Cisco ha publicado hotfixes para su Identity Services Engine (ISE) tras revelarse CVE-2025-20286, una vulnerabilidad de credenciales estáticas que afecta a implementaciones en la nube de AWS, Azure y Oracle Cloud Infrastructure y que ya cuenta con código de prueba de concepto.
La entrada Cisco corrige vulnerabilidad crítica en ISE con PoC pública se publicó primero en Una Al Día.
Varios complementos muy populares de Google Chrome ‒entre ellos SEMRush Rank, Browsec VPN, MSN New Tab, DualSafe Password Manager, AVG Online Security o Trust Wallet‒ exponen a sus usuarios a dos riesgos simultáneos: envían telemetría a través de HTTP sin cifrar y contienen credenciales duras en el propio JavaScript (API keys de GA4, Azure, AWS, Tenor o Ramp Network).
La entrada Extensiones de Chrome filtran API keys y datos en texto plano se publicó primero en Una Al Día.
Dos fallos de condición de carrera descubiertos por Qualys en los manejadores de core dumps de Linux —apport en Ubuntu y systemd-coredump en Red Hat Enterprise Linux (RHEL) 9/10 y Fedora— han sido catalogados como CVE-2025-5054 y CVE-2025-4598. Un atacante local podía forzar el volcado de memoria de un programa SUID y, antes de que se restringieran los permisos del archivo, leer el contenido para extraer hashes de /etc/shadow, lo que abre la puerta a la elevación de privilegios tras su criptoanálisis.
La entrada Nuevas vulnerabilidades en Linux permiten robar el hash de contraseñas desde core dumps se publicó primero en Una Al Día.
Una investigación reciente ha revelado un fallo en el protocolo Transparent Network Substrate (TNS) de Oracle que permite a un atacante sin autenticar extraer fragmentos de memoria del sistema —incluyendo variables de entorno y datos de conexión— simplemente enviando una petición al listener de la base de datos. Oracle solucionó el problema en el Critical Patch Update (CPU) de abril de 2025, pero aún se detectan servidores expuestos en Internet.
La entrada Fuga de memoria en Oracle TNS deja al descubierto información sensible. se publicó primero en Una Al Día.
Una investigación reciente ha sacado a la luz un fallo de cross-site scripting (XSS) en Bitwarden (≤ v2.25.1) que permite a un atacante subir un PDF especialmente manipulado y ejecutar código en el navegador de cualquier usuario que lo abra. La empresa sigue sin responder, por lo que millones de bóvedas de contraseñas permanecen expuestas.
La entrada Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs se publicó primero en Una Al Día.
Google publicó una actualización de seguridad para mitigar una vulnerabilidad de alta severidad en su navegador Chrome, identificada como CVE-2025-4664. Esta falla ya está siendo activamente explotada, según ha confirmado la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) al incluirla en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
La entrada Chrome bajo ataque: vulnerabilidad crítica CVE-2025-4664 se publicó primero en Una Al Día.
GitLab ha distribuido parches de emergencia —17.10.1, 17.9.3 y 17.8.6— para mitigar la vulnerabilidad CVE-2025-2867, una indirect prompt injection que afectaba a su asistente de IA GitLab Duo y que ya había sido demostrada públicamente por Legit Security.
La entrada GitLab parchea vulnerabilidad en su asistente Duo que permitía robo de código (CVE-2025-2867) se publicó primero en Una Al Día.
Microsoft distribuyó el 13 de mayo la actualización acumulativa KB5058379 para Windows 10 (Patch Tuesday de mayo). Tras instalarla y reiniciar, un número creciente de usuarios informa de que el equipo arranca directamente en el Entorno de Recuperación de Windows (WinRE) solicitando la clave de BitLocker, aun cuando no se había producido ningún cambio deliberado […]
La entrada La Actualización KB5058379 provoca la pantalla de recuperación BitLocker en algunos equipos con Windows 10 se publicó primero en Una Al Día.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de Estados Unidos incorporó el pasado jueves una vulnerabilidad de gravedad media (CVSSv3: 6.5), identificada como CVE-2025-24054, a su Catálogo de Vulnerabilidades Explotadas Activamente (KEV).
La entrada Alerta en Windows: vulnerabilidad NTLM (CVE-2025-24054) explotada para robo de hashes se publicó primero en Una Al Día.
Microsoft ha confirmado la explotación zero-day de la vulnerabilidad CVE-2025-29824, un fallo de elevación de privilegios (EoP) en el Common Log File System (CLFS) de Windows, que permitía a atacantes obtener privilegios de SYSTEM mediante técnicas de corrupción de memoria. Este defecto, corregido en el parche de seguridad de abril de 2025, fue empleado en campañas de ransomware dirigidas a entidades en sectores estratégicos, incluidas organizaciones de TI en EE.UU., el sector financiero en Venezuela y empresas en Arabia Saudí.
La entrada PipeMagic: explotación de CVE-2025-29824 en CLFS vinculada a campañas de ransomware se publicó primero en Una Al Día.
