Seguridad CSIRT-CV, autor en CSIRT-CV

15/01/202615/01/2026

Múltiples vulnerabilidades en Chrome y Firefox

Se han publicado actualizaciones de seguridad para Google Chrome y Mozilla Firefox, que corrigen múltiples vulnerabilidades de criticidad alta en ambos navegadores. Estas fallas afectan componentes críticos como el motor JavaScript/WebAssembly V8 en Chrome y sistemas de aislamiento y memoria en Firefox, y podrían permitir desde acceso no autorizado y ejecución remota de código hasta escape de sandbox o corrupción de memoria si son explotadas con éxito en entornos reales.

Análisis

Google Chrome 144 – Vulnerabilidades de criticidad alta
CVE-2026-0899: Out-of-Bounds Memory Access (V8)

Una vulnerabilidad de acceso fuera de límites en el motor V8 JavaScript/WebAssembly de Chrome que puede permitir corrupción de memoria, potencialmente facilitando la ejecución arbitraria de código o comportamiento imprevisible de la aplicación.

CVE-2026-0900: Inappropriate Implementation (V8)

Un fallo de implementación inadecuada también en V8 que podría derivar en una debilidad de seguridad explotable para comprometer la integridad del proceso del navegador.

CVE-2026-0901: Inappropriate Implementation (Blink)

Una vulnerabilidad en el motor de renderizado Blink que puede permitir a un atacante manipular funcionalidades internas del navegador de forma insegura.

El paquete de correcciones de Chrome 144 también incluye varias fallas de severidad media y baja en componentes como descargas, credenciales digitales, red y ANGLE.

Mozilla Firefox 147 – Vulnerabilidades de criticidad alta

Sandbox escape flaws (Graphics & Messaging System)

Cuatro fallos de alta severidad permiten romper el aislamiento de la sandbox de Firefox en los componentes de gráficos y mensajería, lo que podría permitir a código malicioso salir del entorno confinado del navegador.

Mitigation bypass en DOM

Una debilidad que permite eludir medidas de mitigación en el Modelo de Objetos del Documento (DOM), aumentando el riesgo ante otras vulnerabilidades.

Use-after-free en IPC

Un fallo de tipo use-after-free (uso después de liberar memoria) en la comunicación entre procesos (IPC) que puede resultar en corrupción de memoria y ejecución de código arbitrario.

Memory safety bugs

Varias vulnerabilidades relacionadas con la seguridad de la memoria que, si se explotan en combinación, podrían permitir desde ejecución de código hasta inestabilidad del navegador.

Además, Firefox 147 corrige varios problemas de severidad media y baja en áreas como redes, motor JavaScript, manejo de gráficos, XML y DOM

Recursos afectados

Google Chrome 144

Componentes principales: V8 (JavaScript/WebAssembly), Blink (renderizado)

Versiones: Chrome 144.0.7559.59 en Linux/Mac/Windows

Mozilla Firefox 147

Componentes principales: Graphics, Messaging System, DOM, IPC y subsistemas de memoria

Versiones: Firefox 147 (incluye también Firefox ESR 140.7 y Firefox ESR 115.32 con muchas de las mismas correcciones)

Se recomienda instalar las actualizaciones en cuanto estén disponibles

Referencias:

- https://www.securityweek.com/chrome-144-firefox-147-patch-high-severity-vulnerabilities/

14/01/202614/01/2026

Múltiples vulnerabilidades en productos de Fortinet

Se han identificado múltiples vulnerabilidades críticas en productos de Fortinet, incluidas fallas de ejecución remota de código (RCE) y fallos de autenticación/bypass de seguridad, algunas de las cuales ya han sido explotadas en sistemas reales. Estas vulnerabilidades afectan una amplia gama de dispositivos de seguridad y comunicaciones, como FortiOS, FortiProxy, FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera, y pueden permitir desde la ejecución arbitraria de código hasta el acceso como administrador sin credenciales válidas. El impacto potencial va desde la pérdida de confidencialidad e integridad hasta el compromiso total de dispositivos de red si se explotan con éxito.

Análisis

Destacan 2 vulnerabilidades críticas:

CVE-2025-32756: Stack-Based Buffer Overflow – Ejecución remota de código

Una vulnerabilidad de desbordamiento de búfer basada en pila que afecta a múltiples productos de Fortinet, incluidos FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera. Un atacante remoto pudiera enviar solicitudes HTTP especialmente construidas que desencadenan un desbordamiento de pila, lo que permitiria la ejecución arbitraria de código o comandos en los dispositivos vulnerables sin autenticación. Esta vulnerabilidad ha sido documentada con un CVSS v3.1 de 9.8, y se ha confirmado su explotación, particularmente en dispositivos FortiVoice.

