Publicado el

Vulnerabilidad crítica en Google Chrome

CVE-2025-13223 es una vulnerabilidad que está siendo activamente explotada. Se trata de una falla de type confusion en el motor V8 de Chromium. El fallo se produce cuando el motor asume incorrectamente el tipo de un objeto durante ciertas optimizaciones internas (JIT), lo que provoca que se acceda a memoria con un tipo incompatible.
 

Análisis

CVE-2025-13223 permite que un atacante manipule estructuras internas del heap de V8, generando corrupción de memoria controlada. En escenarios explotables, esto puede escalar a ejecución de código arbitrario dentro del proceso del navegador, generalmente dentro de la sandbox. Google confirmó que esta vulnerabilidad está siendo explotada activamente, lo que indica que existen exploits funcionales que abusan del error para comprometer sistemas mediante páginas web especialmente diseñadas.

Afecta a Google Chrome y otros navegadores basados en Chromium en sistemas Windows, Mac y Linux en versiones anteriores a 142.0.7444.175/176.

 

Recomendaciones

Actualizar Google Chrome o cualquier navegador basado en Chromium a la versión 142.0.7444.175 o superior para Windows y Linux, o 142.0.7444.176 para Macintosh
Habilitar las actualizaciones automáticas del navegador
Evitar navegar a sitios web de dudosa reputación, ya que un exploit «drive-by» puede aprovecharse simplemente al visitar una página web maliciosa.
 

Referencias

Publicado el

Vulnerabilidad crítica en routers ASUS DSL CVE-2025-59367

Se ha identificado una vulnerabilidad de bypass de autenticación en varios modelos de routers ASUS DSL que permite a un atacante remoto y no autenticado acceder fácilmente al dispositivo si no está parcheado. El fallo puede ser explotado desde Internet, exponiendo los equipos a accesos no autorizados y potenciales compromisos posteriores.
 

Análisis

Los dispositivos afectados pertenecen a familias ampliamente desplegadas en entornos domésticos y pequeñas oficinas. ASUS ha publicado un firmware correctivo (1.1.2.3_1010) que soluciona la vulnerabilidad.
El fabricante advierte que estos equipos son objetivos frecuentes de botnets; recientemente se notificó la campaña AyySSHush, que comprometió más de 9.000 routers ASUS, instalando un backdoor persistente vía SSH.
 

Recomendaciones

ASUS recomienda actualizar inmediatamente los dispositivos afectados a la versión de firmware 1.1.2.3_1010 o superior.

Para modelos en fin de vida (EOL), el fabricante aconseja medidas de endurecimiento:

    • Utilizar contraseñas fuertes y únicas (≥10 caracteres con números y símbolos) tanto en Wi-Fi como en administración del router.
    • Deshabilitar cualquier servicio expuesto a Internet: WAN access, port forwarding, DDNS, VPN server, DMZ, port triggering, FTP, etc.

Referencias

Publicado el

Boletín de seguridad de Zoom

Se ha publicado recientemente el boletín de seguridad de noviembre de 2025 de Zoom, en el que se corrigen varias vulnerabilidades de alta y media severidad en los clientes, SDKs y componentes VDI de Zoom Workplace
 

Análisis

Las vulnerabilidades destacadas tienen asignados los siguientes identificadores CVE:
 
La vulnerabilidad CVE-2025-64740 se produjo porque el instalador del cliente VDI para Windows de Zoom no validaba correctamente las firmas criptográficas, lo que podría permitir a un usuario local autenticado manipular el instalador y escalar privilegios en el sistema.
En cuanto a CVE-2025-64741, afecta a la aplicación Android de Zoom Workplace, e implica un manejo inadecuado de autorizaciones, donde un atacante podría llevar a cabo acciones no permitidas por falta de comprobación de permisos.
 
Productos afectados
 
 

Recomendaciones

Se puede encontrar información detallada en el Boletin de Seguridad de Zoom: https://www.zoom.com/es/trust/security-bulletin/?lang=en-US

 

Referencias

Publicado el

Múltiples vulnerabilidades de Adobe

Se ha publicado recientemente varias vulnerabilidades de productos de Adobe, entre los productos afectados se encuentran InDesign, InCopy, Photoshop, Illustrator, Substance 3D Stager, y algunos plugins.
 

Análisis

Las vulnerabilidades críticas tienen asignados los CVEs: 
 
    • CVE-2025-61837
    • CVE-2025-61838
    • CVE-2025-61839
 
Las 3 vulnerabilidades son de tipo ejecución remota de código y han recibido una puntuación de 7.8 según el CVSS.
 
Productos afectados
 
Versiones de plugins de Adobe 1.1.1 y anteriores
 
Se puede consultar una lista detallada en la web de Adobe: https://helpx.adobe.com/security/products/formatplugins/apsb25-114.html
 

Recomendaciones

    • Actualizar a la versión 1.1.2 y posteriores

Referencias