Author: Seguridad CSIRT-CV

Google i Mozilla van anunciar el dimarts actualitzacions de seguretat per a Chrome 135 i Firefox 137 que aborden vulnerabilitats crítiques i d’alta gravetat potencialment explotables.

Anàlisi

• • Google Chrome

Es van llançar les versions 135.0.7049.95/.96 de Chrome per a Windows i macOS i la versió 135.0.7049.95 per a Linux amb correccions per a dos vulnerabilitats de seguretat de memòria informades per investigadors externs.

La primera, identificada com CVE-2025-3619, es descriu com un problema crític de desbordament de memòria de pila en còdecs. La segona és CVE-2025-3620, un error d’ús després de l’alliberament en USB.

Si bé Google no ha compartit detalls específics sobre cap de les vulnerabilitats, les dos podrien ser explotades per atacants amb coneixement de patrons d’assignació de memòria per a executar codi arbitrari, generalment convencent a un usuari de visitar una pàgina web dissenyada específicament per a això.

• • Mozilla Firefox

Firefox es va actualitzar a la versió 137.0.2 en tots els sistemes operatius per a resoldre CVE-2025-3608,

una condició de carrera d’alta gravetat en nsHttpTransaction, el component que maneja les transaccions HTTP.

Segons Mozilla, el defecte de seguretat podria haver sigut explotat per a causar corrupció en la memòria, la qual cosa podria haver obert la porta a una major explotació.

• • Mozilla Thunderbird y Thunderbird ESR

Dimarts, Mozilla també va anunciar el llançament de Thunderbird 137.0.2 i Thunderbird ESR 128.9.2 amb correccions per a dos vulnerabilitats d’alta gravetat i una vulnerabilitat de gravetat mitjana.

Les vulnerabilitats d’alta gravetat, identificades com CVE-2025-3522 i CVE-2025-2830, són vulnerabilitats de divulgació d’informació que podrien provocar que s’exposen credencials de Windows xifrades o una llista de directori de /tmp.

La vulnerabilitat CVE-2025-3522 consistix en el fet que, en manejar arxius adjunts allotjats externament, l’URL al qual Thunderbird accedix per a determinar la grandària de l’arxiu adjunt no està validat ni desinfectat i podria fer referència a recursos interns.

CVE-2025-2830 es pot explotar a través de noms d’arxius mal formats per a adjunts en missatges multicomunicats per a enganyar el client de correu electrònic perquè incloga una llista de directori /tmp quan un missatge s’edita com un missatge nou o es reenvia.

Recursos afectats

• • Google Chrome en versions anteriors a la 135.0.7049.95/.96 en Windows i macOS i 135.0.7049.95 per a Linux.
  • Mozilla Firefox en versions anteriors a la 137.0.2.
  • Mozilla Thunderbird en versions anteriors a la 137.0.2.
  • Mozilla Thunderbird ESR en versions anteriors a la 128.9.2.

Recomanacions

Ni Google ni Mozilla esmenten que estes vulnerabilitats s’estiguen explotant indiscriminadament. No obstant això, es recomana als usuaris instal·lar les actualitzacions al més prompte possible:

• • Google Chrome 135.0.7049.95/.96 per a Windows i macOS i 135.0.7049.95 per a Linux.
  • Mozilla Firefox 137.0.2.
  • Mozilla Thunderbird 137.0.2.
  • Mozilla Thunderbird ESR 128.9.2.

Referències

• • https://www.securityweek.com/chrome-135-firefox-137-updates-patch-severe-vulnerabilities/

Autodesk ha informat de 4 vulnerabilitats de severitat alta, que es podrien aprofitar per a provocar un bloqueig, danyar dades o executar codi arbitrari en el context del procés actual.

Anàlisi

Les vulnerabilitats identificades són les següents:

• • CVE-2025-1276 afectaria la confidencialitat, integritat o disponibilitat de les dades de l’usuari o dels recursos de processament. Un arxiu DWG creat amb finalitats malicioses, en analitzar-se mitjançant unes certes aplicacions d’Autodesk, pot forçar l’escriptura fora de límits. El ciberdelinqüent necessita la interacció de l’usuari, una vegada aconseguit, l’atacant pot provocar bloquejos, danys en les dades o executar codi arbitrari.
  • Les vulnerabilitats CVE-2025-1273, CVE-2025-1656 y CVE-2025-1277 permeten que un PDF creat amb finalitats malintencionades, en vincular-se o importar-se a aplicacions d’Autodesk, puga forçar un desbordament de pila i provocar bloquejos, lectura de dades confidencials o execució de codi arbitrari.

