Vulnerabilidades críticas en dispositivos Aruba Instant On de HPE expuestas
Hewlett Packard Enterprise (HPE) ha revelado cuatro vulnerabilidades de alta severidad en sus dispositivos Aruba Networking Instant On que permiten la divulgación de información sensible y la interrupción del servicio. Las fallas afectan dispositivos con firmware versión 3.3.1.0 y anteriores, siendo explotables vía red sin necesidad de autenticación en la mayoría de los casos, lo que incrementa el riesgo para infraestructuras conectadas. CVE y severidad CVE IDDescripciónSeveridadCVSS v3.1Vector de ataqueCVE-2025-37165Exposición de información VLAN en modo routerAlta7.5Red, sin autenticaciónCVE-2025-37166Denegación de servicio mediante paquetes maliciosos causando apagado del dispositivoAlta7.5Red, sin autenticaciónCVE-2023-52340Corrupción de memoria en procesamiento de paquetes a nivel kernelAlta7.5Red, sin autenticaciónCVE-2022-48839Vulnerabilidad…
Vulnerabilidad crítica de denegación de servicio en PAN-OS de Palo Alto Networks
Palo Alto Networks ha corregido una vulnerabilidad crítica de denegación de servicio en su software de firewall PAN-OS, registrada como CVE-2026-0227, que permite a atacantes no autenticados interrumpir los gateways y portales GlobalProtect. Esta falla, con una puntuación CVSS v4.0 base de 7.7 (Alta severidad), se debe a controles incorrectos de condiciones excepcionales que provocan que los firewalls entren en modo mantenimiento tras múltiples intentos de explotación. CVE y severidad La vulnerabilidad CVE-2026-0227 afecta al componente PAN-OS enfocado en la gestión de gateways y portales GlobalProtect. Su explotación es posible a través de la red con baja complejidad, sin privilegios…
Elastic Patch Múltiples Vulnerabilidades
Elastic ha publicado actualizaciones de seguridad críticas para Kibana, corrigiendo múltiples vulnerabilidades que podrían permitir ataques como Server-Side Request Forgery (SSRF) y Cross-Site Scripting (XSS). Estas fallas afectan varias versiones y requieren actualización inmediata para evitar exposición de información y posibles compromisos del sistema. Vulnerabilidades Detalladas CVE ID Severidad Componente Descripción Solución CVE-2025-37734 Media (CVSS 4.3) Observability AI Assistant Permite manipular cabeceras HTTP Origin para realizar solicitudes a recursos internos o externos. Actualizar a 8.19.7, 9.1.7 o 9.2.1 CVE-2025-59840 Alta (CVSS 8.7) Motor Vega Inyección de JavaScript malicioso mediante visualizaciones Vega. Actualizar a versiones corregidas o deshabilitar Vega temporalmente. CVE-2026-0628…
Ejecución remota de comandos no autenticada en FortiSIEM
Fortinet ha identificado una vulnerabilidad crítica en su plataforma FortiSIEM que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios mediante solicitudes TCP especialmente diseñadas. Esta falla, catalogada como una inadecuada neutralización de elementos especiales utilizados en comandos del sistema operativo (Command Injection), permite la ejecución de código con privilegios elevados en los nodos afectados. Severidad Crítica – CVSS 9.4Una vulnerabilidad de inyección de comandos del sistema operativo en FortiSIEM puede ser explotada por un atacante remoto no autenticado para ejecutar código o comandos arbitrarios. El fallo se encuentra presente en los nodos Super y Worker de FortiSIEM, mientras que…
Actualización de Patch Tuesday de Microsoft Enero 2026
Microsoft corrigió 114 vulnerabilidades, destacando varias críticas relacionadas con la ejecución remota de código en aplicaciones Office y servicios Windows como LSASS. Entre estas se identifican 12 CVEs de severidad crítica y más de 90 importantes, principalmente fallos de elevación de privilegios en controladores del kernel y servicios de administración. Tres zero-days presentan una alta probabilidad de explotación y afectan componentes como Desktop Windows Manager y manejo de medios digitales. CVE y severidad CVE ID Componente afectado Resumen Severidad Probabilidad de explotación CVE-2026-20805 Desktop Windows Manager Divulgación de información Alta Menos probable CVE-2026-21265 Windows Digital Media Elevación de…
