Publicado el

Redis CVE-2025-49844 – Vulnerabilidad crítica permite ejecución remota de código (RediShell)

Introducción

El equipo de seguridad de Redis ha publicado parches para una vulnerabilidad crítica que podría permitir a los atacantes obtener ejecución remota de código (RCE) en miles de instancias vulnerables del popular sistema de base de datos en memoria.
Identificada como CVE-2025-49844 y con una puntuación CVSS de 10.0 (Crítica), la falla, conocida como RediShell, se origina en una debilidad de tipo use-after-free presente desde hace 13 años en el código fuente de Redis. El fallo puede ser explotado por actores autenticados mediante el uso de un script Lua especialmente diseñado, aprovechando que esta funcionalidad está habilitada por defecto.

Análisis

La explotación exitosa de esta vulnerabilidad permite a un atacante escapar del sandbox de Lua, ejecutar código arbitrario, establecer una reverse shell para obtener acceso persistente y, en consecuencia, tomar control completo del host Redis comprometido.
Una vez dentro, los atacantes pueden robar credenciales, implantar malware o criptomineros, exfiltrar información sensible, o moverse lateralmente dentro del entorno de la víctima.

La vulnerabilidad fue reportada por investigadores de Wiz durante el evento Pwn2Own Berlín 2025. Aunque la explotación requiere acceso autenticado, se estima que existen alrededor de 330.000 instancias Redis expuestas en línea, de las cuales unas 60.000 no requieren autenticación, aumentando el riesgo de ataques masivos.

Recomendaciones

Redis ha corregido la vulnerabilidad en las versiones:

    • 7.22.2-12 y superiores
    • 7.8.6-207 y superiores
    • 7.4.6-272 y superiores
    • 7.2.4-138 y superiores
    • 6.4.2-131 y superiores

Se recomienda actualizar de inmediato a una versión corregida, especialmente en instancias expuestas a Internet.
Adicionalmente, se aconseja:

    • Habilitar autenticación y restringir el acceso solo a redes autorizadas.
    • Deshabilitar la ejecución de scripts Lua y comandos innecesarios.
    • Ejecutar Redis con un usuario sin privilegios root.
    • Activar el registro y monitoreo de actividad.
    • Aplicar controles de acceso a nivel de red mediante firewalls o VPCs.

La combinación de la alta criticidad, la gran cantidad de instancias expuestas y las configuraciones inseguras por defecto convierten a RediShell (CVE-2025-49844) en una amenaza grave que requiere remediación inmediata.

Referencias

https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/

Publicado el

Vulnerabilidad crítica en Oracle

Introducción

CVE-2025-61882 está siendo aprovechada por actores maliciosos en campañas de robo de datos y extorsión. En particular, se ha reportado su uso por el grupo Clop en ataques contra instalaciones de Oracle EBS. En los ataques observados se han usado indicadores de compromiso (IOCs) publicados por Oracle para ayudar en la detección y mitigación de los sistemas comprometidos.

Análisis

CVE-2025-61882 es una vulnerabilidad en Oracle E-Business Suite, concretamente en el componente “Concurrent Processing / BI Publisher Integration”. Es remotamente explotable sin necesidad de autenticación, es decir, un atacante puede enviar peticiones maliciosas directamente desde red hacia el sistema vulnerable sin credenciales.

Si se explota con éxito, permite ejecución de código remoto (RCE), lo que puede llevar a la toma completa del componente de Concurrent Processing, comprometiendo confidencialidad, integridad y disponibilidad del sistema. La explotación exitosa de esta vulnerabilidad puede dar control completo del componente afectado, lo que podría permitir escalar privilegios o comprometer otros subsistemas dependiente

 

Recomendaciones

Afecta a las versiones de Oracle EBS 12.2.3 hasta 12.2.14.

Oracle ha publicado un Security Alert con el parche correspondiente para esta vulnerabilidad. Como requisito, el Critical Patch Update de octubre de 2023 debe estar aplicado antes de poder instalar este parche de emergencia.

 

Referencias

https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/
https://www.securityweek.com/oracle-says-known-vulnerabilities-possibly-exploited-in-recent-extortion-attacks/

Publicado el

Vulnerabilidad crítica en Sudo permite escalada local a root

Introducción

CISA ha alertado sobre la explotación activa de la vulnerabilidad CVE-2025-32463 en Sudo, permitiendo a atacantes locales sin privilegios escalar a root.

Análisis

El comando Sudo es fundamental en entornos Linux y macOS para controlar el acceso a privilegios de administración. Una grave vulnerabilidad de escalada de privilegios locales (LPE), identificada como CVE-2025-32463 y con una puntuación CVSS de 9.3, ha sido recientemente explotada, poniendo en jaque la seguridad de servidores y estaciones de trabajo a nivel mundial.

CVE-2025-32463 afecta a Sudo versiones desde la 1.9.14, introduciendo un fallo que permite a usuarios sin privilegios ejecutar comandos con privilegios de root incluso aunque no estén en el archivo sudoers. La explotación se basa en la manipulación del fichero /etc/nsswitch.conf en combinación con el uso del parámetro chroot de Sudo. Un atacante crea un archivo nsswitch.conf controlado, utiliza chroot para engañar a Sudo y consigue ejecución privilegiada. El fallo fue corregido en la versión 1.9.17p1, donde se eliminaron las opciones comprometidas.

