QNAP, la empresa taiwanesa especializada en diseño y fabricación de dispositivos de almacenamiento conectado en red (NAS) y soluciones asociadas, se ve afectada por una vulnerabilidad de evasión de autenticación y otra de path traversal.
La entrada De cero a root: cómo dos vulnerabilidades críticas exponen los sistemas QNAP se publicó primero en Una Al Día.
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) ha actualizado su catálogo de vulnerabilidades explotadas conocidas (KEV) para incluir dos fallos recientemente identificados como objeto de explotación activa. La medida se enmarca en el esfuerzo por obligar a las agencias federales a aplicar parches y medidas de mitigación de manera prioritaria, con fecha límite establecida para el 23 de septiembre de 2025.
La entrada CISA declara la guerra a los fallos de seguridad en TP-Link y WhatsApp se publicó primero en Una Al Día.
Investigadores de Socket han identificado 11 módulos de Go y al menos dos bibliotecas npm que ocultan un loader capaz de descargar «Rekoobe» —un backdoor ELF/PE de segunda fase— y, en ciertas variantes, ejecutar un wipe remoto con rm -rf *. Entre los nombres detectados figuran github.com/stripedconsu/linker, expertsandba/opt, ordinarymea/TNSR_IDS o cavernouskina/mcp-go, así como los paquetes naya-flore y nvlore-hsc en npm.v
La entrada Paquetes maliciosos en Go y npm instalan el backdoor Rekoobe y pueden borrar sistemas completos se publicó primero en Una Al Día.
Dos vulnerabilidades de inyección de comandos —una de ellas sin autenticación— afectan a los videograbadores de red VIGI NVR1104H-4P V1 y VIGI NVR2016H-16MP V2. Con CVSS-v4 de 8,5 y 8,7, respectivamente, los fallos ya cuentan con advisory oficial y actualizaciones de firmware.
La entrada TP-Link corrige dos vulnerabilidades críticas en videograbadores VIGI que permiten ejecutar comandos remotos se publicó primero en Una Al Día.
Google ha publicado una actualización de emergencia para Chrome que corrige la vulnerabilidad CVE‑2025‑6554, la cuarta brecha zero‑day que los atacantes han aprovechado este año. El parche ya se está desplegando para Windows, macOS y Linux, y la compañía urge a los usuarios a reiniciar el navegador cuanto antes. ¿Qué ha pasado exactamente? Contexto y buenas prácticas Este […]
La entrada ¡Otro agujero en Chrome! Google tapa su cuarto zero‑day crítico de 2025 se publicó primero en Una Al Día.
Cisco ha publicado hotfixes para su Identity Services Engine (ISE) tras revelarse CVE-2025-20286, una vulnerabilidad de credenciales estáticas que afecta a implementaciones en la nube de AWS, Azure y Oracle Cloud Infrastructure y que ya cuenta con código de prueba de concepto.
La entrada Cisco corrige vulnerabilidad crítica en ISE con PoC pública se publicó primero en Una Al Día.
Una investigación reciente ha sacado a la luz un fallo de cross-site scripting (XSS) en Bitwarden (≤ v2.25.1) que permite a un atacante subir un PDF especialmente manipulado y ejecutar código en el navegador de cualquier usuario que lo abra. La empresa sigue sin responder, por lo que millones de bóvedas de contraseñas permanecen expuestas.
La entrada Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs se publicó primero en Una Al Día.
Google publicó una actualización de seguridad para mitigar una vulnerabilidad de alta severidad en su navegador Chrome, identificada como CVE-2025-4664. Esta falla ya está siendo activamente explotada, según ha confirmado la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) al incluirla en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
La entrada Chrome bajo ataque: vulnerabilidad crítica CVE-2025-4664 se publicó primero en Una Al Día.
Actores de amenaza cibernética han activado campañas de explotación contra una vulnerabilidad no parcheada (CVE-2025-1316, CVSS v4: 9.3) en cámaras de red Edimax IC-7100, siendo empleada como vector para desplegar variantes de la botnet Mirai desde mayo de 2024. Este defecto crítico, clasificado como una vulnerabilidad de inyección de comandos a nivel de sistema operativo, permite la ejecución remota de código (RCE) mediante solicitudes maliciosamente estructuradas.
La entrada Utilizan una vulnerabilidad crítica en dispositivos Edimax IC-7100 para distribución de botnets Mirai se publicó primero en Una Al Día.
Broadcom ha emitido un conjunto de parches de seguridad para mitigar tres vulnerabilidades de alto riesgo (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) explotadas activamente en entornos de virtualización VMware ESXi, Workstation y Fusion. Estas brechas, catalogadas como zero-day debido a su explotación previa a la remediación, permiten ejecución remota de código (RCE), escape de máquina virtual (VM Escape) y exfiltración de memoria sensible, comprometiendo la integridad de infraestructuras críticas.
La entrada Tres vulnerabilidades activas en VMware: Actualización obligatoria se publicó primero en Una Al Día.
