Se ha descubierto una vulnerabilidad crítica en las versiones 0.68-0.80 del cliente PuTTY Secure Shell (SSH) y Telnet que podría poner en peligro las claves privadas NIST P-521 (ecdsa-sha2-nistp521). La identificación CVE CVE-2024-31497 ha sido otorgada a esta falla, y los investigadores de la Universidad de Ruhr, Bochum, Fabian Bäumer y Marcus Brinkmann, son los…
Un informe reciente de Binarly ha expuesto una preocupante vulnerabilidad de seguridad en el servidor web de código abierto Lighttpd, el cual es comúnmente utilizado en controladores de gestión de placas base (BMCs). La falta de un identificador CVE o un aviso significativo hizo que desarrolladores del BMC de AMI MegaRAC no parchearan este problema,…
Palo Alto Networks lanza parches para una falla crítica de seguridad en el software PAN-OS que ha sido objeto de explotación activa en la naturaleza. La vulnerabilidad (CVE-2024-3400) permite la inyección de comandos en la característica GlobalProtect, lo que puede ser aprovechado por un atacante no autenticado para ejecutar código arbitrario con privilegios de root…
Nuevos hallazgos revelan que los «archivos de prueba» asociados con la puerta trasera de XZ Utils han llegado a un cuadro de Rust conocido como liblzma-sys. Liblzma-sys, que ha sido descargado más de 21.000 veces hasta la fecha, proporciona correlaciones a los desarrolladores de Rust con la implementación de liblzma. Los archivos de prueba maliciosos…
Palo Alto Networks advierte sobre una crítica vulnerabilidad en el software PAN-OS utilizado en sus puertas de enlace GlobalProtect, identificada como CVE-2024-3400. La falla cuenta con un puntaje CVSS de 10.0, lo que indica un nivel de gravedad máximo y está siendo explotada en la naturaleza. La vulnerabilidad de inyección de comandos en la característica…
En su informe anual State of Secrets Sprawl, GitGuardian reveló que en el 2023 se encontraron más de 10 millones de contraseñas, claves API y credenciales expuestas en compromisos públicos de GitHub. El informe del 2024 destaca no solo los 12.8 millones de nuevas contraseñas expuestas en GitHub, sino también un número en el repositorio…
El informe anual de GitGuardian sobre la propagación de secretos revela que en 2023, más de 10 millones de contraseñas, claves API y otras credenciales fueron expuestas en GitHub. Este año, el informe destaca que se encontraron 12,8 millones de secretos expuestos en GitHub y también en PyPI, un popular repositorio de paquetes de Python….
Fortinet lanza parches para solucionar una vulnerabilidad crítica en FortiClientLinux que permite la ejecución de código arbitrario. Esta vulnerabilidad, conocida como CVE-2023-45590, tiene un puntaje de CVSS de 9.4 sobre un máximo de 10 y se describe como «Inyección de Código«. Fortinet aconseja actualizar FortiClientLinux a la versión 7.0.11 o superior y FortiClientMac a la…
Según un nuevo estudio del Grupo de Seguridad de Sistemas y Redes (VUSec) de la Universidad Libre de Ámsterdam, investigadores de ciberseguridad han revelado el «primer exploit nativo de Spectre v2» contra el kernel de Linux en sistemas Intel que podría ser utilizado para leer datos sensibles de la memoria. Este exploit, llamado Inyección de…
Se ha descubierto una vulnerabilidad crítica en la biblioteca estándar de Rust que podría permitir ataques de inyección de comandos a los usuarios de Windows. La falla, identificada como CVE-2024-24576 y conocida como BatBadBut, es muy grave, con una puntuación de CVSS de 10,0. Sin embargo, solo afecta a escenarios específicos en los que se…
