Vulnerabilidad crítica zero-day en dispositivos Cisco Secure Email Gateway y Web Manager explotada en entornos reales
Se ha detectado una vulnerabilidad crítica zero-day, identificada como CVE-2025-20393, en dispositivos Cisco Secure Email Gateway y Cisco Secure Email and Web Manager, que están siendo activamente explotados en entornos reales. Esta falla afecta a la infraestructura de seguridad del correo electrónico, permitiendo potenciales compromisos sin que exista actualmente un parche disponible, lo que pone en riesgo la confidencialidad, integridad y disponibilidad de las comunicaciones corporativas. CVE y severidad CVESeveridadComponentes afectadosEstado de explotaciónCVE-2025-20393CríticaCisco Secure Email Gateway, Cisco Secure Email and Web ManagerExplotación activa sin parche disponible Productos afectados Versión vulnerablePrimera versión corregida14.2 y anteriores15.0.5-01615.015.0.5-01615.515.5.4-01216.016.0.4-016 Versiones corregidas de Cisco Secure Email…
Vulnerabilidad crítica en Desktop Window Manager de Windows permite escalada de privilegios
Desktop Window Manager (DWM) es un componente central de Windows encargado de componer y renderizar la interfaz gráfica del escritorio. DWM toma las ventanas de todas las aplicaciones (cada una renderizada en memoria) y las combina (“compone”) en una sola imagen final, usando aceleración por GPU. Gracias a esto, Windows puede ofrecer: Transparencias y efectos visuales Animaciones suaves (minimizar, maximizar, cambiar entre ventanas) Sombras y bordes modernos Mejor rendimiento gráfico general Microsoft ha confirmado una vulnerabilidad crítica de acceso fuera de límites en Desktop Window Manager (DWM), que permite a atacantes locales elevar privilegios a nivel SYSTEM en sistemas Windows…
Vulnerabilidad crítica en productos Fortinet con omisión de autenticación SSO via SAML
El 16 de diciembre de 2025, CISA añadió oficialmente la vulnerabilidad CVE-2025-59718 a su catálogo de Vulnerabilidades Conocidas y Explotadas (KEV), estableciendo como fecha límite el 23 de diciembre de 2025 para la aplicación de correcciones. Esta vulnerabilidad permite a atacantes no autenticados eludir la autenticación SSO mediante mensajes SAML manipulados en productos Fortinet, comprometiendo la integridad de redes empresariales sin necesidad de credenciales válidas. CVE y severidad CVE Clasificación CWE Tipo de vulnerabilidad Vector de ataque Estado de explotación Severidad CVE-2025-59718 CWE-347 (Verificación incorrecta de firma criptográfica) Evasión de autenticación vía SAML No autenticado, basado en red Explotación activa…
Explotación crítica de vulnerabilidad en Fortinet FortiWeb permite control administrativo completo
Desde octubre de 2025, actores maliciosos han explotado activamente una vulnerabilidad crítica de traversal de rutas en el firewall de aplicación web FortiWeb de Fortinet, permitiendo a atacantes no autenticados crear cuentas administrativas falsas y obtener control total sobre dispositivos expuestos. La explotación se basa en una cadena combinada de bypass de autenticación y traversal que da acceso a scripts CGI sensibles, afectando la confidencialidad, integridad y disponibilidad del sistema. CVE y severidad CVE Puntaje CVSS v3.1 Severidad Alcance Estado de explotación CVE-2025-64446 9.1 (Crítica) Crítica FortiWeb: traversal de rutas y bypass en CGI fwbcgi Explotada activamente en entornos reales…
Vulnerabilidades críticas de deserialización en framework Merlin de NVIDIA
Investigadores de NVIDIA han detectado dos vulnerabilidades graves de deserialización en componentes del framework Merlin para Linux, que podrían permitir la ejecución remota de código arbitrario y ataques de denegación de servicio. Afectan los módulos Workflow de NVTabular y Trainer de Transformers4Rec, con vectores de ataque que requieren bajo nivel de complejidad y mínima interacción de usuario, poniendo en riesgo entornos empresariales. Se recomienda la aplicación inmediata de los parches publicados para mitigar los impactos críticos en confidencialidad, integridad y disponibilidad. CVE y severidad CVE ID Descripción CVSS Base Score CWE Métrica Vectorial CVE-2025-33214 Vulnerabilidad de deserialización en componente Workflow…
