Publicado el

Actualización de seguridad de Google Chrome

Actualización crítica de seguridad en Google Chrome 

Google ha publicado una actualización de seguridad para Google Chrome  que corrige un total de 79 vulnerabilidades, entre ellas 14 de severidad crítica y 37 de gravedad alta.

Entre los fallos corregidos destacan CVE-2026-8509, una vulnerabilidad de tipo desbordamiento de búfer en WebML, y CVE-2026-8510, una vulnerabilidad de desbordamiento entero en Skia. Debido a su criticidad, estas vulnerabilidades podrían permitir, en determinados escenarios, la ejecución de código mediante páginas web especialmente diseñadas.

Google no ha informado de que estas vulnerabilidades estén siendo explotadas activamente. No obstante, debido al elevado número de fallos críticos y de alta gravedad corregidos, así como al uso generalizado de Google Chrome, se recomienda actualizar el navegador lo antes posible.

Las versiones corregidas son:

Linux: 148.0.7778.167 o superior
Windows y macOS: 148.0.7778.167/168 o superior

Análisis

La actualización de Google Chrome 148 corrige vulnerabilidades en múltiples componentes del navegador. Entre los tipos de fallos solucionados se incluyen desbordamientos de búfer, desbordamientos enteros, vulnerabilidades de tipo use-after-free, problemas de validación de datos, condiciones de carrera, lecturas fuera de límites y confusión de tipos.

La vulnerabilidad CVE-2026-8509 afecta al componente WebML y ha sido clasificada como crítica. Se trata de un desbordamiento de búfer en memoria que, en determinadas condiciones, podría permitir la ejecución de código mediante una página web especialmente diseñada. Google recompensó este hallazgo con 43.000 dólares dentro de su programa de recompensas.

La vulnerabilidad CVE-2026-8510 afecta a Skia, biblioteca gráfica utilizada por Chrome. Este fallo consiste en un desbordamiento entero y también ha sido clasificado como crítico. Google asignó una recompensa de 25.000 dólares al investigador que reportó esta vulnerabilidad.

Además de estas dos vulnerabilidades, la actualización corrige otras 12 vulnerabilidades críticas y 37 vulnerabilidades de alta gravedad que afectan a distintos componentes del navegador. Muchas de ellas están relacionadas con errores de memoria, validación insuficiente, ciclo de vida de objetos y problemas de seguridad que podrían ser aprovechados mediante contenido web malicioso.

  • En conjunto, estas vulnerabilidades pueden permitir:
  • ejecución de código arbitrario;
  • corrupción de memoria;
  • lectura o escritura fuera de límites;
  • denegación de servicio;
  • bypass de medidas de seguridad;
  • compromiso del navegador mediante páginas web maliciosas.

Aunque no se ha informado de explotación activa, el riesgo se considera elevado por la criticidad de los fallos corregidos y por el uso habitual de Chrome para acceder a servicios web, correo electrónico, portales corporativos y aplicaciones internas.

Recursos afectados

Las vulnerabilidades afectan a versiones de Google Chrome anteriores a las versiones corregidas.

Las versiones corregidas son:

Linux

148.0.7778.167 o superior

Windows

148.0.7778.167/168 o superior

macOS

148.0.7778.167/168 o superior

También se recomienda revisar navegadores basados en Chromium, ya que podrían verse afectados por vulnerabilidades similares si no han incorporado las correcciones correspondientes.

Según el listado de tecnologías disponible, se identifica presencia de Google Chrome y Chromium. Además, se indica que en determinados entornos, como OSI, Chrome podría no actualizarse automáticamente, por lo que se recomienda validar manualmente la versión instalada.

Recomendaciones

Se recomienda actualizar Google Chrome lo antes posible a la última versión disponible.

