Fortinet publica parche crítico que corrige múltiples vulnerabilidades en sus productos
Fortinet ha publicado una serie de actualizaciones de seguridad que abordan múltiples vulnerabilidades críticas y de severidad media en su portafolio de productos. Las fallas incluyen desde inyecciones de comandos en FortiAnalyzer y FortiManager hasta debilidades en el manejo de sesiones SSL-VPN, exposición de información sensible y elevación de privilegios. Aunque no todas las vulnerabilidades han sido reportadas como explotadas activamente, dada la naturaleza crítica de algunas de ellas, se recomienda aplicar los parches de forma prioritaria. CVE-2023-42788 – CVSS: 8.8 (Alta) Vulnerabilidad de inyección de comandos del sistema operativo que permite a usuarios con privilegios ejecutar comandos arbitrarios mediante…
Vulnerabilidad Crítica en Wazuh (CVE-2025-24016) Explotada por Botnets Mirai
El equipo Akamai ha identificado la explotación activa de la vulnerabilidad CVE-2025-24016, una falla crítica de ejecución remota de código (RCE) en servidores Wazuh (versiones 4.4.0 a 4.9.0), utilizada por dos botnets distintas basadas en Mirai. La vulnerabilidad reside en la API distribuida de Wazuh, donde el uso de la función as_Wazuh_object() procesa datos JSON sin validarlos correctamente., lo que posibilita a los atacantes ejecutar código Python arbitrario de forma remota. Detalles de las vulnerabilidades Detalles de las vulnerabilidades Solución Wazuh ha corregido esta vulnerabilidad crítica en la versión 4.9.1, publicada en febrero de 2025, mediante la actualización del método…
Nuevas vulnerabilidades detectadas en productos de WordPress
Se han identificado nuevas vulnerabilidades críticas en componentes ampliamente utilizados de WordPress: Abandoned Cart Pro es una herramienta valiosa para las tiendas online que desean reducir la tasa de abandono de carritos y aumentar sus ventas al recuperar carritos abandonados de forma efectiva mediante recordatorios oportunos y ofertas de descuento personalizadas por correo electrónico, SMS y Messenger. RH – Real Estate una plantilla de tema premium diseñada para sitios web inmobiliarios. Esta plantilla permite crear sitios web personalizados con funciones para la gestión de propiedades, como la creación de listados, búsqueda, y posiblemente la gestión de agentes y pagos. CVE-2025-4387…
Vulnerabilidad XSS de Splunk Enterprise
Se ha identificado una vulnerabilidad media en Splunk Enterprise y Splunk Cloud Platform que permite a atacantes con privilegios bajos ejecutar código JavaScript no autorizado a través de un fallo de tipo Cross-Site Scripting (XSS) reflejado. Estas vulnerabilidades, si son explotadas, podrían representar un riesgo significativo para las organizaciones que dependen de la plataforma de análisis de datos de Splunk para la supervisión de seguridad y las operaciones de inteligencia empresarial. Esta vulnerabilidad permite la ejecución remota de código JavaScript en el contexto del navegador de la víctima, comprometiendo sesiones de usuarios autenticados. Productos, versiones afectadas y corregidas: Producto Versión…
Google corrige vulnerabilidad 0-day en Chrome utilizada en ataques activos
Google ha lanzado una actualización de emergencia para corregir una vulnerabilidad 0-day crítica identificada como CVE-2025-5419, que está siendo explotada activamente en entornos reales. La falla afecta al motor JavaScript V8 de Google Chrome y permite a atacantes remotos ejecutar código arbitrario en los sistemas de las víctimas a través de páginas web maliciosas. El riesgo es particularmente alto, ya que esta vulnerabilidad puede ser aprovechada simplemente al visitar un sitio comprometido o malicioso, sin requerir interacción adicional por parte del usuario. Detalle de la vulnerabilidad CVE-2025-5419 – Criticidad Alta (CVSS 8.8): El fallo reside en un type confusion dentro…
Fallo en actualización KB5058405 de Windows 11 provoca errores de inicio en entornos virtualizados