Google Chrome – Fallas en motor V8 permiten divulgación de información y posible compromiso del sistema
Google ha lanzado oficialmente Chrome 144 para Windows, Mac y Linux, corrigiendo diez vulnerabilidades de seguridad, con un enfoque principal en el motor JavaScript V8. Entre estas, destaca una falla crítica de acceso a memoria fuera de límites (CVE-2026-0899) que podría permitir divulgación de información o compromiso del sistema. La actualización se desplegará progresivamente y aborda defectos en múltiples componentes del navegador. CVE y severidad CVE ID Severidad Componente Tipo de vulnerabilidad CVE-2026-0899 Alta V8 Acceso a memoria fuera de límites CVE-2026-0900 Alta V8 Implementación inapropiada CVE-2026-0901 Alta Blink Implementación inapropiada CVE-2026-0902 Media V8 Implementación inapropiada CVE-2026-0903 Media Descargas Validación…
Vulnerabilidad crítica en FortiOS y FortiSwitchManager permite ejecución remota de código
Fortinet ha revelado una vulnerabilidad crítica de desbordamiento de búfer en el heap (CWE-122) en el demonio cw_acd de FortiOS y FortiSwitchManager. Esta falla permite a un atacante remoto sin autenticación ejecutar código o comandos arbitrarios mediante solicitudes especialmente diseñadas, afectando firewalls, soluciones SASE y herramientas de gestión de switches con interfaces fabric expuestas. Productos afectados Fabricante Producto Versiones afectadas Solución Fortinet FortiOS 7.67.6.0 hasta 7.6.3 Actualizar a 7.6.4 o superior Fortinet FortiOS 7.47.4.0 hasta 7.4.8 Actualizar a 7.4.9 o superior Fortinet FortiOS 7.27.2.0 hasta 7.2.11 Actualizar a 7.2.12 o superior Fortinet FortiOS 7.07.0.0 hasta 7.0.17 Actualizar a 7.0.18 o…
Riesgo de seguridad en n8n por paquete NPM malicioso
Investigadores han identificado un ataque dirigido al ecosistema de nodos comunitarios de n8n mediante un paquete npm malicioso disfrazado como una integración legítima para Google Ads. Esta vulnerabilidad crítica afecta la gestión de credenciales OAuth en plataformas de automatización de flujos de trabajo, permitiendo el robo sigiloso de tokens y claves API durante la ejecución. El ataque aprovecha la elevada confianza otorgada a nodos comunitarios, los cuales operan con amplios privilegios en el sistema. El paquete n8n-nodes-hfgjf-irtuinvcm-lasdqewriit fue publicado en el repositorio NPM utilizando un nombre similar a los nodos legítimos de la comunidad de n8n, aprovechando la confianza en…
Campañas masivas de ataques SSRF y reconocimiento contra despliegues de modelos de lenguaje AI
Investigadores en seguridad han identificado más de 91,000 sesiones de ataque dirigidas a infraestructuras de inteligencia artificial entre octubre de 2025 y enero de 2026, revelando campañas sistemáticas contra despliegues de modelos de lenguaje largo. Los ataques explotan vulnerabilidades de Server-Side Request Forgery (SSRF) para inducir conexiones salientes hacia infraestructura controlada por atacantes, afectando funcionalidades críticas como la descarga de modelos y webhooks SMS. Estas acciones permiten reconocimiento detallado y potencial explotación de API comerciales, con múltiples direcciones IP de origen en una operación que sugiere uso de herramientas automatizadas comunes. CVE y severidad CVE Detalles Referencias CVE-2025-55182 Vulnerabilidad explotada…
Fallas en servicios DNS causan reinicios en switches Cisco Small Business
El 8 de enero de 2026, switches Cisco Small Business experimentaron fallas masivas por errores fatales en el servicio cliente DNS, causando reinicios continuos y afectando la operación de dispositivos como CBS250, C1200, CBS350, SG350 y SG550X. El problema estuvo relacionado con fallos en la resolución de DNS hacia dominios como www.cisco.com y servidores NTP públicos, generando dumps y reinicios automáticos. Las versiones de firmware 4.1.7.17, 4.1.3.36, y 4.1.7.24 están implicadas. Productos afectados Modelo / Serie Versiones afectadas Códigos de fecha CBS250 / C1200 4.1.7.17, 4.1.3.36 May 2025, May 2024 CBS350 4.1.7.24, 3.5.3.2 Aug 2025, Desconocido SG550X Varias recientes No…