Informe de Google revela 75 vulnerabilidades de día cero explotadas en 2024
Google Threat Analysis Group (TAG) y Mandiant publicaron un informe detallado que analiza el panorama de las vulnerabilidades de día cero explotadas activamente durante 2024. Según los datos recopilados, se identificaron 75 vulnerabilidades aprovechadas en ataques reales, lo que representa una ligera disminución en comparación con 2023, donde se contabilizaron 98 casos. Un hallazgo clave es que, por primera vez, se observó un cambio importante en los objetivos: en lugar de centrarse mayoritariamente en navegadores web, los atacantes se enfocaron en herramientas de seguridad empresarial, como VPNs, firewalls y software de gestión de dispositivos. Este cambio estratégico refleja la evolución…
Vulnerabilidad crítica en Cisco IOS XE permite explotación remota con privilegios de root mediante JWT
Cisco ha publicado actualizaciones de seguridad para corregir una vulnerabilidad crítica identificada como CVE-2025-20188, con una puntuación de 10.0 en CVSS, que afecta a los Wireless LAN Controllers (WLC) que ejecutan el sistema operativo IOS XE. Esta falla permite a atacantes remotos no autenticados cargar archivos arbitrarios y ejecutar comandos con privilegios de root en los sistemas afectados, mediante el uso de un JWT (JSON Web Token) codificado. Cisco identificó esta vulnerabilidad durante pruebas internas de seguridad realizadas por su equipo de Advanced Security Initiatives Group (ASIG). Hasta el momento, no se ha detectado explotación activa de esta vulnerabilidad en…
Ejecución Remota de Código en Kibana por Vulnerabilidad de Prototype Pollution
Elastic ha emitido una alerta crítica de seguridad para Kibana, su plataforma de visualización de datos, debido a una vulnerabilidad de tipo «prototype pollution» que permite la ejecución remota de código. Esta falla afecta a versiones específicas de Kibana cuando las funciones de Machine Learning y Reporting están habilitadas simultáneamente. Productos y versiones afectadas Solución RECOMENDACIONES Referencias:
Ejecución remota de código en Apache ActiveMQ NMS OpenWire Client
Se ha identificado una vulnerabilidad crítica en Apache ActiveMQ NMS OpenWire Client, un componente de mensajería basado en .NET que permite la comunicación con brokers ActiveMQ mediante el protocolo OpenWire. Esta falla, catalogada como CVE-2025-29953, podría permitir a atacantes remotos ejecutar código arbitrario en sistemas afectados al deserializar datos no confiables enviados desde servidores maliciosos Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Vulnerabilidad en Apache Parquet Java permite ejecución remota de código Linux
Una vulnerabilidad crítica ha sido identificada en Apache Parquet Java, una biblioteca ampliamente utilizada para el almacenamiento y procesamiento de datos en entornos de big data. La falla reside en el módulo parquet-avro y permite la ejecución remota de código (RCE) cuando se procesan esquemas Avro maliciosos incrustados en archivos Parquet. Aunque la versión 1.15.1 introdujo restricciones para paquetes no confiables, la configuración predeterminada aún permite la ejecución de clases desde paquetes preaprobados, como java.util. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Vulnerabilidad crítica de inyección SQL en ADOdb
Una vulnerabilidad crítica ha sido identificada en ADOdb, una biblioteca de abstracción de bases de datos para PHP ampliamente utilizada, con más de 2.8 millones de descargas en Packagist. Esta falla afecta específicamente al método pg_insert_id() en el controlador de PostgreSQL, permitiendo a atacantes ejecutar comandos SQL arbitrarios mediante la inyección de entradas maliciosas no validadas. La explotación exitosa de esta vulnerabilidad podría resultar en la divulgación de información sensible, manipulación de datos o incluso ejecución remota de código, dependiendo de los permisos de la base de datos y las integraciones del sistema. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Actualización de Chrome 136 Corrige Vulnerabilidad Crítica de Desbordamiento de Búfer
Google ha lanzado la versión 136 de su navegador Chrome para Windows, macOS y Linux, abordando varias vulnerabilidades de seguridad, incluyendo una crítica identificada como CVE-2025-4096. Esta actualización también corrige otras vulnerabilidades de severidad media y baja en las herramientas de desarrollo (DevTools). Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Vulnerabilidad crítica en Zimbra permite ejecución no autorizada vía CSRF en GraphQL
Se ha identificado una vulnerabilidad crítica en Zimbra Collaboration Suite (ZCS), una plataforma de correo electrónico empresarial utilizada por más de 200,000 organizaciones en todo el mundo. La falla reside en el endpoint GraphQL, el cual es vulnerable a ataques de tipo Cross-Site Request Forgery (CSRF), permite a atacantes ejecutar operaciones no autorizadas, como modificar contactos, cambiar configuraciones de cuenta y acceder a datos sensibles. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Actualización de seguridad para Apache Tomcat
Apache Tomcat, reconocido como uno de los servidores web de aplicaciones más utilizados a nivel mundial, ha lanzado una actualización de seguridad crítica destinada a corregir dos vulnerabilidades que fueron descubiertas recientemente. Estas fallas podrían permitir a atacantes causar una denegación de servicio (DoS) o eludir reglas de reescritura de solicitudes configuradas en los servidores. Ambas vulnerabilidades afectan principalmente a las versiones más recientes de Tomcat y representan riesgos importantes para la estabilidad y la seguridad de los entornos afectados. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Vulnerabilidades críticas en plugins de WordPress
Se detectó una vulnerabilidad crítica en el plugin Service Finder Bookings para WordPress, utilizado en sitios con el tema «Service Finder – Directory and Job Board», que permite a atacantes no autenticados escalar privilegios y obtener acceso administrativo. Por otro lado, Vikinger, un tema premium desarrollado por Odin_Design, facilita la creación de comunidades sociales y gamificadas mediante la integración con BuddyPress y GamiPress, destacándose por ofrecer experiencias de usuario interactivas y personalizadas dentro del ecosistema WordPress. Productos y versiones afectadas: Producto Versiones afectadas Solución Plugin Service Finder Bookings Versiones hasta la 5.1 inclusive. Requiere que el plugin Nextend Social Login…