Actualización de Google Chrome para vulnerabilidad crítica en motor V8
Google ha lanzado la versión 142.0.7444.162/.163 de Chrome para corregir una vulnerabilidad de alta severidad en el motor JavaScript V8. Esta falla permite a atacantes explotar el motor mediante código JavaScript diseñado específicamente y afecta las plataformas Windows, Mac y Linux. La actualización ya se encuentra disponible de forma gradual para usuarios del canal estable. CVE y severidad CVE IDSeveridadComponenteTipo de problemaVersiones afectadasCVE-2025-13042AltaMotor V8Implementación inapropiadaChrome anterior a 142.0.7444.162 Productos afectados Google Chrome en versiones anteriores a la 142.0.7444.162 para Windows, Mac y Linux. Solución Actualizar Google Chrome a la versión 142.0.7444.162 o superior. Recomendaciones Se recomienda priorizar la actualización del…
Campaña de phishing que imita alertas de seguridad para robar credenciales de correo
Se ha detectado una nueva campaña de phishing que simula alertas de seguridad legítimas para engañar a usuarios empresariales y personales, haciéndose pasar por notificaciones internas del mismo dominio de la víctima. El objetivo principal es inducir pánico al advertir sobre “mensajes bloqueados” y persuadir a los destinatarios a hacer clic en enlaces maliciosos que redirigen a portales falsos de inicio de sesión. Estos sitios fraudulentos están prellenados con el correo electrónico real de la víctima para aumentar su credibilidad y robar credenciales mediante scripts ocultos. Solución Implementar filtros avanzados de correo electrónico, educar a los usuarios sobre técnicas de…
Actualización de Patch Tuesday de Microsoft Noviembre 2025
Microsoft ha emitido su actualización de seguridad mensual correspondiente al mes de noviembre de 2025, abordando un total de 63 vulnerabilidades en múltiples productos. Una de las vulnerabilidades más destacadas es la CVE-2025-62215, clasificada como “importante” pero que ha sido detectada como explotada activamente en entornos reales. Este fallo afecta directamente al kernel de Windows y permite a un atacante local autorizado escalar privilegios de forma efectiva, representando un riesgo considerable para infraestructuras que manejan datos sensibles o sistemas críticos. CVE y severidad: A continuación, se muestra la lista de vulnerabilidades que Microsoft considera con severidad crítica e importante. CVE…
Firefox lanza actualización de seguridad para corregir múltiples vulnerabilidades
Mozilla ha lanzado Firefox en su versión 145, que corrige múltiples vulnerabilidades de alta severidad en los componentes gráficos, JavaScript y DOM, las cuales podrían permitir la ejecución remota de código arbitrario. Entre las fallas destaca un conjunto de errores de seguridad en memoria (CVE-2025-13027) que podrían facilitar la evasión del sandbox y comprometer dispositivos completos. Se recomienda actualizar de inmediato para mitigar riesgos en entornos expuestos a contenido web malicioso. CVE y severidad CVE ID Componente Descripción Severidad CVE-2025-13021 Gráficos: WebGPU Condiciones incorrectas en límites Alta CVE-2025-13022 Gráficos: WebGPU Condiciones incorrectas en límites Alta CVE-2025-13012 Gráficos Condición de carrera…
Vulnerabilidades críticas y medias en aplicaciones Zoom Workplace para múltiples plataformas
Zoom ha emitido varios boletines de seguridad con parches para vulnerabilidades en sus aplicaciones Workplace, destacando tres fallos de alta severidad y varios de severidad media. Estas vulnerabilidades afectan aplicaciones para Android, Windows, macOS y clientes VDI, permitiendo desde eludir controles de acceso hasta la manipulación de archivos y posibles denegaciones de servicio, incrementando el riesgo de accesos no autorizados y perturbaciones en entornos laborales híbridos. CVE y severidad CVE Severidad Componente afectado Descripción resumida CVE-2025-62484 Alta Zoom Workplace Clients La complejidad ineficiente de las expresiones regulares puede permitir que un usuario no autenticado realice una escalada de privilegios a…