CVE-2025-22252: Bypass de autenticación en FortiOS/FortiProxy/TACACS+

Una vulnerabilidad de falta de autenticación para una función crítica en FortiOS, FortiProxy y FortiSwitchManager (cuando usan autenticación TACACS+ con servidor remoto configurado con autenticación ASCII) puede permitir que un atacante con conocimiento de una cuenta de administrador existente acceda al dispositivo como administrador válido sin pasar por el proceso de autenticación normal. Este tipo de bypass combinado con la posibilidad de ejecución de comandos coloca a esta vulnerabilidad en la categoría de acceso no autorizado con elevación de privilegios.

Recursos afectados

Los productos y versiones afectados son:

- FortiVoice (varias versiones hasta 7.2.0, 7.0.x y 6.4.x)
- FortiMail (varias ramas de 7.x)
- FortiNDR (todas las versiones listadas)
- FortiRecorder (versiones 6.4.x, 7.0.x, 7.2.x)
- FortiCamera (series 1.1.x, 2.0.x y 2.1.x)
- FortiOS (7.4.x, 7.6.x)
- FortiProxy (7.6.x, 7.4.x)
- FortiSwitchManager (7.2.x)

Se recomienda aplicar inmediatamente las actualizaciones de firmware y parches disponibles para todos los dispositivos de Fortinet afectados.

Referencias:

- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-fortinet-0

14/01/202614/01/2026

Vulnerabilidad corregida en Adobe

Adobe ha publicado un boletín de seguridad, abordando una vulnerabilidad crítica en las dependencias del producto que podría permitir ejecución arbitraria de código. Las versiones afectadas de ColdFusion incluyen ColdFusion 2025 (Update 5 y anteriores) y ColdFusion 2023 (Update 17 y anteriores) en todas las plataformas.

Análisis

CVE-2025-66516: Apache Tika XML External Entity (XXE) / Ejecución arbitraria de código

La actualización de ColdFusion incluye un parche para la vulnerabilidad CVE-2025-66516, un fallo crítico en la biblioteca Apache Tika que se usa como dependencia dentro de ColdFusion. Este fallo permite inyección de entidades externas XML (XXE) que podría explotarse al procesar contenido específicamente elaborado, conduciendo a ejecución arbitraria de código con las mismas credenciales o contexto que el proceso de ColdFusion. Dado que este componente se invoca internamente al manejar ciertos formatos de archivo (por ejemplo, XFA dentro de PDF), un atacante capaz de suministrar datos maliciosos podría conseguir ejecución de código no autorizado en el servidor afectado.

Recomendaciones

Actualizar inmediatamente a las versiones corregidas de ColdFusion (2025 Update 6 o 2023 Update 18)

Referencias:

- https://helpx.adobe.com/security/products/coldfusion/apsb26-12.html

14/01/202614/01/2026

Parche de seguridad enero Microsoft

Microsoft ha corregido 114 vulnerabilidades en su boletín de seguridad de enero de 2026, incluidas 3 vulnerabilidades zero-day, una de las cuales está siendo explotada activamente. Estas vulnerabilidades abarcan desde divulgación de información sensible y elevación de privilegios hasta bypass de características de seguridad y errores que podrían permitir la ejecución de código remota. Los fallos afectan a múltiples componentes de Windows y software asociado, y varias categorías de riesgo están representadas, con una gran proporción de vulnerabilidades de elevación de privilegios y ejecución remota de código.

Análisis

Destacan las 3 vulnerabilidades zero-day:

CVE-2026-20805: Desktop Window Manager Information Disclosure Vulnerability

Una vulnerabilidad de divulgación de información en el Desktop Window Manager (DWM), activamente explotada. Un atacante con acceso autorizado local podría aprovechar este fallo para leer direcciones de memoria del proceso asociado al puerto ALPC remoto, lo cual puede revelar información interna útil para posteriores vectores de ataque.

CVE-2026-21265: Secure Boot Certificate Expiration Security Feature Bypass Vulnerability

Esta vulnerabilidad ha sido públicamente divulgada, y está relacionada con la caducidad de ciertos certificados de arranque seguro (Secure Boot). Los certificados emitidos en 2011 estaban próximos a su fecha de expiración, lo que podría permitir a un atacante eludir las protecciones de Secure Boot en sistemas no actualizados. El parche renueva estos certificados para restaurar la cadena de confianza y mantener la verificación de componentes de arranque.

CVE-2023-31096: Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability

Esta vulnerabilidad afecta al controlador de terceros Agere Soft Modem. Explotaciones previas permitían la escalada de privilegios a nivel administrativo (SYSTEM). En la actualización de este mes, Microsoft ha eliminado completamente los controladores vulnerables (agrsm64.sys y agrsm.sys) de los sistemas compatibles para mitigar el riesgo.

Recomendaciones

Aplicar las actualizaciones de Microsoft en cuanto estén disponibles

Referencias:

Autor: Seguridad CSIRT-CV

Múltiples vulnerabilidades en Chrome y Firefox

Múltiples vulnerabilidades en productos de Fortinet

Vulnerabilidad corregida en Adobe

Parche de seguridad enero Microsoft

MENÚ

CONTÁCTANOS