Google Chrome – Vulnerabilidades críticas en motor V8 permiten acceso y caída del sistema
Google ha liberado una actualización urgente de seguridad para el navegador Chrome que corrige tres vulnerabilidades de alta severidad en el motor V8 de JavaScript y WebAssembly. Estas fallas podrían permitir a atacantes remotos acceder a información sensible o provocar la caída del navegador mediante visitas a páginas web maliciosas. La actualización está disponible para Windows, Mac y Linux en la versión 140.0.7339.207/.208, e insta a los usuarios a aplicar el parche sin demora para mitigar el riesgo. CVE y severidad CVE Tipo de vulnerabilidad Severidad Componente afectado CVE-2025-10890 Fuga de información por canal lateral Alta Motor V8 JavaScript/WebAssembly CVE-2025-10891…
Actualización urgente de firmware SonicWall para eliminar rootkit OVERSTEP en dispositivos SMA 100
SonicWall ha liberado una actualización crítica de firmware, versión 10.2.2.2-92sv, para dispositivos Secure Mobile Access (SMA) 100 que detecta y elimina un rootkit sofisticado llamado OVERSTEP. Esta amenaza persistente afecta principalmente a equipos SMA 210, 410 y 500v próximos a su fin de soporte. La intervención permite purgar componentes maliciosos que permiten acceso oculto, comandos reversos y exfiltración de credenciales, OTP y certificados. CVE y severidad CVE Descripción Severidad CVE-2025-32819 Flaw allowing remote code execution mediante encadenamiento con otras vulnerabilidades Crítica CVE-2025-32820 Flaw permitiendo ejecución remota en SMA 100 Crítica CVE-2025-32821 Vulnerabilidad de ejecución remota combinable Crítica CVE-2025-40599 Subida arbitraria…
Vulnerabilidad crítica en SolarWinds Web Help Desk permite ejecución remota de código sin autenticación
SolarWinds ha emitido un aviso urgente sobre una vulnerabilidad crítica en su software Web Help Desk que permite a un atacante no autenticado ejecutar código remotamente. La falla, identificada como CVE-2025-26399, afecta al componente AjaxProxy y se origina por la deserialización de datos no confiables, posibilitando la ejecución arbitraria de comandos en el sistema afectado sin necesidad de credenciales. CVE y severidad CVE Severidad Puntaje CVSS Componente afectado CVE-2025-26399 Crítica 9.8 AjaxProxy (deserialización insegura) Productos afectados SolarWinds Web Help Desk versión 12.8.7 antes de aplicar el Hotfix 1. Solución Aplicar el Hotfix 1 para la versión 12.8.7 de Web Help…
Vulnerabilidad Crítica en Google Chrome (CVE-2025-10585)
Se ha identificado una vulnerabilidad crítica CVE-2025-10585 en el motor V8 de Google Chrome que podría permitir a un atacante ejecutar código arbitrario en el sistema afectado. Esta vulnerabilidad es de tipo Type Confusion, que permite la corrupción de memoria y la posible ejecución de código malicioso, afectando a las versiones anteriores a 140.0.7339.185 de Chrome. La explotación activa de esta vulnerabilidad ya ha sido detectada en el entorno real, lo que aumenta la urgencia de su mitigación. El fallo afecta a los navegadores Google Chrome en plataformas Windows, macOS y Linux. Si se explota con éxito, podría permitir a…
Vulnerabilidades en productos de Atlassian
Atlassian ha publicado un boletín de seguridad que detalla varias vulnerabilidades críticas que afectan a varios de sus productos. Estas vulnerabilidades pueden permitir a un atacante realizar ataques de Denegación de Servicio (DoS), ejecución de código remoto (RCE) y otras acciones maliciosas si no se mitigan adecuadamente. CVEs Identificados: Estas vulnerabilidades pueden permitir que un atacante no autenticado genere un consumo elevado de recursos en el servidor, resultando en la interrupción del servicio y comprometiendo la disponibilidad de la plataforma, o incluso ejecutar código malicioso de forma remota. Productos Afectados: Producto CVE Versiones Afectadas Versiones Corregidas Recomendadas Bamboo Data Center…