Para comprobar la versión instalada y forzar la búsqueda de actualizaciones, se debe acceder a:

Menú de Chrome > Ayuda > Información de Google Chrome

En caso de existir una actualización pendiente, Chrome iniciará automáticamente el proceso de actualización al acceder a este apartado. Una vez finalizada, será necesario reiniciar el navegador para que los cambios surtan efecto.

Además, se recomienda:

verificar que la versión instalada sea 148.0.7778.167/168 o superior, según el sistema operativo;

actualizar también navegadores basados en Chromium cuando sus fabricantes publiquen las versiones corregidas;

evitar acceder a enlaces o páginas web sospechosas hasta confirmar que el navegador está actualizado;

priorizar la actualización en equipos utilizados para acceder a aplicaciones corporativas, portales internos, correo web o información sensible;

mantener activadas las actualizaciones automáticas del navegador siempre que sea posible.

Debido al número de vulnerabilidades críticas y de alta gravedad corregidas, se recomienda tratar esta actualización con prioridad alta, aunque no se haya informado de explotación activa.

Referencias

[1] SecurityWeek – Chrome 148 Update Patches Critical Vulnerabilities

[2] Google Chrome Releases – Stable Channel Update for Desktop

Publicado el

Vulnerabilidad crítica en Burst Statistics para WordPress

Vulnerabilidad crítica en Burst Statistics para WordPress

Se ha publicado una vulnerabilidad crítica que afecta al plugin Burst Statistics – Privacy-Friendly WordPress Analytics para WordPress, identificada como CVE-2026-8181. El fallo permite a un atacante no autenticado suplantar a un usuario administrador durante peticiones a la API REST de WordPress, siempre que conozca un nombre de usuario administrador válido.

Burst Statistics es un plugin de analítica web orientado a la privacidad que cuenta con más de 200.000 instalaciones activas, por lo que el impacto potencial de esta vulnerabilidad es elevado. La vulnerabilidad afecta a las versiones 3.4.0, 3.4.1 y 3.4.1.1, y ha sido corregida en la versión 3.4.2, publicada el 12 de mayo de 2026.

El riesgo es especialmente relevante porque la explotación no requiere autenticación previa. En el peor de los casos, un atacante podría llegar a crear una nueva cuenta con privilegios de administrador mediante una petición a la API REST de WordPress.

Además, se ha informado de explotación activa de la vulnerabilidad. Según la información publicada, Wordfence ha observado miles de intentos de explotación, incluyendo más de 7.400 ataques bloqueados en un periodo de 24 horas. Aunque existe una versión corregida, una parte significativa de los sitios que utilizan el plugin podrían seguir expuestos si no han aplicado la actualización.

Análisis

La vulnerabilidad CVE-2026-8181 afecta al plugin Burst Statistics – Privacy-Friendly WordPress Analytics para WordPress.

El fallo se debe a una validación incorrecta de los resultados devueltos por la función wp_authenticate_application_password() durante el tratamiento de cabeceras de autenticación Basic en peticiones REST. En determinadas condiciones, el plugin interpreta como válida una autenticación fallida o nula y establece como usuario actual el usuario indicado en la petición mediante la función wp_set_current_user().

Como consecuencia, un atacante no autenticado que conozca o pueda adivinar un nombre de usuario administrador válido podría suplantar a dicho usuario durante la duración de una petición REST. Esto puede afectar a endpoints propios de WordPress, como /wp-json/wp/v2/users, y permitir acciones críticas, incluyendo la creación de nuevas cuentas con permisos de administrador.

La vulnerabilidad fue introducida el 23 de abril de 2026 con la versión 3.4.0 del plugin, descubierta por Wordfence el 8 de mayo de 2026 y corregida el 12 de mayo de 2026 con la publicación de la versión 3.4.2.

El riesgo se considera crítico debido a que:

no requiere autenticación previa;
basta con conocer o adivinar un nombre de usuario administrador válido;
permite suplantar a un administrador durante peticiones REST;
puede permitir la creación de nuevas cuentas administradoras;
afecta a un plugin con más de 200.000 instalaciones activas;
se ha informado de explotación activa.

