Actualización de seguridad para Apache Tomcat
Apache Tomcat, reconocido como uno de los servidores web de aplicaciones más utilizados a nivel mundial, ha lanzado una actualización de seguridad crítica destinada a corregir dos vulnerabilidades que fueron descubiertas recientemente. Estas fallas podrían permitir a atacantes causar una denegación de servicio (DoS) o eludir reglas de reescritura de solicitudes configuradas en los servidores. Ambas vulnerabilidades afectan principalmente a las versiones más recientes de Tomcat y representan riesgos importantes para la estabilidad y la seguridad de los entornos afectados. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Vulnerabilidades críticas en plugins de WordPress
Se detectó una vulnerabilidad crítica en el plugin Service Finder Bookings para WordPress, utilizado en sitios con el tema «Service Finder – Directory and Job Board», que permite a atacantes no autenticados escalar privilegios y obtener acceso administrativo. Por otro lado, Vikinger, un tema premium desarrollado por Odin_Design, facilita la creación de comunidades sociales y gamificadas mediante la integración con BuddyPress y GamiPress, destacándose por ofrecer experiencias de usuario interactivas y personalizadas dentro del ecosistema WordPress. Productos y versiones afectadas: Producto Versiones afectadas Solución Plugin Service Finder Bookings Versiones hasta la 5.1 inclusive. Requiere que el plugin Nextend Social Login…
Vulnerabilidad crítica en Windows Update Stack
Microsoft ha abordado recientemente una vulnerabilidad crítica en el componente Windows Update Stack, identificada como CVE-2025-21204. Esta falla permite a un atacante local con privilegios limitados escalar sus privilegios hasta obtener acceso de nivel SYSTEM, comprometiendo la seguridad del sistema operativo Windows. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Vulnerabilidad de omisión de WinZip MotW
Se ha identificado una vulnerabilidad en WinZip, una de las herramientas de compresión de archivos más utilizadas, que permite a los atacantes evadir la protección de seguridad Mark-of-the-Web (MotW) de Windows. MotW es una función de seguridad que etiqueta los archivos descargados de Internet mediante un flujo de datos alternativo, indicando su origen. Esta etiqueta permite que, al intentar abrir archivos potencialmente peligrosos —como documentos con macros o ejecutables—, el sistema operativo advierta al usuario antes de permitir su apertura. Esta medida preventiva es fundamental para proteger contra amenazas como phishing y documentos maliciosos. Productos y versiones afectadas: Solución Recomendaciones:…
Vulnerabilidad crítica en el plugin Greenshift de WordPress
Una vulnerabilidad crítica ha sido identificada en el plugin Greenshift – animation and page builder blocks para WordPress, utilizado en más de 50,000 sitios web. Esta falla permite a atacantes autenticados con privilegios mínimos (nivel suscriptor o superior) cargar archivos arbitrarios en el servidor, lo que podría conducir a la ejecución remota de código (RCE) y al compromiso total del sitio. Productos y versiones afectados: Solución: Recomendaciones: Referencias:
Vulnerabilidad crítica en el plugin BM Content Builder de WordPress
BM Content Builder es un plugin desarrollado por SeaTheme para WordPress, utilizado para la creación de contenido visual mediante una interfaz de arrastrar y soltar. Este plugin permite a los usuarios diseñar páginas web de manera personalizada. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código malicioso, poniendo en riesgo la integridad y seguridad del sitio. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
IBM HMC vulnerable a ataques de escalación de privilegios
IBM ha identificado y solucionado dos vulnerabilidades críticas en su Hardware Management Console (HMC) para sistemas Power, que podrían permitir a usuarios locales no privilegiados ejecutar comandos con privilegios elevados. Productos y versiones afectadas: Solución Aplicar las actualizaciones disponibles en IBM Fix Central: Recomendaciones: Referencias:
Actualización de seguridad de GitLab aborda múltiples vulnerabilidades
GitLab ha lanzado una actualización de seguridad que corrige múltiples vulnerabilidades que afectan a su edición Community (CE) y Enterprise (EE). Estas fallas, pueden permitir desde ataques XSS hasta la exposición de datos sensibles y condiciones de denegación de servicio (DoS).Las vulnerabilidades residen en funciones como la vista previa de issues, la gestión de ramas en proyectos privados, y el proxy de dependencias Maven. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Vulnerabilidad de NVIDIA NeMo Framework permite ejecutar código remoto
NVIDIA ha emitido un boletín de seguridad urgente abordando tres vulnerabilidades de alta severidad en su NeMo Framework, plataforma utilizada para desarrollar aplicaciones impulsadas por inteligencia artificial. Las tres vulnerabilidades son explotables de forma remota sin necesidad de privilegios, aunque requieren interacción del usuario. Los ataques podrían comprometer la integridad de modelos de IA, exponer datos sensibles, ejecutar código malicioso, manipular datos o interrumpir sistemas críticos. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Grafana corrige vulnerabilidades de seguridad crítica
Grafana ha lanzado una actualización de seguridad crítica que aborda tres vulnerabilidades en sus ediciones OSS y Enterprise. Estas fallas afectan la gestión de permisos en dashboards, la seguridad del plugin XY Chart y el control de acceso en la API de proxy de fuentes de datos. Esto podría resultar en acceso no autorizado, ejecución de código malicioso y exposición de datos sensibles. CVE Versión Afectada Solución CVE-2025-3260 Grafana 11.6.0 y posteriores. Actualizar a 11.6.0+security-01 o superior. CVE-2025-2703 Grafana 11.1.0 y posteriores. Actualizar a 11.6.0+security-01 o superior. CVE-2025-3454 Grafana 8.0 y posteriores. Actualizar a 10.4.17+security-01 o 11.6.0+security-01 o superior. Recomendaciones:…