Google corrige vulnerabilidad 0-day en Chrome utilizada en ataques activos
Google ha lanzado una actualización de emergencia para corregir una vulnerabilidad 0-day crítica identificada como CVE-2025-5419, que está siendo explotada activamente en entornos reales. La falla afecta al motor JavaScript V8 de Google Chrome y permite a atacantes remotos ejecutar código arbitrario en los sistemas de las víctimas a través de páginas web maliciosas. El riesgo es particularmente alto, ya que esta vulnerabilidad puede ser aprovechada simplemente al visitar un sitio comprometido o malicioso, sin requerir interacción adicional por parte del usuario. Detalle de la vulnerabilidad CVE-2025-5419 – Criticidad Alta (CVSS 8.8): El fallo reside en un type confusion dentro…
Fallo en actualización KB5058405 de Windows 11 provoca errores de inicio en entornos virtualizados
Microsoft ha lanzado una actualización fuera de banda para corregir un problema crítico que afecta a sistemas Windows 11 tras la instalación del parche de seguridad KB5058405 de mayo de 2025. La falla impedía el arranque de algunos dispositivos, mostrando errores de recuperación relacionados con el archivo ACPI.sys. Este problema se ha observado principalmente en entornos virtualizados, como máquinas virtuales en Azure, Azure Virtual Desktop y plataformas locales como Citrix o Hyper-V. Detalle de la vulnerabilidad El error se manifiesta cuando, después de aplicar la actualización KB5058405, el sistema no puede iniciar correctamente, mostrando un mensaje de recuperación con el…
Vulnerabilidad en Bitwarden permite ejecutar JavaScript malicioso desde archivos PDF
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS), catalogada como CVE-2025-5138, que afecta a versiones de Bitwarden hasta la 2.25.1. Esta falla permite a un atacante autenticado cargar archivos PDF manipulados que contienen JavaScript malicioso. Cuando otro usuario visualiza dicho archivo en navegadores como Google Chrome, el código se ejecuta automáticamente dentro del contexto de la aplicación, posibilitando el secuestro de sesiones, robo de credenciales o ejecución de acciones no autorizadas del lado de la víctima. Detalle de la vulnerabilidad CVE-2025-5138 – Criticidad Media (CVSS 3.5): La falla reside en el componente PDF File Handler del módulo «Resources»….
Mozilla corrige vulnerabilidades críticas de tipo zero-day en Firefox
Mozilla ha lanzado actualizaciones de emergencia para Firefox tras la explotación de dos vulnerabilidades críticas de tipo zero-day. Estas fallas, identificadas como CVE-2025-4918 y CVE-2025-4919, afectan al motor JavaScript SpiderMonkey y permiten lecturas y escrituras fuera de límites, lo que puede derivar en corrupción de memoria y ejecución de código arbitrario dentro del proceso de contenido del navegador. Detalles de las vulnerabilidades Productos y versiones afectadas Solución Mozilla ha corregido estas vulnerabilidades mediante actualizaciones que incluyen parches para el motor SpiderMonkey, previniendo accesos de memoria indebidos durante la ejecución de JavaScript. Los usuarios deben actualizar a las versiones seguras de…
Vulnerabilidades críticas en productos de WordPress
Se han identificado tres vulnerabilidades críticas en componentes ampliamente utilizados de WordPress: un plugin (Glossary by WPPedia) y dos temas (Motors y Madara). Estas fallas permiten desde inyección de objetos PHP autenticada hasta escalada de privilegios e inclusión de archivos locales no autenticadas. Las vulnerabilidades afectan diversas versiones y podrían comprometer la seguridad completa del sitio si son explotadas. CVE-2025-4803 (CVSS: 7.2) – Inyección de objetos PHP autenticada en Glossary by WPPedia La vulnerabilidad permite la inyección de objetos PHP mediante deserialización de entradas no confiables en el parámetro posttypes. Puede ser explotada por usuarios autenticados con privilegios de administrador….