En conjunto, esta vulnerabilidad puede permitir:

toma de control del sitio WordPress;
creación de usuarios administradores no autorizados;
acceso a información privada o sensible;
instalación de malware, puertas traseras o plugins maliciosos;
modificación de contenidos del sitio web;
redirección de usuarios a páginas maliciosas;
uso del sitio comprometido como infraestructura para campañas fraudulentas.

Aunque existe una versión corregida, la explotación activa hace recomendable revisar y aplicar la actualización con carácter urgente en cualquier instalación WordPress que utilice el plugin afectado.

Recursos afectados

La vulnerabilidad afecta al plugin Burst Statistics – Privacy-Friendly WordPress Analytics para WordPress.

Las versiones afectadas son:

Burst Statistics 3.4.0
Burst Statistics 3.4.1
Burst Statistics 3.4.1.1

La versión corregida es:

Burst Statistics 3.4.2 o superior

Se recomienda revisar especialmente sitios WordPress expuestos a Internet o entornos donde no exista visibilidad completa sobre los plugins instalados.

En la revisión inicial de tecnologías se ha identificado presencia de WordPress en los siguientes entornos:

WordPress CSIRT-CV
https://csirtcv.gva.es/actualidad/

Sanidad

Educación
https://portal.edu.gva.es/portal/va/inici/

En el entorno de Botiga no se ha identificado afectación en la revisión inicial.

Dado que se trata de una vulnerabilidad en un plugin de WordPress y no se dispone de visibilidad completa sobre todos los plugins instalados, se recomienda notificar a los responsables de los entornos donde se haya identificado presencia de WordPress para que verifiquen si utilizan Burst Statistics y, en caso afirmativo, apliquen la actualización o desactiven el plugin.

Recomendaciones

Se recomienda revisar de forma urgente todos los sitios WordPress gestionados y comprobar si tienen instalado el plugin Burst Statistics.

En caso de disponer del plugin afectado, se recomienda actualizar inmediatamente a la versión 3.4.2 o superior. Si no fuera posible aplicar la actualización de forma inmediata, se recomienda desactivar temporalmente el plugin hasta poder corregir la vulnerabilidad.

Además, se recomienda revisar si existen cuentas administradoras creadas recientemente o sin justificación, así como comprobar los usuarios con privilegios elevados en WordPress. También es conveniente analizar accesos recientes a la API REST de WordPress, especialmente peticiones dirigidas a /wp-json/wp/v2/users.

En entornos corporativos, se recomienda revisar registros de autenticación, cambios de usuarios, instalación de plugins, modificaciones de contenido, temas instalados, ficheros no autorizados y tareas programadas sospechosas.

También se recomienda limitar el acceso a la administración de WordPress desde redes autorizadas cuando sea posible, mantener WordPress, plugins y temas actualizados, e implementar o revisar reglas WAF/EDR disponibles para bloquear intentos de explotación.

Debido a que se ha informado de explotación activa, esta vulnerabilidad debe tratarse con prioridad crítica, especialmente en sitios WordPress expuestos a Internet.

Referencias

[1] Wordfence – 200,000 WordPress Sites at Risk from Critical Authentication Bypass Vulnerability in Burst Statistics Plugin

[2] BleepingComputer – Hackers exploit auth bypass flaw in Burst Statistics WordPress plugin

[3] CVE – CVE-2026-8181


Publicado el

Vulnerabilidades en múltiples productos de Adobe

Adobe ha publicado actualizaciones de seguridad para corregir 52 vulnerabilidades que afectan a 10 productos de su ecosistema. Entre los fallos corregidos se incluyen vulnerabilidades críticas y de alta gravedad que podrían permitir ejecución de código arbitrario, escalada de privilegios, denegación de servicio, bypass de medidas de seguridad, exposición de memoria o lectura de archivos.

