Libera tu mente y alcanza tus metas
Vulnerabilidades
Vulnerabilidades

Vulnerabilidades

Vulnerabilidades

¡Diez años a la sombra! Una vieja vulnerabilidad crítica en Roundcube permite ejecutar código tras autenticarse

Un investigador ha destapado un bug que llevaba una década escondido en Roundcube Webmail. El fallo (CVE-2025-49113, CVSS 9.9) permite que cualquier usuario autenticado tome el control total del servidor y ejecute código arbitrario. La solución llegó el 1 de junio con las versiones 1.6.11 y 1.5.10 LTS —pero mientras no se apliquen, miles de […]

La entrada ¡Diez años a la sombra! Una vieja vulnerabilidad crítica en Roundcube permite ejecutar código tras autenticarse se publicó primero en Una Al Día.

Artículos Vulnerabilidades

Nuevas vulnerabilidades en Linux permiten robar el hash de contraseñas desde core dumps

Dos fallos de condición de carrera descubiertos por Qualys en los manejadores de core dumps de Linux —apport en Ubuntu y systemd-coredump en Red Hat Enterprise Linux (RHEL) 9/10 y Fedora— han sido catalogados como CVE-2025-5054 y CVE-2025-4598. Un atacante local podía forzar el volcado de memoria de un programa SUID y, antes de que se restringieran los permisos del archivo, leer el contenido para extraer hashes de /etc/shadow, lo que abre la puerta a la elevación de privilegios tras su criptoanálisis.

La entrada Nuevas vulnerabilidades en Linux permiten robar el hash de contraseñas desde core dumps se publicó primero en Una Al Día.

seguridad web Vulnerabilidades

Vulnerabilidad del servlet CGI de Apache Tomcat permite eludir restricciones de seguridad

Se ha descubierto una nueva vulnerabilidad de seguridad en la implementación
del servlet CGI de Apache Tomcat que podría permitir a los atacantes eludir
las restricciones de seguridad configuradas en determinadas circunstancias.

Esta vu…

Vulnerabilidades

Una vulnerabilidad crítica en TI WooCommerce Wishlist expone más de 100 000 sitios WordPress

Investigadores de Patchstack han revelado la CVE-2025-47577, un fallo de gravedad máxima (CVSS 10) en el plugin TI WooCommerce Wishlist, utilizado por más de 100 000 portales WordPress, que permite a un atacante no autenticado subir archivos arbitrarios y obtener ejecución remota de código (RCE). El problema se origina en la función tinvwl_upload_file_wc_fields_factory, que delega […]

La entrada Una vulnerabilidad crítica en TI WooCommerce Wishlist expone más de 100 000 sitios WordPress se publicó primero en Una Al Día.

Artículos Oracle Vulnerabilidades

Fuga de memoria en Oracle TNS deja al descubierto información sensible.

Una investigación reciente ha revelado un fallo en el protocolo Transparent Network Substrate (TNS) de Oracle que permite a un atacante sin autenticar extraer fragmentos de memoria del sistema —incluyendo variables de entorno y datos de conexión— simplemente enviando una petición al listener de la base de datos. Oracle solucionó el problema en el Critical Patch Update (CPU) de abril de 2025, pero aún se detectan servidores expuestos en Internet.

La entrada Fuga de memoria en Oracle TNS deja al descubierto información sensible. se publicó primero en Una Al Día.

Artículos General vulnerabilidad Vulnerabilidades

Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs

Una investigación reciente ha sacado a la luz un fallo de cross-site scripting (XSS) en Bitwarden (≤ v2.25.1) que permite a un atacante subir un PDF especialmente manipulado y ejecutar código en el navegador de cualquier usuario que lo abra. La empresa sigue sin responder, por lo que millones de bóvedas de contraseñas permanecen expuestas.

La entrada Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs se publicó primero en Una Al Día.

sistema operativo Vulnerabilidades

BadSuccessor: escalamiento de privilegios abusando de dMSA en Active Directory

Yuval Gordon, investigador de Akamai, ha descubierto una técnica avanzada de
escalamiento de privilegios en entornos Windows Server 2025 conocida como
BadSuccessor. Esta técnica depende de una nueva funcionalidad legítima: las Cuentas de
Servi…

sistema operativo Vulnerabilidades

BadSuccessor: escalamiento de privilegios abusando de dMSA en Active Directory

Yuval Gordon, investigador de Akamai, ha descubierto una técnica avanzada de
escalamiento de privilegios en entornos Windows Server 2025 conocida como
BadSuccessor. Esta técnica depende de una nueva funcionalidad legítima: las Cuentas de
Servi…