Actualización de seguridad crítica para Google Chrome corrige múltiples vulnerabilidades de ejecución remota de código
Google ha lanzado una actualización de seguridad de emergencia para su navegador Chrome, abordando cinco vulnerabilidades que podrían permitir a atacantes ejecutar código malicioso de forma remota. Esta actualización corrige fallas que afectan componentes centrales como WebGPU, el motor JavaScript V8 y la barra de direcciones Omnibox. Las vulnerabilidades de ejecución remota de código en componentes como WebGPU y V8 son especialmente críticas, ya que podrían permitir que sitios web maliciosos comprometan sistemas sin interacción adicional del usuario más allá de visitar una página manipulada. Entre las fallas se incluyen problemas de escritura fuera de límites, implementaciones inapropiadas que permiten…
Vulnerabilidad crítica en el plugin AI Engine para WordPress permite escalada de privilegios
Se ha identificado una vulnerabilidad crítica en el plugin AI Engine para WordPress que afecta a más de 100,000 instalaciones activas, permitiendo a atacantes no autenticados obtener tokens de portador y escalar privilegios hasta controlar completamente sitios web. El fallo compromete la función ‘No-Auth URL’ del protocolo Model Context Protocol (MCP) al exponer dichos tokens a través del índice público de la REST API. Esto facilita la ejecución remota de comandos administrativos sin autenticación. CVE y severidad CVE CVSS Severidad Componente afectado CVE-2025-11749 9.8 Crítica Plugin AI Engine para WordPress (REST API, MCP) Productos afectados El plugin AI Engine para…
Vulnerabilidad crítica en el plugin Post SMTP de WordPress permite toma de control de cuentas
Se ha descubierto una vulnerabilidad crítica en el plugin Post SMTP para WordPress, que afecta a más de 400,000 sitios web y permite a atacantes no autenticados obtener acceso a registros de correos electrónicos con información sensible para restablecer contraseñas, posibilitando la toma de control de cuentas administrativas y sitios completos. La falla se debe a la falta de una verificación de autorización en la funcionalidad principal del plugin, exponiendo datos críticos sin requerir credenciales. CVE y severidad CVE ID CVSS Severidad Tipo de vulnerabilidad Estado de explotación CVE-2025-11833 9.8 (Crítica) Crítica Falta de autorización para toma de control mediante…
Campaña avanzada de espionaje con puerta trasera SSH-Tor mediante documentos militares falsos
En octubre de 2025, investigadores de Cyble Research descubrieron una campaña sofisticada que utiliza documentos militares falsificados en archivos ZIP para distribuir una puerta trasera avanzada SSH-Tor, dirigida a personal del sector defensa especializado en vehículos aéreos no tripulados. El malware combinado con ingeniería social instala un servicio oculto Tor con ofuscación obfs4, otorgando acceso anónimo a protocolos críticos como SSH, RDP, SFTP y SMB en sistemas comprometidos. Productos afectados Fabricante Producto Componente Plataformas/SO OpenSSH OpenSSH para Windows Cliente y servicio SSH con Tor integrado Microsoft Windows Solución Implementar controles de seguridad proactivos y herramientas de detección de actividad anómala,…
Actualización de Microsoft para WSUS rompe funcionalidad Hotpatch en Windows Server 2025
Microsoft lanzó en octubre de 2025 una actualización de seguridad para Windows Server Update Services (WSUS) que corrige una vulnerabilidad crítica, pero que ha roto inadvertidamente la funcionalidad de Hotpatch en ciertos sistemas Windows Server 2025. La falla, identificada como CVE-2025-59287, permite la ejecución remota de código, afectando la infraestructura de actualización empresarial y poniendo en riesgo la confidencialidad, integridad y disponibilidad. Esta actualización afectó principalmente a dispositivos físicos y virtuales inscritos en Hotpatch, impidiendo parches sin reinicio en las máquinas comprometidas. CVE y severidad CVE Severidad Componente afectado Impacto CVE-2025-59287 Crítica Windows Server Update Services (WSUS) Ejecuta código remotamente…