Más de la mitad de las vulnerabilidades corregidas podrían permitir ejecución de código arbitrario, siendo este el impacto más relevante de la actualización. También se han corregido múltiples fallos que podrían derivar en denegación de servicio.

Entre los productos más afectados destacan Adobe Commerce, Content Authenticity SDK y Adobe Connect. En el caso de Adobe Connect, se han corregido dos vulnerabilidades críticas identificadas como CVE-2026-34659 y CVE-2026-34660, con puntuaciones CVSS de 9.6 y 9.3, respectivamente.

Adobe ha indicado que, por el momento, no tiene constancia de explotación activa de estas vulnerabilidades.

Análisis

La actualización de seguridad publicada por Adobe corrige vulnerabilidades en distintos productos, con impactos variados en función del componente afectado. Los fallos más relevantes podrían permitir la ejecución de código arbitrario, lo que supone un riesgo elevado para equipos de usuario, estaciones de trabajo, servidores o plataformas web que utilicen productos afectados.

Adobe Connect – CVE-2026-34659 y CVE-2026-34660

Adobe Connect es uno de los productos con vulnerabilidades de mayor severidad en esta actualización.

La vulnerabilidad CVE-2026-34659 tiene una puntuación CVSS de 9.6 y podría permitir la ejecución de código arbitrario. Este tipo de vulnerabilidad puede ser especialmente crítica si el sistema afectado está expuesto o es utilizado en entornos corporativos para comunicaciones, reuniones o formación online.

La vulnerabilidad CVE-2026-34660 tiene una puntuación CVSS de 9.3 y podría permitir una escalada de privilegios. Su explotación podría facilitar que un atacante eleve sus permisos dentro del sistema o aplicación afectada.

Adobe Commerce

Adobe Commerce concentra el mayor número de vulnerabilidades corregidas en esta actualización. Entre ellas se incluyen 10 vulnerabilidades de gravedad alta y 5 de gravedad media.

Dado que Adobe Commerce es una plataforma utilizada para la gestión de tiendas online y entornos de comercio electrónico, el impacto potencial puede ser significativo. Una explotación exitosa podría afectar a la disponibilidad del servicio, comprometer información sensible o facilitar ataques posteriores contra clientes, administradores o sistemas integrados.

El parche de Adobe Commerce debe considerarse prioritario, ya que este tipo de plataformas han sido objetivo recurrente de ataques en el pasado debido a su exposición pública y al valor de los datos que gestionan.

Content Authenticity SDK

Adobe también ha corregido 14 vulnerabilidades en Content Authenticity SDK, principalmente relacionadas con denegación de servicio. Aunque el impacto principal no está orientado a ejecución de código, estos fallos podrían afectar a la disponibilidad de aplicaciones o servicios que integren dicho SDK.

Otros productos afectados

Además de Adobe Commerce, Adobe Connect y Content Authenticity SDK, Adobe ha publicado actualizaciones para otros productos, entre ellos After Effects, Premiere Pro, Media Encoder, Illustrator y herramientas de Adobe Substance 3D.

En estos productos se han corregido vulnerabilidades que podrían permitir ejecución de código arbitrario, especialmente mediante la apertura o procesamiento de archivos especialmente diseñados.

  • En conjunto, estas vulnerabilidades pueden permitir:
  • ejecución de código arbitrario;
  • escalada de privilegios;
  • denegación de servicio;
  • bypass de medidas de seguridad;
  • lectura de archivos;
  • exposición de memoria;
  • compromiso de estaciones de trabajo;
  • compromiso de aplicaciones web;
  • interrupción de servicios.

Recursos afectados

Las vulnerabilidades afectan a distintos productos de Adobe incluidos en la actualización de seguridad publicada por el fabricante.

Los productos más afectados son:

Adobe Commerce

Concentra el mayor número de vulnerabilidades corregidas, incluyendo fallos de gravedad alta y media.

Content Authenticity SDK

Afectado por 14 vulnerabilidades, principalmente relacionadas con denegación de servicio.

