Actualización de seguridad de Chrome 142
Google Chrome, el popular navegador web desarrollado por Google LLC, ampliamente utilizado en entornos de escritorio y portátiles bajo sistemas operativos Windows, macOS y Linux. Dada su relevancia, cualquier vulnerabilidad que permita la ejecución de código malicioso representa un riesgo elevado para usuarios finales y organizaciones. A continuación se detallan dos de las vulnerabilidades más destacadas incluidas en esta versión de actualización (aunque en total se corrigen 20 fallos). Productos afectados CVEProductos afectadasSoluciónCVE‑2025‑12428Google Chrome versiones anteriores a 142.0.7444.59 (Linux/Windows) y 142.0.7444.60 (macOS).Actualizar a Chrome v142.0.7444.59 / v142.0.7444.60 o superior.CVE‑2025‑12429Google Chrome versiones anteriores al mismo rango (parte del lote de 20…
Vulnerabilidad crítica en Blink afecta navegadores Chromium
El investigador de seguridad Jofpin ha revelado «Brash», una falla crítica en el motor de renderizado Blink de Google que permite a atacantes causar caídas instantáneas en navegadores basados en Chromium. Esta vulnerabilidad explota la ausencia de límites a la tasa de actualizaciones en la API document.title, generando una sobrecarga en el hilo principal del navegador y provocando denegación de servicio sin requerir privilegios o herramientas sofisticadas, impactando a miles de millones de usuarios en múltiples plataformas. Productos afectados Fabricante Producto Componente Versiones afectadas Plataformas/SO Google / Microsoft / Opera / Brave Software / Vivaldi Chrome, Edge, Opera, Brave, Vivaldi,…
Vulnerabilidad crítica en el driver Windows Cloud Files Minifilter permite escalada de privilegios
Microsoft ha corregido una vulnerabilidad crítica de condición de carrera en el driver Windows Cloud Files Minifilter (CVE-2025-55680), que permite a atacantes locales escalar privilegios y crear archivos arbitrarios en el sistema. La falla, descubierta en marzo de 2024 por Exodus Intelligence y resuelta en las actualizaciones Patch Tuesday de octubre 2025, tiene un puntaje CVSS de 7.8 debido a la posibilidad de ejecución de código con privilegios SYSTEM por carga lateral de DLLs. Se recomienda detectar operaciones anómalas en directorios de sincronización cloud como indicio. CVE y severidad CVE CVSS Base Severidad Componente afectado CVE-2025-55680 7.8 Alta Driver Windows…
Vulnerabilidad de escalada de privilegios en servidores SMB de Windows vía SPNs fantasma y reflexión Kerberos
Se ha identificado una vulnerabilidad sofisticada de escalada de privilegios en servidores SMB de Windows, basada en la explotación de Service Principal Names (SPNs) fantasma y la reflexión de autenticación Kerberos, que permite acceso remoto a nivel SYSTEM. Catalogada como CVE-2025-58726 por Microsoft, afecta a todas las versiones de Windows que no implementan la firma obligatoria de SMB. El ataque requiere acceso al dominio con permisos mínimos y aprovecha configuraciones predeterminadas de Active Directory y registros DNS permisivos, facilitando la elevación hasta el control total del dominio. CVE y severidad CVE Descripción Severidad Componentes afectados CVE-2025-58726 Falla de elevación de…
Vulnerabilidad XSS crítica en el plugin LiteSpeed Cache para WordPress
Se ha descubierto una vulnerabilidad de seguridad en el popular plugin LiteSpeed Cache para WordPress, utilizado por más de 7 millones de sitios web en todo el mundo. Este complemento, ampliamente usado para mejorar la velocidad y el rendimiento de los sitios al almacenar temporalmente (en caché) el contenido y acelerar la carga de las páginas, presenta una falla que permite a los atacantes inyectar código malicioso mediante enlaces manipulados. El problema, identificado como CVE-2025-12450, se debe a una falta de validación y escape adecuado de datos en la gestión de URLs, lo que abre la posibilidad de ejecutar ataques…
Interrupción por fallo DNS afecta Microsoft Azure y Microsoft 365 a nivel mundial
