Vulnerabilidad crítica en Cisco IOS XE permite explotación remota con privilegios de root mediante JWT
Cisco ha publicado actualizaciones de seguridad para corregir una vulnerabilidad crítica identificada como CVE-2025-20188, con una puntuación de 10.0 en CVSS, que afecta a los Wireless LAN Controllers (WLC) que ejecutan el sistema operativo IOS XE. Esta falla permite a atacantes remotos no autenticados cargar archivos arbitrarios y ejecutar comandos con privilegios de root en los sistemas afectados, mediante el uso de un JWT (JSON Web Token) codificado. Cisco identificó esta vulnerabilidad durante pruebas internas de seguridad realizadas por su equipo de Advanced Security Initiatives Group (ASIG). Hasta el momento, no se ha detectado explotación activa de esta vulnerabilidad en…
Ejecución remota de código en Apache ActiveMQ NMS OpenWire Client
Se ha identificado una vulnerabilidad crítica en Apache ActiveMQ NMS OpenWire Client, un componente de mensajería basado en .NET que permite la comunicación con brokers ActiveMQ mediante el protocolo OpenWire. Esta falla, catalogada como CVE-2025-29953, podría permitir a atacantes remotos ejecutar código arbitrario en sistemas afectados al deserializar datos no confiables enviados desde servidores maliciosos Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Vulnerabilidad en Apache Parquet Java permite ejecución remota de código Linux
Una vulnerabilidad crítica ha sido identificada en Apache Parquet Java, una biblioteca ampliamente utilizada para el almacenamiento y procesamiento de datos en entornos de big data. La falla reside en el módulo parquet-avro y permite la ejecución remota de código (RCE) cuando se procesan esquemas Avro maliciosos incrustados en archivos Parquet. Aunque la versión 1.15.1 introdujo restricciones para paquetes no confiables, la configuración predeterminada aún permite la ejecución de clases desde paquetes preaprobados, como java.util. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Vulnerabilidad crítica de inyección SQL en ADOdb
Una vulnerabilidad crítica ha sido identificada en ADOdb, una biblioteca de abstracción de bases de datos para PHP ampliamente utilizada, con más de 2.8 millones de descargas en Packagist. Esta falla afecta específicamente al método pg_insert_id() en el controlador de PostgreSQL, permitiendo a atacantes ejecutar comandos SQL arbitrarios mediante la inyección de entradas maliciosas no validadas. La explotación exitosa de esta vulnerabilidad podría resultar en la divulgación de información sensible, manipulación de datos o incluso ejecución remota de código, dependiendo de los permisos de la base de datos y las integraciones del sistema. Productos y versiones afectadas: Solución Recomendaciones: Referencias:
Vulnerabilidad crítica en Kibana
Se ha identificado una vulnerabilidad crítica en Kibana, la cual permite la ejecución arbitraria de código. Esta falla podría ser explotada por usuarios con roles limitados, lo que representa un riesgo significativo para la seguridad de los sistemas afectados. Productos y versiones afectadas Solución: Recomendaciones Referencias:
Cisco corrige vulnerabilidad de ClamAV con PoC y falla crítica en Meeting Management
Cisco ha publicado una actualización de seguridad que corrige dos vulnerabilidades en sus productos Cisco Meeting Management y ClamAV. Estas fallas, una de ellas clasificada como crítica, pueden permitir a atacantes elevar privilegios en sistemas vulnerables o causar condiciones de denegación de servicio. La empresa recomienda aplicar los parches de inmediato para mitigar los riesgos asociados. CVE Producto Afectado Versión Afectada Solución CVE-2025-20156 Cisco Meeting Management Versione 3.9, 3.8 y anteriores Actualizar a la versión 3.9.1, 3.10 o superior CVE-2025-20128 ClamAV Versiones anteriores a 1.4.2 Actualizar a la versión 1.4.2 o superior Versiones anteriores a 1.0.8 Actualizar a la versión…
Actualización de seguridad para Google Chrome
Google ha lanzado una actualización de seguridad para su navegador Chrome, abordando dos vulnerabilidades que afectan al motor de JavaScript V8. Estas fallas podrían permitir la ejecución de código malicioso, comprometiendo la integridad del sistema y facilitando ataques remotos. Productos y versiones afectadas Solución Recomendaciones: Referencias:
Vulnerabilidad crítica en UpdraftPlus afecta a sitios WordPress
Se ha identificado una vulnerabilidad crítica en el plugin UpdraftPlus Backup & Migration, utilizado por más de 3 millones de sitios WordPress. Esta falla permite a atacantes no autenticados aprovechar un error de deserialización de entradas no confiables. Aunque la vulnerabilidad por sí sola no incluye una cadena de explotación directa, podría combinarse con otras vulnerabilidades en plugins o temas para permitir la ejecución de código arbitrario, el acceso a datos sensibles o incluso la eliminación de archivos importantes. El equipo de UpdraftPlus ya ha lanzado una actualización que corrige esta vulnerabilidad. . Productos y versiones afectadas: . Solución: ….
Vulnerabilidades Críticas en Plugins de WordPress: WP Travel Engine y WooCommerce POS
WordPress, una de las plataformas de gestión de contenidos más populares, ha registrado recientemente vulnerabilidades críticas en algunos de sus complementos más utilizados. Estas fallas pueden comprometer la seguridad de los sitios web, permitiendo a atacantes tomar control de cuentas críticas o ejecutar código malicioso. A continuación, presentamos un resumen de las vulnerabilidades identificadas: Producto afectado Versión afectada Solución WooCommerce Point of Sale Versiones anteriores a la 6.1.0. Actualizar a la versión 6.2.0 o posterior. WP Travel Engine – Elementor Widgets Versiones anteriores a la 1.3.7. Actualizar a la versión 1.3.8 o posterior. Recomendaciones: Referencias: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wte-elementor-widgets/wp-travel-engine-elementor-widgets-create-travel-booking-website-using-wordpress-and-elementor-137-authenticated-contributor-local-file-inclusion https://www.cvefind.com/en/cve/CVE-2024-12272.html https://www.cve.org/CVERecord?id=CVE-2024-12272 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-11281 https://www.cvefind.com/en/cve/CVE-2024-11281.html https://www.cve.org/CVERecord?id=CVE-2024-11281
Vulnerabilidad crítica en Apache Traffic Control
Apache Traffic Control, una solución de código abierto de Apache Software Foundation diseñado para gestionar y operar redes de distribución de contenido (CDN), ha identificado una vulnerabilidad crítica en su sistema. Productos y versiones afectadas: Solución: Recomendaciones: Referencias: https://lists.apache.org/thread/t38nk5n7t8w3pb66z7z4pqfzt4443trr https://www.cvefind.com/en/cve/CVE-2024-45387.html https://www.cve.org/CVERecord?id=CVE-2024-45387