El principal riesgo es la posibilidad de que cualquier atacante local obtenga acceso total al sistema, comprometiendo de manera completa la seguridad y la integridad de los servidores afectados. Esto puede derivar en robo de información, instalación de malware o persistencia para ataques posteriores. El hecho de que ya exista una prueba de concepto (PoC) pública y explots en circulación incrementa el nivel de amenaza, tanto para infraestructuras críticas como para despliegues empresariales y usuarios individuales.

Recomendaciones

Se recomienda actualizar Sudo urgentemente a la versión 1.9.17p1 o superior. Es fundamental revisar el catálogo KEV de CISA y aplicar las mejoras de configuración sugeridas, restringiendo los accesos al sistema y monitorizando actividades sospechosas. Además, se aconseja deshabilitar funcionalidades innecesarias y realizar auditorías sobre configuraciones de seguridad previas a la corrección.

La rápida aplicación de parches y la vigilancia continua son críticas para frenar la explotación de CVE-2025-32463. Los equipos de TI deben priorizar la actualización de Sudo y consultar fuentes oficiales, como el KEV de CISA y el NIST, para evaluar riesgos actuales y futuros. La prevención eficaz reduce la superficie de ataque y refuerza la resiliencia organizacional.

Referencias

https://unaaldia.hispasec.com/2025/09/cisa-alerta-vulnerabilidad-critica-en-sudo-permite-escalada-local-a-root.htm

Publicado el

Múltiples vulnerabilidades críticas afectan a Thunderbird

Se han identificado múltiples vulnerabilidades en diferentes versiones del cliente de correo Thunderbird, desarrolladas por Mozilla. Estos fallos de seguridad, aunque mitigados en parte por el diseño del propio cliente (que desactiva los scripts en los correos), representan un riesgo importante en determinados escenarios. Además, se ha detectado un error administrativo por parte de Mozilla al asignar un identificador CVE, lo cual podría dificultar la gestión de vulnerabilidades por parte de los equipos de ciberseguridad.

Análisis

Mozilla ha emitido dos avisos de seguridad en los que detalla varias vulnerabilidades críticas y moderadas que afectan a las versiones 128.11 y 139 de Thunderbird. Estas vulnerabilidades también tienen relación con versiones anteriores de Firefox, ya que ambos productos comparten gran parte del mismo motor de renderizado y procesamiento.

Entre las vulnerabilidades más destacadas se encuentran:

      • CVE‑2025‑5283: Esta vulnerabilidad crítica está relacionada con un fallo de doble liberación de memoria (“double-free”) en la biblioteca libvpx, utilizada para procesar contenido de video en WebRTC. En escenarios donde se intenta inicializar una sesión de WebRTC tras un error de asignación de memoria, el sistema puede intentar liberar dos veces la misma dirección, lo que podría permitir a un atacante ejecutar código malicioso si logra manipular esa memoria.
      • CVE‑2025‑5262: En este caso, no se trata de una vulnerabilidad técnica per se, sino de un error en la asignación del identificador CVE. Mozilla lo asignó incorrectamente, cuando esta gestión debía haber sido realizada por otro organismo autorizado. Este tipo de errores pueden provocar problemas de trazabilidad, dificultando la implementación de parches o la documentación de riesgos en las organizaciones.
      • CVE‑2025‑5280 y CVE‑2025‑5282 : Se refieren a fallos en la seguridad de la memoria, donde el acceso a zonas de memoria no seguras o no autorizadas podría ser aprovechado por un atacante para ejecutar código arbitrario, sobre todo en contextos que simulen un entorno de navegador.
      • Otras vulnerabilidades moderadas incluyen fallos de aislamiento entre orígenes (lo que puede permitir fugas de información entre pestañas o marcos de diferentes dominios), problemas con el copiado de comandos (“Copy as cURL”) que no escapan correctamente caracteres peligrosos, y condiciones que podrían permitir ataques de clickjacking o desbordamientos leves.

Aunque muchas de estas vulnerabilidades no se pueden explotar directamente a través del correo electrónico (ya que Thunderbird bloquea scripts por defecto), sí representan un riesgo si el contenido del correo se renderiza en contextos más amplios, o si el usuario interactúa con enlaces o archivos maliciosos adjuntos.

Recursos Afectados

    • Thunderbird 128.11 y versiones anteriores no parcheadas.
    • Thunderbird 139 y versiones anteriores.
    • Entornos que usan bibliotecas compartidas como libvpx, especialmente en conjunto con WebRTC.
    • Sistemas o usuarios que utilizan funcionalidades como “Copy as cURL” sin validación o sanitización de entradas.
    • Equipos de seguridad que gestionan CVEs de manera automatizada, que podrían verse afectados por la confusión generada por la mala asignación del CVE‑2025‑5262.

Recomendaciones

    • Actualizar inmediatamente Thunderbird a las versiones corregidas (128.11, 139 o superior), donde ya se han aplicado los parches de seguridad.
    • Si se utiliza Firefox o entornos similares, asegurarse también de aplicar las actualizaciones correspondientes, ya que las vulnerabilidades de memoria podrían ser compartidas entre productos.
    • Evitar la apertura de archivos adjuntos sospechosos o enlaces no verificados desde Thunderbird, especialmente si se utilizan funcionalidades como WebRTC o comandos CLI generados desde el cliente.
    • En entornos corporativos, verificar la consistencia de los identificadores CVE registrados con fuentes oficiales y ajustar la documentación si se detectan asignaciones incorrectas.
    • Monitorizar el comportamiento de Thunderbird en entornos con acceso a red, asegurando que no se permite la ejecución de código fuera del entorno controlado del cliente de correo.

Referencias