El 29 de octubre de 2025, Microsoft reportó una interrupción vinculada a problemas en la resolución DNS que afectó el acceso a servicios clave como Microsoft Azure y Microsoft 365. El fallo, originado por problemas de conectividad en infraestructura interna, impidió el acceso al centro de administración y causó lentitud en aplicaciones esenciales como Outlook, Teams y SharePoint, afectando la operatividad de usuarios y empresas globales. Productos afectados Fabricante Producto Componente Microsoft Microsoft 365 Centro de administración, aplicaciones principales (Outlook, Teams, SharePoint) Microsoft Microsoft Azure Máquinas virtuales, servicios de almacenamiento Solución Microsoft realizó redireccionamiento del tráfico afectado a infraestructura alternativa…
Hikvision — vulnerabilidad crítica de ejecución remota en cámaras IP
La herramienta de código abierto HikvisionExploiter automatiza ataques a cámaras IP Hikvision vulnerables con firmware desactualizado, explotando especialmente la falla CVE-2021-36260 que permite ejecución remota de comandos sin autenticación. El exploit afecta múltiples modelos populares con versiones anteriores a V5.5.0, comprometiendo la confidencialidad y disponibilidad al permitir el robo de credenciales, imágenes en vivo y la ejecución remota de código malicioso. La detección incluye pruebas automatizadas del endpoint /onvif-http/snapshot sin necesidad de credenciales. CVE y severidad CVE ID Productos afectados CVSS 3.1 Severidad Descripción Requisitos para explotación CVE-2021-36260 Más de 100 modelos Hikvision DS-2CD y DS-2DF con firmware inferior a…
Vulnerabilidad crítica en el kernel de Ubuntu permite escalada local de privilegios
Se ha revelado una vulnerabilidad crítica en el kernel de Linux de Ubuntu que permite a atacantes locales escalar privilegios y obtener acceso root en sistemas afectados. La falla, divulgada en TyphoonPWN 2025, proviene de un desequilibrio en el conteo de referencias dentro del subsistema af_unix que provoca una condición use-after-free (UAF). El exploit demuestra que la vulnerabilidad afecta a Ubuntu 24.04.2 con kernel 6.8.0-60-generic y requiere acceso local para su ejecución. Productos afectados Fabricante Producto Componente Versiones afectadas Plataformas/SO Canonical Ubuntu Kernel Linux – subsistema af_unix Ubuntu 24.04.2 con kernel 6.8.0-60-generic Linux x86_64 Solución Actualizar a kernel versión 6.8.0-61…
Google Chrome — Explotación activa de vulnerabilidad crítica CVE-2025-2783
El grupo hacker Mem3nt0 mori ha explotado activamente la vulnerabilidad de día cero CVE-2025-2783 en Google Chrome, afectando a objetivos relevantes en Rusia y Bielorrusia. Esta falla permite evadir las protecciones sandbox del navegador con mínima interacción del usuario, facilitando la ejecución arbitraria de código y la instalación de spyware sofisticado. Kaspersky descubrió la vulnerabilidad en marzo de 2025 y Google lanzó un parche rápido, aunque la explotación se propagó a través de campañas personalizadas de phishing dirigidas. CVE y severidad CVE ID Descripción CVSS Impacto CVE-2025-2783 Validación incorrecta de handle en Mojo IPC que permite escape de sandbox en…
Explotación masiva de vulnerabilidades críticas en plugins GutenKit y Hunk Companion para WordPress
Se ha detectado una campaña masiva de explotación de vulnerabilidades críticas en dos plugins populares de WordPress, GutenKit y Hunk Companion, que afecta a cientos de miles de sitios web a nivel mundial. Estas vulnerabilidades permiten la instalación arbitraria de plugins maliciosos y ejecución remota de código sin autenticación mediante el abuso de permisos incorrectos en puntos finales REST API. La persistencia del riesgo se evidencia tras una reactivación del ataque en octubre de 2025, con fuerte impacto en la integridad y disponibilidad de los sistemas afectados. CVE y severidad CVE ID Producto Versiones afectadas Versión parcheada Puntaje CVSS Tipo…