Seguridad CSIRT-CV, autor en CSIRT-CV

08/01/202608/01/2026

Vulnerabilidades en Veeam Backup & Replication

Introducción

Se han identificado múltiples vulnerabilidades críticas en Veeam Backup & Replication, un software ampliamente utilizado para copias de seguridad empresariales. Algunas de estas vulnerabilidades son de tipo ejecución remota de código (RCE). Veeam ha publicado parches y actualizaciones de seguridad, pero los sistemas aún sin actualizar pueden permanecer expuestos a ataques persistentes, incluida la eliminación de backups y el despliegue de malware en infraestructuras críticas.

Análisis

Destaca la vulnerabilidad crítica CVE-2025-59470:

Para explotar la vulnerabilidad es necesario estar autenticado con un rol privilegiado, como Backup Operator o Tape Operator. Estos roles tienen permisos elevados dentro de Veeam Backup & Replication, lo que permite que un atacante autenticado pueda enviar parámetros maliciosos y ejecutar código como el usuario postgres.

Además se publican otras vulnerabilidades:

- CVE-2025-55125: Permite a un operador de backup o cinta ejecutar código remoto como root mediante un archivo de configuración malicioso. Tiene severidad alta y un CVSS v3.1: 7.2.
- CVE-2025-59468: Permite a un administrador de backup ejecutar código remoto como el usuario postgres enviando un parámetro de contraseña malicioso. Tiene severidad media y un CVSS v3.1: 6.7
- CVE-2025-59469: Permite que un operador de backup o cinta pueda escribir archivos como root. Tiene severidad alta y un CVSS v3.1: 7.2.

Recursos afectados

Veeam Backup & Replication 13.0.1.180 y todas las versiones anteriores dentro de la rama 13.x sin parchear.

Solución: Actualizar a 13.0.1.1071 o posterior.

Referencias:

30/12/202530/12/2025

Vulnerabilidad crítica en LangChain Core permite inyección de objetos y exfiltración de secretos

Investigadores de seguridad han detectado una vulnerabilidad grave en LangChain Core, una librería ampliamente utilizada para desarrollar aplicaciones de inteligencia artificial basadas en modelos de lenguaje (LLM).

El fallo permite que datos manipulados por terceros sean procesados como si fueran confiables, lo que podría derivar en acceso no autorizado a información sensible, como contraseñas, claves de servicios y datos internos de las empresas. También existe el riesgo de que los atacantes alteren el comportamiento de los agentes de IA de manera maliciosa.

Las versiones afectadas incluyen la mayoría de releases recientes de LangChain:

- Python: versiones desde la 1.0.0 hasta la 1.2.4 y versiones anteriores a la 0.3.81
- JavaScript: versiones de @langchain/core anteriores a la 1.1.8 y a la 0.3.80

Los desarrolladores ya han publicado actualizaciones seguras que corrigen la vulnerabilidad:

- Python: actualizar a 1.2.5 o superior, o a 0.3.81 o superior
- JavaScript: actualizar a la versión 1.1.8 o superior, o a 0.3.80 o superior

Se recomienda a todas las organizaciones y desarrolladores que revisen sus aplicaciones que utilicen LangChain y actualicen de inmediato a las versiones parcheadas. Además, es fundamental tratar siempre la información generada por los modelos de IA como no confiable hasta ser validada, para minimizar riesgos.

Esta vulnerabilidad subraya la importancia de la seguridad en aplicaciones de inteligencia artificial, especialmente en entornos donde los modelos interactúan con datos y sistemas críticos de manera directa.

Referencias:

- https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html

23/12/202523/12/2025

Ciberdelincuentes aprovechan el estreno de Avatar 3 para estafas en línea

El reciente estreno de Avatar 3 ha generado un gran interés entre los fanáticos, pero también ha sido aprovechado por ciberdelincuentes para lanzar estafas en línea. Según el medio CyberSecurity News, se han identificado una serie de páginas fraudulentas que suplantan servicios de streaming, prometiendo acceso gratuito a la película para engañar a los usuarios y obtener sus datos personales.

Estas páginas falsas imitan el diseño de plataformas legítimas, utilizan logotipos parecidos y, en ocasiones, traducciones automáticas para aparentar autenticidad. Al ingresar, los usuarios son invitados a proporcionar información personal y datos bancarios, bajo el pretexto de registrarse o activar un período de prueba gratuito.

Los delincuentes detrás de estas estafas pueden usar la información recolectada para cometer fraudes, suplantar identidades o vender los datos a terceros. La campaña ha sido detectada en varios idiomas y países, lo que demuestra un esfuerzo coordinado para aprovechar la expectación que genera la película.

Desde CSIRT-CV recordamos que para evitar ser víctima de estas estafas, es importante utilizar únicamente plataformas oficiales de streaming, revisar que la URL sea segura y coincida con el dominio del proveedor oficial, y no hacer clic en enlaces de promociones o descargas sospechosas que lleguen por redes sociales o correo electrónico.

Referencias:

Imagen de HobbyConsolas

02/12/202503/12/2025

Múltiples vulnerabilidades en el kernel de Android

El boletín mensual de diciembre de 2025 de Android incluye varias vulnerabilidades que afectan diferentes productos de Android, algunos incluso afectan a componentes del kernel. Las vulnerabilidades de mayor severidad podrían permitir a un atacante provocar una denegación de servicio (DoS) remota sin la necesidad de privilegios de ejecución adicionales y llevar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales.

Análisis

- CVE-2025-48623: vulnerabilidad sobre la dirección no alineada del búfer de solicitud de hipervisor para evitar derrames en la página adyacente.
- CVE-2025-48624: vulnerabilidad de asignación de punteros L2 se debe comprobar el SID y la falta de un igual para las comprobaciones de SID.
- CVE-2025-48637: vulnerabilidad en la copia local de los datos proporcionados por el host con el fin de evitar un error de tiempo de verificación de uso al utilizar páginas al hipervisor Memcache.
- CVE-2025-48638: vulnerabilidad en la lectura de valores negativos del descriptor de seguimiento.
- CVE-2025-48631: vulnerabilidad en AOSP que podría provocar una denegación de servicio remota sin necesidad de privilegios de ejecución adicionales.
- CVE-2025-47319 y CVE-2025-47372: estas vulnerabilidades afectan a los componentes de código cerrado de Qualcomm.

Recursos afectados

Los componentes del Kernel con mayor criticidad afectados son:

- pKVM
- IOMMU

Existen otras vulnerabilidades de severidad crítica que afectan:

- al framework en versiones de AOSP 13, 14, 15 y 16.
- a componentes de código cerrado de Qualcomm.

Recomendaciones

El boletín de seguridad de Android incluye información sobre las vulnerabilidades que tienen los dispositivos Android. Los niveles de parche de seguridad del 2025-12-05 o posteriores abordan todos estos problemas.

Referencias

- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-el-kernel-de-android
- https://source.android.com/docs/security/bulletin/2025-12-01?hl=es-419

Autor: Seguridad CSIRT-CV

Vulnerabilidades en Veeam Backup & Replication

Vulnerabilidad crítica en LangChain Core permite inyección de objetos y exfiltración de secretos

Ciberdelincuentes aprovechan el estreno de Avatar 3 para estafas en línea

Múltiples vulnerabilidades en el kernel de Android

MENÚ

CONTÁCTANOS