Publicado el

Boletín de seguridad de Android – Enero de 2026

 

Boletín de seguridad de Android – Enero de 2026

Introducción
 Se ha publicado el boletín de seguridad de Android correspondiente a enero de 2026, en el que se corrige una vulnerabilidad crítica que afecta al componente Dolby DD+ (subcomponente de códec). Esta vulnerabilidad, identificada como CVE-2025-54957, podría ser aprovechada para provocar una escritura fuera de límites, lo que representa un riesgo importante para la integridad del sistema afectado.

 
Análisis 
La vulnerabilidad CVE-2025-54957 se encuentra en el decodificador DD+ del códec Dolby. El problema se origina cuando el fichero evo_priv.c procesa datos de tipo Evolution provenientes de un flujo de bits DD+ malformado.
Durante este procesamiento, los datos son escritos en un búfer, pero debido a un error de enteros al calcular la longitud de escritura, el tamaño del búfer puede ser incorrectamente asignado. Esto impide que las comprobaciones de límites funcionen adecuadamente y permite una escritura fuera de los límites de memoria, generando condiciones propicias para fallos del sistema, corrupción de memoria o potencial ejecución de código.
 
Vector de ataque
  •  El atacante puede preparar un flujo de bits Dolby DD+ especialmente diseñado con formato incorrecto. Al ser procesado por el sistema vulnerable, desencadena la escritura fuera de límites.
  • Este ataque podría realizarse mediante archivos multimedia maliciosos si son abiertos por aplicaciones que utilicen el decodificador afectado.
     
Impacto potencial
  • Corrupción de memoria en el dispositivo afectado.
  • Posible ejecución de código arbitrario.
  • Bloqueo de aplicaciones o del sistema.
  • Riesgo elevado en dispositivos que procesen contenido multimedia no confiable.
Clasificación CVSSPendiente de publicación oficial, pero catalogado por el fabricante como crítico.
 
Recursos Afectados:
  • Dispositivos Android que integren el códec DD+ de Dolby.
  • La vulnerabilidad afecta al subcomponente utilizado en la decodificación de streams DD+ dentro de ciertos dispositivos Android.
  • CVE afectado: CVE-2025-54957 — Severidad: Crítica | Explotación conocida: No | Fabricante: ANDROID
 
Recomendaciones:
  • Actualizar el sistema Android a la versión más reciente disponible.
  • Evitar la ejecución de archivos multimedia de origen no confiable hasta aplicar el parche.
  • Aplicar las actualizaciones de seguridad distribuidas por el fabricante del dispositivo o el operador móvil.
 
Referencias: 
Publicado el

Reactivación de ataques contra CVE-2020-12812 en Fortinet

 

Más de 10.000 firewalls de Fortinet expuestos a una omisión de 2FA explotada activamente

Introducción
       Se ha detectado actividad maliciosa explotando una vulnerabilidad crítica en dispositivos Fortinet FortiGate que permite omitir el segundo factor de autenticación (2FA). Esta vulnerabilidad, identificada como CVE-2020-12812 y corregida en 2020, sigue afectando a más de 10.000 firewalls expuestos públicamente que no han aplicado el parche correspondiente.
 
Análisis 
La vulnerabilidad CVE-2020-12812 afecta a FortiOS SSL VPN cuando la autenticación se realiza mediante LDAP. Permite a un atacante eludir la verificación del segundo factor (FortiToken) si el nombre de usuario es manipulado (por ejemplo, cambiando mayúsculas/minúsculas).
Fortinet publicó actualizaciones de seguridad en julio de 2020 para corregir la falla e instó a desactivar la distinción entre mayúsculas y minúsculas como mitigación temporal.
En las últimas semanas, Fortinet ha confirmado que esta vulnerabilidad sigue siendo activamente explotada en escenarios reales. El grupo Shadowserver detecta actualmente más de 10.000 dispositivos vulnerables en línea, con especial concentración en Estados Unidos.
Esta vulnerabilidad ya fue señalada en 2021 por la CISA y el FBI como parte de campañas de grupos APT patrocinados por estados, y se añadió en su momento al catálogo de vulnerabilidades explotadas conocidas.
 
