Publicado el

Vulnerabilidades en productos de Adobe

Introducción

Adobe publicó un total de 36 vulnerabilidades distribuidas en múltiples productos, de las cuales 24 fueron catalogadas como críticas. No se tiene evidencia generalizada de explotación activa, aunque algunos fallos ya han sido añadidos al catálogo KEV (Known Exploited Vulnerabilities) por CISA debido a actividad observada.

Análisis

Las vulnerabilidades destacadas son las siguientes:

  • Adobe Experience Manager (AEM) Forms

    • CVE‑2025‑54253 – Ejecución de código arbitrario sin autenticación (CVSS 10.0)
    • Tipo: Configuración insegura / Deserialización insegura.
    • Riesgo: Crítico. Permite ejecución remota de código.
    • Estado: Confirmada explotación activa según CISA.
    • Mitigación: Actualizar inmediatamente a la versión parcheada indicada por Adobe. 
    • CVE‑2025‑54254 – Fuga de información sensible (CVSS 8.2)
    • Tipo: Exposición de datos a través de API no autenticada.
    • Riesgo: Alto. Puede permitir acceso a información de formularios.
    • Mitigación: Aplicar parche y restringir acceso a endpoints vulnerables.
  • Adobe Connect
    • CVE‑2025‑49553 – Cross-Site Scripting (XSS) basado en DOM (CVSS 9.3)
    • Tipo: XSS reflejado en interfaz web.
    • Riesgo: Crítico. Permite ejecución de código arbitrario en el navegador.
    • Mitigación: Actualizar a Connect 12.10 y aplicar filtros de entrada. 
    • CVE‑2025‑49552 – XSS almacenado (CVSS 8.5)
    • Tipo: Inyección persistente en componentes del portal.
    • Riesgo: Alto.
    • Mitigación: Filtrado de entradas y uso de Content Security Policy (CSP). 
    • CVE‑2025‑54196 – Open Redirect (CVSS 6.5)
    • Tipo: Redirección abierta mediante parámetros manipulables.
    • Riesgo: Medio.
    • Mitigación: Validar URLs de destino en el servidor.

 

  • Adobe Commerce / Magento Open Source
    • CVE‑2025‑54263 – Fallo de autorización (CVSS 9.8)
    • Tipo: Bypass de autenticación.
    • Riesgo: Crítico. Permite el acceso a datos administrativos.
    • Mitigación: Actualizar a versión 2.4.9-pX o superior. 
    • CVE‑2025‑54264 / CVE‑2025‑54266 – Cross-Site Scripting almacenado (CVSS 8.0)
    • Tipo: Inyección de scripts en formularios de comercio.
    • Riesgo: Alto.
    • Mitigación: Aplicar parches y deshabilitar contenido HTML en campos de entrada.

 

  • Aplicaciones de Adobe Creative Cloud
    • Se abordaron múltiples fallos en productos como Illustrator, Animate, Bridge, Dimension, Substance 3D y FrameMaker. Los defectos incluyen condiciones de ‘use-after-free’, desbordamientos de búfer y accesos fuera de límites. Aunque la mayoría no se considera explotada activamente, pueden permitir ejecución de código arbitrario.

Recomendaciones

  • Priorizar la instalación inmediata de las actualizaciones críticas publicadas por Adobe.

  • Implementar revisiones periódicas de configuración en servidores AEM y entornos de comercio electrónico.

  • Deshabilitar servicios o módulos no utilizados en Connect y AEM.

  • Activar Content Security Policy (CSP) y cabeceras de seguridad HTTP.

  • Mantener copias de seguridad regulares y verificar la integridad de las mismas.

Referencias

https://helpx.adobe.com/security/products/connect/apsb25-70.html

https://www.securityweek.com/adobe-patches-critical-vulnerability-in-collaboration-suite/

https://thecyberexpress.com/adobe-security-update-3/

https://socradar.io/adobe-patches-connect-flaw-cve-2025-49553-and-35-more/

Publicado el

Redis CVE-2025-49844 – Vulnerabilidad crítica permite ejecución remota de código (RediShell)

Introducción

El equipo de seguridad de Redis ha publicado parches para una vulnerabilidad crítica que podría permitir a los atacantes obtener ejecución remota de código (RCE) en miles de instancias vulnerables del popular sistema de base de datos en memoria.
Identificada como CVE-2025-49844 y con una puntuación CVSS de 10.0 (Crítica), la falla, conocida como RediShell, se origina en una debilidad de tipo use-after-free presente desde hace 13 años en el código fuente de Redis. El fallo puede ser explotado por actores autenticados mediante el uso de un script Lua especialmente diseñado, aprovechando que esta funcionalidad está habilitada por defecto.

Análisis

La explotación exitosa de esta vulnerabilidad permite a un atacante escapar del sandbox de Lua, ejecutar código arbitrario, establecer una reverse shell para obtener acceso persistente y, en consecuencia, tomar control completo del host Redis comprometido.
Una vez dentro, los atacantes pueden robar credenciales, implantar malware o criptomineros, exfiltrar información sensible, o moverse lateralmente dentro del entorno de la víctima.

La vulnerabilidad fue reportada por investigadores de Wiz durante el evento Pwn2Own Berlín 2025. Aunque la explotación requiere acceso autenticado, se estima que existen alrededor de 330.000 instancias Redis expuestas en línea, de las cuales unas 60.000 no requieren autenticación, aumentando el riesgo de ataques masivos.

