilidades permiten que un atacante local suministre entradas maliciosas que provocan ejecución de código arbitrario, escala de privilegios, divulgación de información, manipulación de datos y posible denegación de servicio, comprometiendo la integridad de los entornos de entrenamiento e inferencia basados en NeMo. Vulnerabilidades identificadas: Productos y Versiones afectadas Producto Plataforma/SO Versiones afectadas Versión corregida NVIDIA NeMo Framework Todos Versión 2.5.0…
Vulnerabilidades críticas en Kibana permiten ataques SSRF y XSS
Elastic Security ha revelado vulnerabilidades críticas en Kibana que permiten a atacantes ejecutar ataques de Server-Side Request Forgery (SSRF) y Cross-Site Scripting (XSS) en despliegues vulnerables, especialmente en el componente Observability AI Assistant. Estas fallas, incluyendo la registrada como CVE-2025-37734, permiten falsificar cabeceras HTTP Origin y acceder a recursos internos, poniendo en riesgo la confidencialidad e integridad de datos. Se recomienda a los administradores verificar la configuración y parchar lo antes posible. CVE y severidad CVE Tipo de vulnerabilidad Vector de ataque CVSS v3.1 Severidad Componentes afectados CVE-2025-37734 Error de validación de origen (SSRF) Red 4.3 Media Observability AI Assistant…
Actualizaciones críticas en GitLab corrigen vulnerabilidades de inyección y filtración de datos
GitLab ha publicado actualizaciones urgentes para corregir múltiples vulnerabilidades que afectan tanto a la Community Edition como a la Enterprise Edition. Entre estas, destaca una falla crítica de inyección de comandos en la función de revisión de GitLab Duo que permite a atacantes filtrar datos sensibles. Además, se corrigieron fallos que permiten la ejecución de scripts maliciosos y la omisión de controles de acceso, poniendo en riesgo información confidencial y la integridad de los flujos de trabajo. CVE y severidad CVE Vulnerabilidad Tipo Severidad CVSS Base CVE-2025-11224 Cross-site scripting en proxy Kubernetes XSS Alta 7.7 CVE-2025-11865 Falla de autorización…
Vulnerabilidad crítica de inyección SQL en Microsoft SQL Server permite escalada de privilegios
Microsoft publicó actualizaciones de seguridad para corregir una grave vulnerabilidad de inyección SQL (CWE-89) en SQL Server que permite la escalada de privilegios mediante la inyección de comandos T-SQL maliciosos en nombres de bases de datos. Esta falla afecta las versiones 2016, 2017, 2019 y 2022, y puede ser explotada remotamente sin requerir interacción del usuario, comprometiendo la confidencialidad, integridad y disponibilidad del sistema. CVE y severidad CVE ID Tipo de vulnerabilidad CVSS Base Vector de ataque Complejidad del ataque Privilegios requeridos Interacción requerida Severidad Fecha de publicación Versiones afectadas CVE-2025-59499 Inyección SQL (CWE-89) 8.8 (Alta) Red Baja Bajo Ninguna…
Alerta crítica de CISA sobre vulnerabilidades explotadas en dispositivos Cisco ASA y Firepower
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) ha emitido una alerta crítica para agencias federales debido a la explotación activa de vulnerabilidades en dispositivos Cisco Adaptive Security Appliances (ASA) y Firepower Threat Defense (FTD). Estas vulnerabilidades permiten ejecución remota de código y escalamiento de privilegios, afectando la seguridad e integridad de los sistemas federales. Se recomienda la detección inmediata mediante revisión de versiones de software y cumplimiento de directivas de parcheo. CVE y severidad CVE ID Tipo de vulnerabilidad Impacto CVE-2025-20333 Ejecutar código remotamente Permite a atacantes no autenticados ejecutar código arbitrario CVE-2025-20362 Escalamiento de privilegios Permite a…
Actualización de Google Chrome para vulnerabilidad crítica en motor V8
Google ha lanzado la versión 142.0.7444.162/.163 de Chrome para corregir una vulnerabilidad de alta severidad en el motor JavaScript V8. Esta falla permite a atacantes explotar el motor mediante código JavaScript diseñado específicamente y afecta las plataformas Windows, Mac y Linux. La actualización ya se encuentra disponible de forma gradual para usuarios del canal estable. CVE y severidad CVE ID Severidad Componente Tipo de problema Versiones afectadas CVE-2025-13042 Alta Motor V8 Implementación inapropiada Chrome anterior a 142.0.7444.162 Productos afectados Google Chrome en versiones anteriores a la 142.0.7444.162 para Windows, Mac y Linux. Solución Actualizar Google Chrome a la versión 142.0.7444.162…
Campaña de phishing que imita alertas de seguridad para robar credenciales de correo
Se ha detectado una nueva campaña de phishing que simula alertas de seguridad legítimas para engañar a usuarios empresariales y personales, haciéndose pasar por notificaciones internas del mismo dominio de la víctima. El objetivo principal es inducir pánico al advertir sobre “mensajes bloqueados” y persuadir a los destinatarios a hacer clic en enlaces maliciosos que redirigen a portales falsos de inicio de sesión. Estos sitios fraudulentos están prellenados con el correo electrónico real de la víctima para aumentar su credibilidad y robar credenciales mediante scripts ocultos. Solución Implementar filtros avanzados de correo electrónico, educar a los usuarios sobre técnicas de…
Actualización de Patch Tuesday de Microsoft – Noviembre 2025
Microsoft ha emitido su actualización de seguridad mensual correspondiente al mes de noviembre de 2025, abordando un total de 63 vulnerabilidades en múltiples productos. Una de las vulnerabilidades más destacadas es la CVE-2025-62215, clasificada como “importante” pero que ha sido detectada como explotada activamente en entornos reales. Este fallo afecta directamente al kernel de Windows y permite a un atacante local autorizado escalar privilegios de forma efectiva, representando un riesgo considerable para infraestructuras que manejan datos sensibles o sistemas críticos. CVE y severidad: A continuación, se muestra la lista de vulnerabilidades que Microsoft considera con severidad crítica e importante. CVE…
Firefox lanza actualización de seguridad para corregir múltiples vulnerabilidades
Mozilla ha lanzado Firefox en su versión 145, que corrige múltiples vulnerabilidades de alta severidad en los componentes gráficos, JavaScript y DOM, las cuales podrían permitir la ejecución remota de código arbitrario. Entre las fallas destaca un conjunto de errores de seguridad en memoria (CVE-2025-13027) que podrían facilitar la evasión del sandbox y comprometer dispositivos completos. Se recomienda actualizar de inmediato para mitigar riesgos en entornos expuestos a contenido web malicioso. CVE y severidad CVE ID Componente Descripción Severidad CVE-2025-13021 Gráficos: WebGPU Condiciones incorrectas en límites Alta CVE-2025-13022 Gráficos: WebGPU Condiciones incorrectas en límites Alta CVE-2025-13012 Gráficos Condición de carrera…