Vulnerabilidad crítica de Omisión de Autenticación en Fortinet (CVE-2025-22252)
Se ha identificado una vulnerabilidad crítica de omisión de autenticación en los productos FortiOS, FortiProxy y FortiSwitchManager de Fortinet, catalogada como CVE-2025-22252 y clasificada bajo CWE-306 (Falta de Autenticación para una Función Crítica) con una puntuación CVSS: 9.0.Esta falla permite a atacantes remotos obtener privilegios de administrador sin necesidad de autenticación previa, mediante la explotación del protocolo TACACS+ cuando se utiliza la autenticación ASCII. Productos Afectados Solución Fortinet ha lanzado actualizaciones de seguridad para mitigar esta vulnerabilidad: Mitigaciones temporales (workarround) Si la actualización inmediata no es viable, se recomienda implementar las siguientes medidas: Recomendaciones Referecnias
Actualización de Patch Tuesday de Microsoft – Mayo 2025
Microsoft ha lanzado su actualización de Patch Tuesday para mayo de 2025, abordando 72 fallas de seguridad, incluidas siete vulnerabilidades Zero Day. Adicionalmente, se corrigen once vulnerabilidades críticas de las cuales cinco son de ejecución remota de código (RCE), junto con fallas de elevación de privilegios, omisión de funciones de seguridad, divulgación de información, denegación de servicio y suplantación de identidad. Además, Microsoft ha lanzado las actualizaciones acumulativas KB5058411 – KB5058405 para Windows 11 y KB5058379 para Windows 10. Estas actualizaciones son obligatorias e incluyen los parches de seguridad del Patch Tuesday de abril de 2025, abordando vulnerabilidades descubiertas en meses anteriores. Vulnerabilidades Zero Day…
Fortinet corrige un zero day crítico explotado en ataques a FortiVoice
Fortinet ha reportado una vulnerabilidad crítica de desbordamiento de búfer basado en pila (stack-based overflow) (CWE-121), identificada como CVE-2025-32756. Esta falla afecta a múltiples productos de la compañía, incluyendo FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera. Fortinet ha confirmado que esta vulnerabilidad está siendo explotada activamente, principalmente en dispositivos FortiVoice. Las acciones observadas por actores maliciosos incluyen escaneo de red, habilitación de depuración para captura de credenciales y eliminación de logs del sistema para ocultar sus rastros. PRODUCTOS AFECTADOS SOLUCIÓN WORKAROUND RECOMENDACIONES Referencias:
Informe de Google revela 75 vulnerabilidades de día cero explotadas en 2024
Google Threat Analysis Group (TAG) y Mandiant publicaron un informe detallado que analiza el panorama de las vulnerabilidades de día cero explotadas activamente durante 2024. Según los datos recopilados, se identificaron 75 vulnerabilidades aprovechadas en ataques reales, lo que representa una ligera disminución en comparación con 2023, donde se contabilizaron 98 casos. Un hallazgo clave es que, por primera vez, se observó un cambio importante en los objetivos: en lugar de centrarse mayoritariamente en navegadores web, los atacantes se enfocaron en herramientas de seguridad empresarial, como VPNs, firewalls y software de gestión de dispositivos. Este cambio estratégico refleja la evolución…
Vulnerabilidad crítica en Cisco IOS XE permite explotación remota con privilegios de root mediante JWT
Cisco ha publicado actualizaciones de seguridad para corregir una vulnerabilidad crítica identificada como CVE-2025-20188, con una puntuación de 10.0 en CVSS, que afecta a los Wireless LAN Controllers (WLC) que ejecutan el sistema operativo IOS XE. Esta falla permite a atacantes remotos no autenticados cargar archivos arbitrarios y ejecutar comandos con privilegios de root en los sistemas afectados, mediante el uso de un JWT (JSON Web Token) codificado. Cisco identificó esta vulnerabilidad durante pruebas internas de seguridad realizadas por su equipo de Advanced Security Initiatives Group (ASIG). Hasta el momento, no se ha detectado explotación activa de esta vulnerabilidad en…