Vector de ataque
  • Aprovecha la distorsión en el nombre de usuario al autenticarse vía SSL VPN.
  • Si LDAP está activado y el sistema es vulnerable, el atacante consigue acceso sin necesidad de introducir el segundo factor.
     
Impacto potencial
  • Acceso no autorizado a la red corporativa.
  • Secuestro de sesiones administrativas.
  • Persistencia dentro del entorno comprometido.
  • Riesgo de despliegue de malware, ransomware o exfiltración de datos.
Clasificación CVSS: 9.8 – Crítica
 
Recursos Afectados:
Dispositivos FortiGate con FortiOS en las siguientes versiones (sin parchear):
  • FortiOS 6.0.0 a 6.0.9 (corregido en 6.0.10)
  • FortiOS 6.2.0 a 6.2.3 (corregido en 6.2.4)
  • FortiOS 6.4.0 (corregido en 6.4.1)
 
 
Recomendaciones:

  • Aplicar inmediatamente las actualizaciones de seguridad publicadas por Fortinet.

  • Verificar si LDAP está habilitado en las configuraciones SSL VPN y revisar que no haya distorsión en el tratamiento del nombre de usuario.

  • Revisar registros de acceso e indicadores de compromiso.

  • Desactivar temporalmente la autenticación por SSL VPN si no es imprescindible.

 
Referencias: 
  •  
Logo de LangChain
Logo LangChain
Publicado el

Boletín de diciembre de 2025

Diciembre marca el cierre de un ejercicio especialmente significativo para CSIRT-CV, en el que hemos celebrado 18 años de compromiso con la ciberseguridad en la Comunitat Valenciana. En este último boletín del año, repasamos las acciones más desarrolladas en el centro, con el objetivo de cerrar el ejercicio con perspectiva, extraer aprendizajes y prepararnos para los retos que nos traerá el próximo año.

 

Calendario de Adviento de Ciberseguridad interactivo

El pasado 1 de diciembre, CSIRT-CV publicó en concienciaT su Calendario de Adviento de Ciberseguridad interactivo, una iniciativa divulgativa que propone 24 consejos prácticos sobre seguridad de la información: contraseñas, WiFi, móviles, redes sociales, compras online, entre otros. Aunque diciembre ya ha finalizado, la concienciación no entiende de fechas: el calendario sigue disponible para aprender y reforzar hábitos digitales seguros durante todo el año. 

 

Precaución con las compras online

La subdirectora de Ciberseguridad, Carmen Serrano, ha recordado la importancia de extremar las precauciones en las compras online, especialmente en periodos de alta actividad como Navidad, rebajas, Black Friday o Cyber Monday. Entre las principales recomendaciones destaca: comprar únicamente en webs oficiales, evitar hacer clic en enlaces sospechosos y comprobar siempre que las páginas sean seguras. Puedes ver su intervención en A Punt en el siguiente enlace.

 

Webinar ‘Supervivencia digital en tu día a día’

La Generalitat, a través de CSIRT-CV, ha reforzado la formación en ciberseguridad de su personal de contratación mediante el webinar ‘Supervivencia digital en tu día a día’, con el objetivo de mejorar la detección temprana de intentos de suplantación de identidad y fomentar hábitos digitales más seguros en el trabajo cotidiano.

Durante la sesión, se analizaron los intentos de engaño más comunes que pueden dirigirse al personal de contratación, como la manipulación de facturas, la suplantación de responsables administrativos o el envío de correos electrónicos diseñados para parecer legítimos y se dieron algunas recomendaciones sencillas para evitar caer en mensajes fraudulentos, así como pautas para identificar señales que pueden pasar desapercibidas. El objetivo final es que el personal empleado público pueda actuar con mayor seguridad tanto en el ámbito profesional como en el personal.

