Noticias de Seguridad

Ivanti ha publicado parches de seguridad para Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Ivanti Secure Access Client (ISAC) y Ivanti Cloud Services Application (CSA), abordando vulnerabilidades de gravedad crítica, alta y media. Estas fallas afectan a productos clave en gestión de acceso remoto, políticas de red y servicios en la nube, exponiendo riesgos como ejecución remota de código, filtración de datos y escalada de privilegios. CVE Producto Afectado Versión Afectada Solución CVE-2024-38657 Connect Secure Versiones anteriores a la 22.R72.4. Actualizar ICS a la versión 22.R72.6 o superior. Actualizar IPS a la versión 22.R71.3 o superior. Actualizar ISAC a…

GitLab es una plataforma de desarrollo de software utilizada para la gestión del ciclo de vida de aplicaciones, facilitando la colaboración en proyectos de código. Recientemente, se ha descubierto una vulnerabilidad en uno de sus componentes, lo que podría comprometer la seguridad de los usuarios. Esta vulnerabilidad permite ataques de tipo Cross-Site Scripting (XSS) al cargar archivos Jupyter notebook (.ipynb) en el IDE web de GitLab. Productos y versiones afectadas: Solución: Recomendaciones Referencias:

Los siguientes plugins de WordPress han sido identificados con vulnerabilidades críticas que pueden comprometer la seguridad de los sitios web que los utilizan. Se recomienda a los administradores de WordPress evaluar el impacto de estas fallas y tomar medidas inmediatas para mitigar los riesgos. Productos y versiones afectadas: Directorybox Manager plugin: OneStore Sites plugin: Starter Templates de FancyWP: Munk Sites plugin: Solución: Recomendaciones: Referencias:

Kaspersky ha corregido una vulnerabilidad de seguridad en varios de sus productos, incluyendo Kaspersky Anti-Virus SDK para Windows, Kaspersky Security for Virtualization Light Agent, Kaspersky Endpoint Security for Windows, entre otros. La vulnerabilidad permitía a un atacante autenticado escribir datos en un área limitada fuera del búfer de memoria del kernel asignado. La corrección se implementó automáticamente para todos los productos de Kaspersky Endpoint. Productos y versiones afectadas Kaspersky Anti-Virus SDK for Windows: Kaspersky Security for Virtualization Light Agent: Kaspersky Security Components Installation Wizard Solución Kaspersky Anti-Virus SDK for Windows: Kaspersky Security for Virtualization Light Agent: Kaspersky Security Components Installation…

El plugin WP All Export Pro para WordPress, utilizado por más de 200,000 sitios para exportar datos personalizados, presenta una vulnerabilidad que permite a atacantes remotos ejecutar código arbitrario en el servidor. Productos y versiones afectadas Solución Recomendaciones Referencias:

Apache Cassandra, un sistema de gestión de bases de datos distribuido y altamente escalable, ha sido afectado por varias vulnerabilidades de seguridad que pueden comprometer la integridad y disponibilidad de los datos almacenados. CVE-2025-24860 (CVSS: N/A):  Una vulnerabilidad de autorización incorrecta en Apache Cassandra permite a los usuarios acceder a centros de datos o grupos de IP/CIDR a los que no deberían tener acceso cuando se utiliza CassandraNetworkAuthorizer o CassandraCIDRAuthorizer. Los usuarios con acceso restringido a centros de datos pueden actualizar sus propios permisos mediante declaraciones de lenguaje de control de datos (DCL) en las versiones afectadas. CVE-2025-23015 (CVSS: 8.8): Un…

Se han identificado vulnerabilidades críticas en dos populares plugins de WordPress. Estas fallas permiten a atacantes eludir mecanismos de autenticación y ejecutar scripts maliciosos. CVE Producto Afectado Versión Afectada Solución CVE-2025-1061 Nextend Social Login Pro plugin Versiones anteriores a la 3.1.17 Actualizar a la versión 3.1.17 o superior CVE-2024-13403 WPForms Lite Versiones anteriores a la 1.9.3.2 Actualizar a la versión 1.9.3.2 o superior Recomendaciones: Referencias:

Cisco ha identificado vulnerabilidades críticas en sus productos Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC). Estas fallas permiten a atacantes autenticados con privilegios de solo lectura ejecutar comandos arbitrarios y eludir controles de autorización. CVE Producto Afectado Versión Afectada Solución CVE-2025-20124 Cisco Identity Services Engine Software Desde la versión 3.0.0 hasta la 3.0.0P6 Migrar a una versión parcheada Desde la versión 3.1 hasta la 3.1.0P9 Actualizar a la versión 3.1P10 o superior Desde la versión 3.2 hasta la 3.2P6 Actualizar a la versión 3.2P7 o superior Desde la versión 3.3 hasta la 3.3P3 Actualizar a…