Actualización de seguridad de Chrome 142
Google Chrome, el popular navegador web desarrollado por Google LLC, ampliamente utilizado en entornos de escritorio y portátiles bajo sistemas operativos Windows, macOS y Linux. Dada su relevancia, cualquier vulnerabilidad que permita la ejecución de código malicioso representa un riesgo elevado para usuarios finales y organizaciones. A continuación se detallan dos de las vulnerabilidades más destacadas incluidas en esta versión de actualización (aunque en total se corrigen 20 fallos). Productos afectados CVE Productos afectadas Solución CVE‑2025‑12428 Google Chrome versiones anteriores a 142.0.7444.59 (Linux/Windows) y 142.0.7444.60 (macOS). Actualizar a Chrome v142.0.7444.59 / v142.0.7444.60 o superior. CVE‑2025‑12429 Google Chrome versiones anteriores al…
Vulnerabilidad crítica en Blink afecta navegadores Chromium
El investigador de seguridad Jofpin ha revelado «Brash», una falla crítica en el motor de renderizado Blink de Google que permite a atacantes causar caídas instantáneas en navegadores basados en Chromium. Esta vulnerabilidad explota la ausencia de límites a la tasa de actualizaciones en la API document.title, generando una sobrecarga en el hilo principal del navegador y provocando denegación de servicio sin requerir privilegios o herramientas sofisticadas, impactando a miles de millones de usuarios en múltiples plataformas. Productos afectados Fabricante Producto Componente Versiones afectadas Plataformas/SO Google / Microsoft / Opera / Brave Software / Vivaldi Chrome, Edge, Opera, Brave, Vivaldi,…
Vulnerabilidad crítica en el driver Windows Cloud Files Minifilter permite escalada de privilegios
Microsoft ha corregido una vulnerabilidad crítica de condición de carrera en el driver Windows Cloud Files Minifilter (CVE-2025-55680), que permite a atacantes locales escalar privilegios y crear archivos arbitrarios en el sistema. La falla, descubierta en marzo de 2024 por Exodus Intelligence y resuelta en las actualizaciones Patch Tuesday de octubre 2025, tiene un puntaje CVSS de 7.8 debido a la posibilidad de ejecución de código con privilegios SYSTEM por carga lateral de DLLs. Se recomienda detectar operaciones anómalas en directorios de sincronización cloud como indicio. CVE y severidad CVE CVSS Base Severidad Componente afectado CVE-2025-55680 7.8 Alta Driver Windows…
Vulnerabilidad de escalada de privilegios en servidores SMB de Windows vía SPNs fantasma y reflexión Kerberos
Se ha identificado una vulnerabilidad sofisticada de escalada de privilegios en servidores SMB de Windows, basada en la explotación de Service Principal Names (SPNs) fantasma y la reflexión de autenticación Kerberos, que permite acceso remoto a nivel SYSTEM. Catalogada como CVE-2025-58726 por Microsoft, afecta a todas las versiones de Windows que no implementan la firma obligatoria de SMB. El ataque requiere acceso al dominio con permisos mínimos y aprovecha configuraciones predeterminadas de Active Directory y registros DNS permisivos, facilitando la elevación hasta el control total del dominio. CVE y severidad CVE Descripción Severidad Componentes afectados CVE-2025-58726 Falla de elevación de…
Vulnerabilidad XSS crítica en el plugin LiteSpeed Cache para WordPress
Se ha descubierto una vulnerabilidad de seguridad en el popular plugin LiteSpeed Cache para WordPress, utilizado por más de 7 millones de sitios web en todo el mundo. Este complemento, ampliamente usado para mejorar la velocidad y el rendimiento de los sitios al almacenar temporalmente (en caché) el contenido y acelerar la carga de las páginas, presenta una falla que permite a los atacantes inyectar código malicioso mediante enlaces manipulados. El problema, identificado como CVE-2025-12450, se debe a una falta de validación y escape adecuado de datos en la gestión de URLs, lo que abre la posibilidad de ejecutar ataques…