Cisco lanza actualización que corrige tres vulnerabilidades críticas en ISE e ISE‑PIC
Cisco ha publicado un parche para corregir tres vulnerabilidades remotas de ejecución de código (RCE) sin autenticación en Identity Services Engine (ISE) y ISE Passive Identity Connector (ISE‑PIC), todas con una puntuación máxima de CVSS (10.0), lo que las convierte en errores de riesgo crítico que permiten a un atacante obtener privilegios de root en los sistemas afectados. Las vulnerabilidades identificadas son: Productos afectados: Solución y mitigación: Versiones con las correcciones publicadas: Recomendaciones: Referencias:
Vulnerabilidades Críticas en Trend Micro Apex One
Trend Micro ha reportado dos vulnerabilidades críticas en la consola de administración de su solución de seguridad para endpoints, Trend Micro Apex One (versión on-premise). Estas fallas, identificadas como CVE-2025-54948 y CVE-2025-54987, han sido explotadas activamente en entornos reales. Ambas vulnerabilidades corresponden a fallos de inyección de comandos del sistema operativo, que podrían permitir a un atacante remoto y no autenticado cargar código malicioso y ejecutar comandos arbitrarios en los sistemas afectados. Aunque son esencialmente la misma vulnerabilidad, impactan a diferentes arquitecturas de CPU. La explotación exitosa de estas fallas representa un riesgo severo para la confidencialidad, integridad y disponibilidad…
Fallos en NVIDIA Triton permiten a atacantes no autenticados ejecutar código y secuestrar servidores de IA
Se han identificado y corregido múltiples vulnerabilidades críticas en NVIDIA Triton Inference Server, una plataforma de código abierto ampliamente utilizada para ejecutar modelos de inteligencia artificial (IA). Estas fallas, si se explotan en cadena, podrían permitir a atacantes remotos no autenticados tomar el control total del servidor, comprometiendo modelos de IA, datos sensibles y la integridad del sistema. Vulnerabilidades identificadas: Las vulnerabilidades identificadas en el backend de Python de Triton permiten a un atacante remoto sin autenticación ejecutar código arbitrario en el servidor. La cadena de explotación se detalla a continuación: Productos y Versiones afectadas: Producto Plataformas afectadas Versiones vulnerables Versión…
SonicWall SMA 100 Series: falla crítica de carga de archivos arbitrarios
SonicWall es un proveedor de soluciones de acceso seguro remoto empresarial, con appliances de Secure Mobile Access (SMA) 100 Series ampliamente utilizadas. Se ha detectado una vulnerabilidad crítica en la interfaz de gestión web de estos dispositivos, que podría ser explotada para desplegar malware sofisticado como OVERSTEP en campañas recientes de actores como UNC6148. PRODUCTOS AFECTADOSLos siguientes productos y versiones están afectados por esta vulnerabilidad: SOLUCIÓNSonicWall ha lanzado la siguiente versión que contiene la corrección correspondiente: RECOMENDACIONES REFERENCIAS • https://www.bleepingcomputer.com/news/security/surge-of-akira-ransomware-attacks-hits-sonicwall-firewall-devices/• https://securityaffairs.com/180328/security/sonicwall-fixed-critical-flaw-in-sma-100-devices-exploited-in-overstep-malware-attacks.html• https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-40599• https://www.sonicwall.com/support/notices/product-notice-sma100-post-authentication-arbitrary-file-upload-vulnerability/250721070018363• https://socradar.io/critical-sonicwall-sma-vulnerability-cve-2025-40599• https://www.helpnetsecurity.com/2025/07/24/sonicwall-fixes-critical-flaw-sma-appliances-urges-customers-to-check-for-compromise-cve-2025-40599• https://nvd.nist.gov/vuln/detail/CVE-2025-40599• https://secalerts.co/vulnerability/CVE-2025-40599
Falla crítica en el tema Alone de WordPress