Adobe Connect

Incluye dos vulnerabilidades críticas con puntuaciones CVSS de 9.6 y 9.3.

También se ven afectados otros productos de Adobe, incluyendo herramientas de edición, diseño y procesamiento multimedia, como:

  • Adobe After Effects;
  • Adobe Premiere Pro;
  • Adobe Media Encoder;
  • Adobe Illustrator;
  • herramientas Adobe Substance 3D.

    Se recomienda revisar especialmente entornos con presencia de productos Adobe instalados en estaciones de trabajo, servidores, plataformas web, equipos de diseño, edición multimedia, tratamiento documental o comercio electrónico.

Recomendaciones

Se recomienda aplicar las actualizaciones de seguridad publicadas por Adobe lo antes posible en todos los productos afectados.

Además, se recomienda priorizar la actualización de Adobe Connect, debido a las vulnerabilidades críticas con puntuaciones CVSS de 9.6 y 9.3, así como Adobe Commerce, especialmente si está expuesto a Internet o se utiliza en plataformas de comercio electrónico.

También se recomienda actualizar el resto de productos afectados, incluyendo Content Authenticity SDK, After Effects, Premiere Pro, Media Encoder, Illustrator y herramientas Substance 3D.

Hasta que se apliquen los parches, se recomienda evitar abrir archivos procedentes de fuentes no confiables, especialmente documentos, proyectos o archivos multimedia que puedan ser procesados por productos Adobe afectados.

En entornos corporativos, se recomienda comprobar mediante inventario qué productos Adobe están instalados, validar que las actualizaciones se han aplicado correctamente y revisar registros de actividad en Adobe Commerce y Adobe Connect en busca de accesos o comportamientos anómalos.

Aunque Adobe ha indicado que no existen indicios de explotación activa, la posibilidad de ejecución de código arbitrario y la existencia de vulnerabilidades críticas hacen recomendable aplicar los parches con prioridad alta.

Referencias

[1] SecurityWeek – Adobe Patches 52 Vulnerabilities in 10 Products

[2] Adobe – Security Bulletins and Advisories

[3] Adobe – Security update available for Adobe Connect | APSB26-37

[4] Adobe – Security Updates Available for Adobe Premiere Pro | APSB26-46

Publicado el

Campaña correos de tipo estafa suplantando a la Policía

Se ha detectado una campaña de estafa que suplanta a la policía, mediante el envío de correos electrónicos fraudulentos con el objetivo de engañar a los usuarios mediante una falsa notificación de un delito de pornografía infantil para que a partir de la notificación estos proporcionen sus datos personales o bancarios para poder pagar la multa que se les imputa.

Este tipo de campañas representa un riesgo significativo y puede conducir al robo de información personal o bancario si la víctima interactúa con ellos.

Análisis

La campaña detectada consiste en el envío de correos electrónicos que simula ser una notificación judicial enviada por la policía en la que le indica al usuario que tiene que pagar una multa ya que sus datos han sido relacionados con delitos de pornografía infantil.

Se han obtenido los siguientes IOCs:

Dirección del remitente

        • 08348@khampit.ac.th
        • 08356@khampit.ac.th
        • 08345@khampit.ac.th
        • 08347@khampit.ac.th

Asunto:

        • Notificación oficial

Firmado por:

        • «Director Adjunto Operativo»

Fichero adjunto llamado:

        • «QsP.pdf»

De manera grafica los correos recibidos tienen esta estructura:

                                                     

                                                                       

Una vez se abre el fichero pdf adjunto, se observa la falsa notificación de la policía:

                                         

Recomendaciones

En caso de haber recibido un correo electrónico como el que se describe en este aviso, se recomienda eliminarlo directamente y ponerlo en conocimiento del equipo de IT para que puedan realizar las gestiones de bloqueo pertinentes y del resto de empleados para evitar posibles víctimas.