Vulnerabilidad crítica en NVIDIA App para Windows permite ejecución remota de código y escalada de privilegios
NVIDIA ha corregido una vulnerabilidad crítica en su App para Windows, identificada como CVE-2025-23358, que afecta el componente instalador y permite a un atacante local ejecutar código arbitrario y escalar privilegios. Esta falla, causada por un problema en la gestión de rutas de búsqueda (CWE-427), requiere interacción del usuario para activarse y representa un riesgo grave para sistemas con versiones anteriores a 11.0.5.260. CVE y severidad CVE ID Producto afectado Severidad Puntuación CVSS v3.1 CVE-2025-23358 NVIDIA App para Windows (versiones anteriores a 11.0.5.260) Alta 8.2 Productos afectados La vulnerabilidad afecta a todas las versiones anteriores a la 11.0.5.260 de NVIDIA…
Vulnerabilidad crítica en Cisco ISE permite reinicio inesperado por solicitudes RADIUS
Una vulnerabilidad crítica en Cisco Identity Services Engine (ISE) permite que un atacante remoto provoque reinicios inesperados del sistema mediante una cadena manipulada de solicitudes RADIUS. Esta falla, identificada como CVE-2024-20399, se explota enviando mensajes maliciosos que causan un error de lógica en la gestión de fallos de autenticación repetidos, resultando en denegación de servicio sin necesidad de credenciales. CVE y severidad CVE Producto Versiones afectadas Puntaje CVSS v3.1 Tipo de vulnerabilidad Severidad CVE-2024-20399 Cisco ISE 3.4.0, 3.4 P1, 3.4 P2, 3.4 P3 7.5 Denegación de servicio (DoS) Alta Productos afectados Cisco Identity Services Engine versiones 3.4.0 hasta 3.4 Patch…
Vulnerabilidades críticas de inyección SQL y DoS en Django framework
Se han divulgado dos vulnerabilidades críticas en el framework Django que permiten ataques de inyección SQL y denegación de servicio (DoS). Las fallas afectan componentes centrales, incluyendo QuerySet y objetos Q para inyección SQL, y funciones HttpResponseRedirect en Windows para DoS. Estas vulnerabilidades requieren atención inmediata para mitigar impactos como acceso no autorizado a datos y agotamiento de recursos del sistema. CVE y severidad CVE ID Tipo de vulnerabilidad Versiones afectadas Puntaje CVSS Severidad CVE-2025-64459 Inyección SQL Django 4.2, 5.1, 5.2, 6.0 (beta) 9.8 Alta CVE-2025-64458 Denegación de Servicio (DoS) Django 4.2, 5.1, 5.2, 6.0 (beta) 5.3 Media Productos afectados…
Explotación crítica de vulnerabilidad en Oracle E-Business Suite por ransomware Cl0p
El grupo de ransomware Cl0p, activo desde 2019 y vinculado a Rusia, ha explotado críticamente la vulnerabilidad CVE-2025-61882 en Oracle E-Business Suite, un ERP ampliamente usado para gestión de pedidos, compras y logística. Esta falla permite la penetración rápida en redes corporativas, favoreciendo la encriptación de datos y la extracción de información confidencial. La explotación masiva fue detectada en 2025 y se caracteriza por reutilización sofisticada de infraestructura y técnicas de evasión geográficas. CVE y severidad CVE Severidad Componente afectado Estado de explotación CVE-2025-61882 Crítica Oracle E-Business Suite (ERP) Explotación activa (zero-day) CVE-2023-34362 Alta Vulnerabilidad MOVit (Campañas anteriores) Explotación confirmada…
Explotación activa de vulnerabilidad crítica RCE en Cisco Secure Firewall ASA y FTD
Cisco ha confirmado que actores maliciosos están explotando activamente una vulnerabilidad crítica de ejecución remota de código (RCE) en sus productos Secure Firewall Adaptive Security Appliance (ASA) y Threat Defense (FTD). La falla, identificada como CVE-2025-20333, afecta el servidor web VPN al permitir que atacantes autenticados ejecuten código con privilegios root, comprometiendo completamente los dispositivos. Esta vulnerabilidad tiene un puntaje CVSS 9.9 y afecta configuraciones con funciones de acceso remoto habilitadas, representando un riesgo severo para la integridad y confidencialidad de las redes corporativas. CVE y severidad CVE Descripción Severidad Componente afectado CVSS v3 Base Score Explotación conocida CVE-2025-20333 Desbordamiento…