Microsoft ha lanzado una actualización fuera de banda para corregir un problema crítico que afecta a sistemas Windows 11 tras la instalación del parche de seguridad KB5058405 de mayo de 2025. La falla impedía el arranque de algunos dispositivos, mostrando errores de recuperación relacionados con el archivo ACPI.sys. Este problema se ha observado principalmente en entornos virtualizados, como máquinas virtuales en Azure, Azure Virtual Desktop y plataformas locales como Citrix o Hyper-V. Detalle de la vulnerabilidad El error se manifiesta cuando, después de aplicar la actualización KB5058405, el sistema no puede iniciar correctamente, mostrando un mensaje de recuperación con el…
Vulnerabilidad en Bitwarden permite ejecutar JavaScript malicioso desde archivos PDF
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS), catalogada como CVE-2025-5138, que afecta a versiones de Bitwarden hasta la 2.25.1. Esta falla permite a un atacante autenticado cargar archivos PDF manipulados que contienen JavaScript malicioso. Cuando otro usuario visualiza dicho archivo en navegadores como Google Chrome, el código se ejecuta automáticamente dentro del contexto de la aplicación, posibilitando el secuestro de sesiones, robo de credenciales o ejecución de acciones no autorizadas del lado de la víctima. Detalle de la vulnerabilidad CVE-2025-5138 – Criticidad Media (CVSS 3.5): La falla reside en el componente PDF File Handler del módulo «Resources»….
Mozilla corrige vulnerabilidades críticas de tipo zero-day en Firefox
Mozilla ha lanzado actualizaciones de emergencia para Firefox tras la explotación de dos vulnerabilidades críticas de tipo zero-day. Estas fallas, identificadas como CVE-2025-4918 y CVE-2025-4919, afectan al motor JavaScript SpiderMonkey y permiten lecturas y escrituras fuera de límites, lo que puede derivar en corrupción de memoria y ejecución de código arbitrario dentro del proceso de contenido del navegador. Detalles de las vulnerabilidades Productos y versiones afectadas Solución Mozilla ha corregido estas vulnerabilidades mediante actualizaciones que incluyen parches para el motor SpiderMonkey, previniendo accesos de memoria indebidos durante la ejecución de JavaScript. Los usuarios deben actualizar a las versiones seguras de…
Vulnerabilidades críticas en productos de WordPress
Se han identificado tres vulnerabilidades críticas en componentes ampliamente utilizados de WordPress: un plugin (Glossary by WPPedia) y dos temas (Motors y Madara). Estas fallas permiten desde inyección de objetos PHP autenticada hasta escalada de privilegios e inclusión de archivos locales no autenticadas. Las vulnerabilidades afectan diversas versiones y podrían comprometer la seguridad completa del sitio si son explotadas. CVE-2025-4803 (CVSS: 7.2) – Inyección de objetos PHP autenticada en Glossary by WPPedia La vulnerabilidad permite la inyección de objetos PHP mediante deserialización de entradas no confiables en el parámetro posttypes. Puede ser explotada por usuarios autenticados con privilegios de administrador….
Vulnerabilidad crítica de Omisión de Autenticación en Fortinet (CVE-2025-22252)
Se ha identificado una vulnerabilidad crítica de omisión de autenticación en los productos FortiOS, FortiProxy y FortiSwitchManager de Fortinet, catalogada como CVE-2025-22252 y clasificada bajo CWE-306 (Falta de Autenticación para una Función Crítica) con una puntuación CVSS: 9.0.Esta falla permite a atacantes remotos obtener privilegios de administrador sin necesidad de autenticación previa, mediante la explotación del protocolo TACACS+ cuando se utiliza la autenticación ASCII. Productos Afectados Solución Fortinet ha lanzado actualizaciones de seguridad para mitigar esta vulnerabilidad: Mitigaciones temporales (workarround) Si la actualización inmediata no es viable, se recomienda implementar las siguientes medidas: Recomendaciones Referecnias