Divulgación de información en clientes Zoom para Windows
Zoom ha publicado un boletín de seguridad abordando una vulnerabilidad de severidad media en sus clientes para Windows. La falla podría permitir que un atacante remoto no autenticado, bajo condiciones específicas, divulgue información a través de la red, impactando la confidencialidad de los datos. Productos afectados: Producto (Windows) Versiones afectadas Versión corregida Zoom Workplace Desktop Antes de 6.5.0 6.5.0 Zoom Workplace VDI Client Antes de 6.3.14 (track 6.3) / antes de 6.4.12 (track 6.4) 6.3.14 / 6.4.12 Zoom Rooms Controller Antes de 6.5.0 6.5.0 Zoom Rooms Antes de 6.5.0 6.5.0 Zoom Meeting SDK Antes de 6.5.0 6.5.0 Solución: Recomendaciones: Referencias:
Nueva vulnerabilidad en el agente de credenciales de identificación de usuario de Palo Alto
Se ha identificado una nueva vulnerabilidad en el Agente de Credenciales de Identificación de Usuario de Palo Alto Networks para Windows, que podría permitir a un atacante con privilegios limitados acceder a contraseñas de cuentas de servicio almacenadas en texto claro. Esta falla ocurre en versiones específicas del software, lo que permite que las credenciales sean expuestas si no se implementan las configuraciones adecuadas. La vulnerabilidad tiene un impacto significativo en la seguridad de la red, ya que puede permitir a los atacantes escalar privilegios y obtener acceso no autorizado a los sistemas protegidos. El agente de credenciales de identificación…
Nuevas vulnerabilidades detectadas en el software Cisco IOS XR
Cisco ha identificado y corregido recientemente varias vulnerabilidades de alta gravedad en su sistema operativo de red IOS XR, utilizado en routers como ASR 9000, ASR 9902 y ASR 9903. Estas fallas podrían permitir a atacantes remotos no autenticados causar condiciones de denegación de servicio (DoS) o eludir controles de seguridad como la verificación de imágenes del sistema. Aunque Cisco no ha reportado explotación activa de estas vulnerabilidades, se recomienda aplicar las actualizaciones de seguridad correspondientes para mitigar posibles riesgos. Vulnerabilidades identificadas A continuación, se describe las vulnerabilidades detectadas, sus identificadores CVE: CVE-2025-20248 (CVSS: 6.0): Una vulnerabilidad en el proceso…
Vulnerabilidades Críticas en Google Chrome
Google ha lanzado una actualización de seguridad urgente para su navegador Chrome que aborda múltiples vulnerabilidades críticas, algunas de las cuales podrían permitir la ejecución remota de código (RCE) en sistemas afectados. Estas vulnerabilidades representan riesgos significativos para la seguridad de los usuarios y sistemas afectados ya que la explotación exitosa podría permitir a atacantes ejecutar código malicioso, comprometer datos sensibles o tomar control total de los sistemas. Es esencial aplicar esta actualización para proteger la integridad y seguridad de los entornos informáticos. Vulnerabilidades identificadas: CVE-2025-10200 – Vulnerabilidad «use-after-free» en componente Serviceworker (Crítica): Tipo de vulnerabilidad en la que un…
Actualización de Patch Tuesday de Microsoft – Septiembre 2025
Microsoft ha lanzado su actualización mensual de seguridad de septiembre de 2025, abordando un total de 81 vulnerabilidades, incluidas dos de tipo Zero Day que ya estaban siendo explotadas activamente. Los parches de seguridad cubren una amplia gama de software, como Windows, Microsoft Office, Azure y SQL Server. Esta actualización corrige fallas críticas que podrían comprometer la seguridad de los sistemas. Entre las correcciones se destacan 22 vulnerabilidades de ejecución remota de código (RCE), lo que convierte a esta actualización en una de alta prioridad. Además, se solucionan 8 fallas críticas y 73 vulnerabilidades más clasificadas como de gravedad importante,…