 

CSIRT-CV participa en la ‘Jornada de Ciberseguridad ISACA Valencia 2025’

Nuestro compañero del equipo de Red Team de CSIRT-CV, Jorge Palma, participó en la Jornada de Ciberseguridad ISACA Valencia 2025 con la ponencia «Hacker Ético: licencia para hackear» . En ella abordó el panorama del mercado laboral en ciberseguridad y los pasos concretos para transformar la curiosidad técnica de los jóvenes en una carrera profesional con el objetivo de vivir de la ciberseguridad. El evento contó con la asistencia de más de 400 jóvenes, consolidándose como un punto de encuentro clave para el talento emergente en ciberseguridad. Puedes leer la noticia de Valencia Extra aquí.

 

Estafas online aprovechando el estreno de Avatar 3

El estreno de Avatar 3 ha generado un gran interés entre sus seguidores de la saga, una circunstancia que ha sido aprovechada por ciberdelincuentes para lanzar campañas de estafas en línea. Se ha detectado una campaña de suplantación de identidad de varios servicios de streaming en diferentes países, en la que se promete acceso gratuito para ver la película a cambio de datos personales. Recuerda: si algo parece demasiado bueno para ser verdad, probablemente no lo sea. ¡No piques!

 

Alertas de seguridad

A continuación, destacamos dos de las alertas de seguridad más relevantes del último mes, disponibles en el portal de CSIRT-CV:  

  • Vulnerabilidades en el kernel de Android: Android publicó varias vulnerabilidades, afectando algunas de ellas a componentes del kernel (o núcleo), que podrían permitir a un atacante lograr una denegación de servicio (DoS) remota.
  • Boletín de seguridad de Zoom: En su boletín de seguridad, Zoom corrigió diversas vulnerabilidades de distinta severidad que afectan a los clientes SDK y a los componentes VDI de Zoom Workplace.

 

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271).

Publicado el

Vulnerabilidad crítica en MongoDB


MongoDB ha alertado recientemente a los administradores de sistemas sobre la existencia de una vulnerabilidad de alta gravedad que podría ser explotada para llevar a cabo ataques de ejecución remota de código (RCE) contra servidores vulnerables. Según el fabricante, la explotación de este fallo permitiría a un atacante comprometer completamente la instancia afectada, por lo que se recomienda aplicar las actualizaciones de seguridad de forma inmediata.

La vulnerabilidad, identificada como CVE-2025-14847, se debe a un manejo inadecuado de la inconsistencia del parámetro de longitud en el servidor MongoDB. Este fallo puede ser explotado por atacantes remotos no autenticados, mediante ataques de baja complejidad y sin interacción del usuario, permitiendo la ejecución de código arbitrario y la posible toma de control del sistema.

Según el aviso de seguridad de MongoDB, el problema está relacionado con la implementación de la compresión zlib, pudiendo provocar la exposición de memoria de montón no inicializada durante el procesamiento de determinadas peticiones. Una explotación exitosa podría afectar gravemente a la confidencialidad, integridad y disponibilidad de los datos almacenados en la base de datos.

Las versiones afectadas incluyen múltiples ramas de MongoDB, desde versiones recientes hasta ramas antiguas aún desplegadas en numerosos entornos, lo que incrementa el riesgo en sistemas no actualizados.

Desde CSIRT-CV se recuerda la importancia de mantener los sistemas actualizados, especialmente en servicios críticos como las bases de datos. MongoDB recomienda actualizar de forma inmediata a una versión corregida. En aquellos casos en los que no sea posible aplicar el parche de manera inmediata, se aconseja deshabilitar temporalmente la compresión zlib y reforzar los controles de red, limitando la exposición de los servidores MongoDB mediante firewalls y segmentación de red. Asimismo, se recomienda monitorizar posibles indicadores de compromiso tras la aplicación de las medidas correctoras.

Para más información técnica y detalles oficiales sobre esta vulnerabilidad, pueden consultarse las siguientes referencias.

Referencias:

https://jira.mongodb.org/browse/SERVER-115508
https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/