Vulnerabilidad crítica en pgAdmin 4 permite ejecución remota de comandos shell
Se ha descubierto una vulnerabilidad crítica en pgAdmin 4, una herramienta popular de gestión de bases de datos PostgreSQL de código abierto. Identificada como CVE-2025-13780, esta falla permite a atacantes evadir filtros de seguridad y ejecutar comandos shell arbitrarios en el servidor que hospeda la aplicación. La vulnerabilidad afecta la función de restauración en texto plano y se explota mediante la carga de archivos SQL maliciosos con comandos ocultos que el filtro basado en expresiones regulares no bloquea correctamente. CVE y severidad CVE Tipo de Vulnerabilidad Puntaje CVSS Componente afectado Severidad CVE-2025-13780 Ejecución remota de código (RCE) 9.9 Función de…
Actualización crítica Wireshark 4.6.2 corrige vulnerabilidades de denegación de servicio y mejora compatibilidad
Wireshark 4.6.2, la última versión del conocido analizador de protocolos de red de código abierto, corrige vulnerabilidades críticas que causaban fallos y problemas de compatibilidad con plugins. La actualización remedia dos vulnerabilidades de denegación de servicio en los dissectores HTTP3 (CVE-2025-13945) y MEGACO (CVE-2025-13946), que pueden ser explotadas remotamente mediante paquetes malformados, afectando la estabilidad y el rendimiento del sistema durante el análisis de tráfico cifrado. CVE y severidad CVE ID Descripción Versiones afectadas CVSS v3.1 Referencias CVE-2025-13945 Fallo del dissector HTTP3 durante la descifrada 4.6.0 – 4.6.1, 4.4.0 – 4.4.11 5.5 (Medio) wnpa-sec-2025-07 CVE-2025-13946 Bucle infinito en el dissector…
Vulnerabilidad en el actualizador de Notepad++ permite instalación de malware mediante suplantación
El editor de texto Notepad++ corrigió una grave vulnerabilidad en su mecanismo de actualización que permitía a atacantes interceptar el tráfico de red y sustituir actualizaciones legítimas por ejecutables maliciosos. Esta falla afectaba al actualizador integrado WinGUp, que en ciertos casos descargaba instaladores comprometidos tras redireccionar las solicitudes a servidores maliciosos. La debilidad radicaba en la insuficiente validación de la integridad y autenticidad de los archivos descargados, exponiendo a los usuarios a ataques tipo man-in-the-middle y comprometiendo la cadena de suministro. Productos afectados Fabricante Producto Componente Versiones afectadas Notepad++ Community Notepad++ WinGUp (actualizador integrado) Previas a la 8.8.7 Solución Actualizar…
Actualización crítica de GitLab corrige múltiples vulnerabilidades de alta severidad
El 10 de diciembre de 2025, GitLab lanzó parches críticos para corregir diez vulnerabilidades significativas que afectan sus ediciones Community y Enterprise. Entre los problemas se incluyen cuatro fallos de alta severidad relacionados con ataques de cross-site scripting (XSS) y codificación incorrecta, permitiendo acciones no autorizadas por parte de usuarios malintencionados. Esta actualización es esencial para mitigar riesgos que comprometen la confidencialidad, integridad y disponibilidad del servicio. CVE y severidad CVE Tipo de vulnerabilidad CVSS Severidad CVE-2025-12716 Cross-site Scripting (XSS) 8.7 Alta CVE-2025-8405 Codificación incorrecta / Inyección HTML 8.7 Alta CVE-2025-12029 Cross-site Scripting (XSS) 8.0 Alta CVE-2025-12562 Denegación de Servicio…
Vulnerabilidad crítica de DoS en Jenkins mediante CLI HTTP no autenticada
Jenkins ha publicado parches que corrigen una vulnerabilidad de alta severidad que permite ataques de denegación de servicio (DoS) no autenticados mediante la interfaz de línea de comandos HTTP. Esta falla afecta a versiones 2.540 y anteriores (LTS 2.528.2 y anteriores) y permite que atacantes remotos exploten la gestión inadecuada de conexiones para agotar los recursos del servidor, provocando indisponibilidad sin necesidad de credenciales. CVE y severidad CVE Tipo de vulnerabilidad Severidad CVSS Base Score Vector CVSS Vector de ataque CVE-2025-67635 Denegación de servicio (DoS) vía CLI HTTP Alta Alta AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Red (CLI HTTP) Productos afectados Jenkins en versiones…