El tema Alone – Charity Multipurpose Non-profit para WordPress, diseñado para organizaciones sin fines de lucro y desarrollado por Bearsthemes, contiene una vulnerabilidad crítica que permite a atacantes remotos tomar el control total de sitios web vulnerables. La vulnerabilidad, identificada como CVE-2025-5394, fue descubierta por el investigador de seguridad Thái An y reportada por Wordfence. La falla ha sido explotada activamente desde el 12 de julio de 2025, dos días antes de su divulgación pública, lo que evidencia vigilancia activa de actores maliciosos sobre actualizaciones de seguridad. PRODUCTOS AFECTADOSLos siguientes productos y versiones están afectados por esta vulnerabilidad: SOLUCIÓNBearsthemes ha…
Vulnerabilidades en plugins de WordPress
Se han identificado cuatro vulnerabilidades críticas en plugins de WordPress ampliamente utilizados. Estas fallas permiten a actores maliciosos realizar escalamiento de privilegios, evasión de autenticación, carga de archivos arbitrarios y ejecución de scripts maliciosos (XSS persistente), comprometiendo la integridad de los sitios afectados. Productos y versiones afectadas: Plugin Versión Vulnerable Tipo de Vulnerabilidad Requiere Autenticación Service Finder Bookings ≤ 6.0 Bypass de autenticación ❌ Service Finder SMS System ≤ 2.0.0 Escalamiento de privilegios ❌ BerqWP SearchPro ≤ 2.2.42 Carga de archivos arbitrarios ❌ Contest Gallery ≤ 26.1.0 XSS almacenado ❌ Solución Plugin Acción recomendada Service Finder Bookings Verificar si existe…
Carga arbitraria de archivos en el plugin AI Engine de WordPress
AI Engine es un plugin popular para WordPress, con más de 100 000 instalaciones activas, que permite a los usuarios interactuar con modelos de inteligencia artificial a través de la API REST. A mediados de julio de 2025 se reportó una grave vulnerabilidad en este plugin que permite la carga de archivos arbitrarios cuando la REST API está habilitada. PRODUCTOS AFECTADOS SOLUCIÓN RECOMENDACIONES Referencias
GitLab CE/EE expuesto a múltiples vulnerabilidades XSS
GitLab ha lanzado actualizaciones de seguridad críticas para sus ediciones Community (CE) y Enterprise (EE), abordando múltiples vulnerabilidades que incluyen fallos de cross-site scripting (XSS) de alta severidad y exposiciones indebidas de datos internos. Las versiones parcheadas—18.2.1, 18.1.3 y 18.0.5—corrigen vulnerabilidades que podrían comprometer la confidencialidad, integridad o disponibilidad de los entornos afectados. Vulnerabilidades identificadas: Productos y Versiones afectadas GitLab CE/EE: GitLab EE (solo CVE-2025-4976): Solución Actualizar a una de las siguientes versiones corregidas: 18.2.1, 18.1.3 y 18.0.5 Recomendaciones Referencias
Actualización Crítica de Google Chrome
Google ha publicado una actualización crítica de seguridad para su navegador Chrome, dirigida a resolver múltiples vulnerabilidades, dos de ellas clasificadas como de alta severidad. Las fallas afectan directamente al motor JavaScript V8, núcleo del procesamiento de código dinámico en navegadores basados en Chromium, y pueden ser explotadas para lograr ejecución remota de código. Debido al riesgo de ataques dirigidos mediante sitios web maliciosos, se recomienda la actualización inmediata del navegador en todos los sistemas operativos soportados. Vulnerabilidades identificadas: El riesgo asociado es elevado: basta con que el usuario acceda a un sitio web controlado por un atacante para que…
Actualización Crítica en Mozilla Firefox 141
Mozilla ha lanzado la versión 141 de Firefox, que incluye importantes mejoras funcionales y la corrección de 17 vulnerabilidades de seguridad, algunas de ellas críticas y potencialmente explotables para ejecutar código malicioso. Se recomienda actualizar de inmediato. Firefox 141 corrige múltiples fallas en el motor de JavaScript, la implementación de WebAssembly, y mecanismos de seguridad del navegador. Las vulnerabilidades más graves: También se corrigen fallos en políticas de seguridad del contenido (CSP) y protección CORS, como CVE-2025-8036, que permitía evadir políticas de origen cruzado mediante ataques de DNS rebinding. Además, varias fallas de corrupción de memoria, como CVE-2025-8044 y CVE-2025-8035,…