Recomendaciones

Redis ha corregido la vulnerabilidad en las versiones:

    • 7.22.2-12 y superiores
    • 7.8.6-207 y superiores
    • 7.4.6-272 y superiores
    • 7.2.4-138 y superiores
    • 6.4.2-131 y superiores

Se recomienda actualizar de inmediato a una versión corregida, especialmente en instancias expuestas a Internet.
Adicionalmente, se aconseja:

    • Habilitar autenticación y restringir el acceso solo a redes autorizadas.
    • Deshabilitar la ejecución de scripts Lua y comandos innecesarios.
    • Ejecutar Redis con un usuario sin privilegios root.
    • Activar el registro y monitoreo de actividad.
    • Aplicar controles de acceso a nivel de red mediante firewalls o VPCs.

La combinación de la alta criticidad, la gran cantidad de instancias expuestas y las configuraciones inseguras por defecto convierten a RediShell (CVE-2025-49844) en una amenaza grave que requiere remediación inmediata.

Referencias

https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/

Publicado el

Vulnerabilidad crítica en Oracle

Introducción

CVE-2025-61882 está siendo aprovechada por actores maliciosos en campañas de robo de datos y extorsión. En particular, se ha reportado su uso por el grupo Clop en ataques contra instalaciones de Oracle EBS. En los ataques observados se han usado indicadores de compromiso (IOCs) publicados por Oracle para ayudar en la detección y mitigación de los sistemas comprometidos.

Análisis

CVE-2025-61882 es una vulnerabilidad en Oracle E-Business Suite, concretamente en el componente “Concurrent Processing / BI Publisher Integration”. Es remotamente explotable sin necesidad de autenticación, es decir, un atacante puede enviar peticiones maliciosas directamente desde red hacia el sistema vulnerable sin credenciales.

Si se explota con éxito, permite ejecución de código remoto (RCE), lo que puede llevar a la toma completa del componente de Concurrent Processing, comprometiendo confidencialidad, integridad y disponibilidad del sistema. La explotación exitosa de esta vulnerabilidad puede dar control completo del componente afectado, lo que podría permitir escalar privilegios o comprometer otros subsistemas dependiente

 

Recomendaciones

Afecta a las versiones de Oracle EBS 12.2.3 hasta 12.2.14.

Oracle ha publicado un Security Alert con el parche correspondiente para esta vulnerabilidad. Como requisito, el Critical Patch Update de octubre de 2023 debe estar aplicado antes de poder instalar este parche de emergencia.

 

Referencias

https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/
https://www.securityweek.com/oracle-says-known-vulnerabilities-possibly-exploited-in-recent-extortion-attacks/

Publicado el

Vulnerabilidad crítica en Sudo permite escalada local a root

Introducción

CISA ha alertado sobre la explotación activa de la vulnerabilidad CVE-2025-32463 en Sudo, permitiendo a atacantes locales sin privilegios escalar a root.

Análisis

El comando Sudo es fundamental en entornos Linux y macOS para controlar el acceso a privilegios de administración. Una grave vulnerabilidad de escalada de privilegios locales (LPE), identificada como CVE-2025-32463 y con una puntuación CVSS de 9.3, ha sido recientemente explotada, poniendo en jaque la seguridad de servidores y estaciones de trabajo a nivel mundial.

CVE-2025-32463 afecta a Sudo versiones desde la 1.9.14, introduciendo un fallo que permite a usuarios sin privilegios ejecutar comandos con privilegios de root incluso aunque no estén en el archivo sudoers. La explotación se basa en la manipulación del fichero /etc/nsswitch.conf en combinación con el uso del parámetro chroot de Sudo. Un atacante crea un archivo nsswitch.conf controlado, utiliza chroot para engañar a Sudo y consigue ejecución privilegiada. El fallo fue corregido en la versión 1.9.17p1, donde se eliminaron las opciones comprometidas.

El principal riesgo es la posibilidad de que cualquier atacante local obtenga acceso total al sistema, comprometiendo de manera completa la seguridad y la integridad de los servidores afectados. Esto puede derivar en robo de información, instalación de malware o persistencia para ataques posteriores. El hecho de que ya exista una prueba de concepto (PoC) pública y explots en circulación incrementa el nivel de amenaza, tanto para infraestructuras críticas como para despliegues empresariales y usuarios individuales.

Recomendaciones

Se recomienda actualizar Sudo urgentemente a la versión 1.9.17p1 o superior. Es fundamental revisar el catálogo KEV de CISA y aplicar las mejoras de configuración sugeridas, restringiendo los accesos al sistema y monitorizando actividades sospechosas. Además, se aconseja deshabilitar funcionalidades innecesarias y realizar auditorías sobre configuraciones de seguridad previas a la corrección.

La rápida aplicación de parches y la vigilancia continua son críticas para frenar la explotación de CVE-2025-32463. Los equipos de TI deben priorizar la actualización de Sudo y consultar fuentes oficiales, como el KEV de CISA y el NIST, para evaluar riesgos actuales y futuros. La prevención eficaz reduce la superficie de ataque y refuerza la resiliencia organizacional.

Referencias

https://unaaldia.hispasec.com/2025/09/cisa-alerta-vulnerabilidad-critica-en-sudo-permite-escalada-local-a-root.htm