Noticias de Seguridad

Apache Fineract es una plataforma de software de código abierto utilizada principalmente para la gestión financiera en instituciones de microfinanzas. En las versiones de Apache Fineract 1.4 a 1.9, se ha identificado una vulnerabilidad de inyección SQL que afecta a varios puntos finales de su API. Esta vulnerabilidad permite a los atacantes autenticados inyectar comandos maliciosos a través de parámetros de consulta en las APIs de oficinas y otros servicios. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:

NVIDIA ha identificado una vulnerabilidad crítica en NVIDIA Container Toolkit y NVIDIA GPU Operator. Esta falla permite a atacantes evadir las protecciones de aislamiento de contenedores y acceder al sistema host subyacente, lo que podría resultar en la toma total del servidor. Productos, versiones afectadas y solución: Producto Afectado Versión afectada Solución NVIDIA Container Toolkit Versiones anteriores a la 1.17.4 Actualizar a la versión 1.17.4 o superior NVIDIA GPU Operator Versiones anteriores a la 24.9.2 Actualizar a la versión 24.9.2 o superior Recomendaciones: Referencias:

Ivanti ha publicado parches de seguridad para Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Ivanti Secure Access Client (ISAC) y Ivanti Cloud Services Application (CSA), abordando vulnerabilidades de gravedad crítica, alta y media. Estas fallas afectan a productos clave en gestión de acceso remoto, políticas de red y servicios en la nube, exponiendo riesgos como ejecución remota de código, filtración de datos y escalada de privilegios. CVE Producto Afectado Versión Afectada Solución CVE-2024-38657 Connect Secure Versiones anteriores a la 22.R72.4. Actualizar ICS a la versión 22.R72.6 o superior. Actualizar IPS a la versión 22.R71.3 o superior. Actualizar ISAC a…

GitLab es una plataforma de desarrollo de software utilizada para la gestión del ciclo de vida de aplicaciones, facilitando la colaboración en proyectos de código. Recientemente, se ha descubierto una vulnerabilidad en uno de sus componentes, lo que podría comprometer la seguridad de los usuarios. Esta vulnerabilidad permite ataques de tipo Cross-Site Scripting (XSS) al cargar archivos Jupyter notebook (.ipynb) en el IDE web de GitLab. Productos y versiones afectadas: Solución: Recomendaciones Referencias:

Los siguientes plugins de WordPress han sido identificados con vulnerabilidades críticas que pueden comprometer la seguridad de los sitios web que los utilizan. Se recomienda a los administradores de WordPress evaluar el impacto de estas fallas y tomar medidas inmediatas para mitigar los riesgos. Productos y versiones afectadas: Directorybox Manager plugin: OneStore Sites plugin: Starter Templates de FancyWP: Munk Sites plugin: Solución: Recomendaciones: Referencias:

Kaspersky ha corregido una vulnerabilidad de seguridad en varios de sus productos, incluyendo Kaspersky Anti-Virus SDK para Windows, Kaspersky Security for Virtualization Light Agent, Kaspersky Endpoint Security for Windows, entre otros. La vulnerabilidad permitía a un atacante autenticado escribir datos en un área limitada fuera del búfer de memoria del kernel asignado. La corrección se implementó automáticamente para todos los productos de Kaspersky Endpoint. Productos y versiones afectadas Kaspersky Anti-Virus SDK for Windows: Kaspersky Security for Virtualization Light Agent: Kaspersky Security Components Installation Wizard Solución Kaspersky Anti-Virus SDK for Windows: Kaspersky Security for Virtualization Light Agent: Kaspersky Security Components Installation…

El plugin WP All Export Pro para WordPress, utilizado por más de 200,000 sitios para exportar datos personalizados, presenta una vulnerabilidad que permite a atacantes remotos ejecutar código arbitrario en el servidor. Productos y versiones afectadas Solución Recomendaciones Referencias:

Apache Cassandra, un sistema de gestión de bases de datos distribuido y altamente escalable, ha sido afectado por varias vulnerabilidades de seguridad que pueden comprometer la integridad y disponibilidad de los datos almacenados. CVE-2025-24860 (CVSS: N/A):  Una vulnerabilidad de autorización incorrecta en Apache Cassandra permite a los usuarios acceder a centros de datos o grupos de IP/CIDR a los que no deberían tener acceso cuando se utiliza CassandraNetworkAuthorizer o CassandraCIDRAuthorizer. Los usuarios con acceso restringido a centros de datos pueden actualizar sus propios permisos mediante declaraciones de lenguaje de control de datos (DCL) en las versiones afectadas. CVE-2025-23015 (CVSS: 8.8): Un…

Se han identificado vulnerabilidades críticas en dos populares plugins de WordPress. Estas fallas permiten a atacantes eludir mecanismos de autenticación y ejecutar scripts maliciosos. CVE Producto Afectado Versión Afectada Solución CVE-2025-1061 Nextend Social Login Pro plugin Versiones anteriores a la 3.1.17 Actualizar a la versión 3.1.17 o superior CVE-2024-13403 WPForms Lite Versiones anteriores a la 1.9.3.2 Actualizar a la versión 1.9.3.2 o superior Recomendaciones: Referencias: