Se han descubierto varias vulnerabilidades críticas en el sistema de ejecución de código en línea de código abierto Judge0, que podrían resultar en la ejecución de código en el sistema de destino. Según un informe publicado hoy por la firma de ciberseguridad australiana Tanto Security, las tres vulnerabilidades, todas de naturaleza crítica, podrían permitir a…
Los ciberdelincuentes están tratando de aprovechar una vulnerabilidad crítica en el complemento ValvePress Automatic para WordPress. La vulnerabilidad, conocida como CVE-2024-27956, tiene una puntuación CVSS de 9.9 sobre 10 y afecta a todas las versiones anteriores a la 3.92.0 del complemento. La versión 3.92.1, publicada el 27 de febrero de 2024, resuelve este problema, aunque…
El investigador de seguridad de SafeBreach, Or Yair, presentó un análisis en la conferencia Black Hat Asia, destacando cómo el proceso de conversión de la ruta de DOS a NT podría ser utilizado por actores de amenazas para ocultar y suplantar archivos, directorios y procesos, otorgándoles capacidades similares a las de un rootkit. Durante este…
Palo Alto Networks ha compartido un guía de remediación para una vulnerabilidad crítica de seguridad, CVE-2024-3400, en PAN-OS. Esta vulnerabilidad tiene una puntuación CVSS de 10.0 y permite la ejecución remota de comandos shell en dispositivos vulnerables. Se ha confirmado su explotación desde el 26 de marzo de 2024, bajo el nombre de Operación MidnightEclipse,…
Un estudio identifica vulnerabilidades de seguridad en aplicaciones de teclado basadas en la nube que podrían exponer las pulsaciones de teclas de los usuarios a actores malintencionados. Citizen Lab encontró debilidades en ocho de nueve aplicaciones de proveedores como Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo y Xiaomi. El único proveedor cuya aplicación de teclado…
Los investigadores han descubierto una vulnerabilidad de dependencia que afecta al proyecto archivado de Apache llamado Cordova App Harness. Los ataques de dependencia se producen porque los gestores de paquetes priorizan los repositorios públicos sobre los privados, lo que permite a un atacante publicar un paquete malicioso con el mismo nombre en un repositorio público….
Un investigador de seguridad independiente, Pierre Barre, encontró y reportó 18 vulnerabilidades en la aplicación de gestión de red de área de almacenamiento (SAN) Brocade SANnav. Estas vulnerabilidades afectan a todas las versiones hasta la 2.3.0 e incluyen desde reglas de firewall incorrectas, acceso raíz inseguro, configuraciones erróneas de Docker, hasta falta de autenticación y…
La falla de seguridad en el software de transferencia de archivos empresarial CrushFTP está siendo explotada de manera selectiva, lo que lleva a la llamada a los usuarios a actualizar a la versión más reciente. CrushFTP ha reconocido la vulnerabilidad en las versiones v11 y anteriores, que permite a los usuarios descargar archivos del sistema…
Palo Alto Networks da a conocer detalles de una grave falla de seguridad que afecta a varias versiones de PAN-OS. La vulnerabilidad, rastreada como CVE-2024-3400, tiene una puntuación CVSS de 10.0 y ha sido explotada por ciberdelincuentes. La empresa de seguridad en red describe la falla como «intrincada» y una combinación de dos errores en…
La interfaz de línea de comando (CLI) de Amazon Web Services (AWS) y Google Cloud presentan una vulnerabilidad de seguridad que expone credenciales sensibles en registros de compilación, según una nueva investigación de Orca, una empresa de seguridad en la nube. Esta vulnerabilidad, llamada LeakyCLI, puede ser explotada por actores malintencionados a través de pipelines…