Recursos afectats

• • Autodesk Advance Steel versions 2023, 2024 i 2025;
  • Autodesk AutoCAD versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Architecture versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Electrical versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Map 3D versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Mechanical versions 2023, 2024 i 2025;
  • Autodesk AutoCAD MEP versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Plant 3D versions 2023, 2024 i 2025;
  • Autodesk AutoCAD LT versions 2023, 2024 i 2025;
  • Autodesk Civil 3D versions 2023, 2024 i 2025;
  • Autodesk Infrastructure Parts Editor versió 2025;
  • Autodesk Inventor versió 2025;
  • Autodesk Navisworks Manage versió 2025;
  • Autodesk Navisworks Simulate versió 2025;
  • Autodesk Revit versió 2025;
  • Autodesk Vault Basic Client versió 2025.

Recomanacions

Autodesk recomana als usuaris dels productes afectats que instal·len les últimes versions a través d´Autodesk Access o Autodesk Account. També es recomana acceptar solament arxius de fonts de confiança.

Per a mitigar la vulnerabilitat CVE-2025-1276 actualitzar a les versions següents:

• • Autodesk Advance Steel: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Architecture: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Electrical: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Map 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Mechanical: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD MEP: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Plant 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD LT: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk Civil 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk Infrastructure Parts Editor: RealDWG v2025.1.2;
  • Autodesk Inventor: RealDWG v2025.1.2;
  • Autodesk Navisworks Manage: RealDWG v2025.1.2;
  • Autodesk Navisworks Simulate: RealDWG v2025.1.2;
  • Autodesk Revit: RealDWG v2025.1.2;
  • Autodesk Vault Basic Client: RealDWG v2025.1.2.

Per a mitigar les vulnerabilitats identificades com CVE-2025-1273, CVE-2025-1656 i CVE-2025-1277, actualitzar a la versió següent:

• • Autodesk Revit: v2025.4.1.

Referències

• • https://www.incibe.es/empresas/avisos/varias-vulnerabilidades-encontradas-en-productos-de-autodesk
  • PDF Vulnerabilities in Certain Autodesk Desktop Products
  • DWG Vulnerability in Certain Autodesk Desktop Products

S’ha revelat una vulnerabilitat de seguretat crítica en el programari de servidor de blogs de codi obert basat en Java, Apache Roller, que podria permetre a actors maliciosos conservar accés no autoritzat fins i tot després d’un canvi de contrasenya.

Anàlisi
La vulnerabilitat, identificada com a CVE-2025-24859 (CVSS 10.0), radica en una gestió inadequada de les sessions actives.
Quan un usuari canvia la seua contrasenya, les sessions anteriors no s’invaliden automàticament. Això significa que un atacant que haja obtingut accés previ a una sessió pot continuar utilitzant-la, fins i tot després del canvi de credencials, de manera que manté l’accés no autoritzat al sistema.​
Esta vulnerabilitat s’ha corregit en la versió d’Apache Roller publicada pel fabricant, que implementa una gestió centralitzada de sessions, i assegura que totes les sessions actives s’invaliden quan es canvien les contrasenyes o es deshabiliten comptes.

Recursos afectats

• • La vulnerabilitat afecta totes les versions d’Apache Roller fins a la 6.1.4. Qualsevol instància de Roller que utilitze estes versions és susceptible a l’explotació.

Recomanacions

• • Actualitzar a la versió 6.1.5 d’Apache Roller que corregix esta vulnerabilitat.

Referències

• • https://www.darkreading.com/vulnerabilities-threats/max-severity-bug-apache-roller-persistent-access
  • https://lists.apache.org/thread/4j906k16v21kdx8hk87gl7663sw7lg7f
  • https://thehackernews.com/2025/04/critical-apache-roller-vulnerability.html
  • https://securityaffairs.com/176577/security/critical-apache-roller-flaw-allows-to-retain-unauthorized-access-even-after-a-password-change.html

L’11 d’abril de 2025 es va identificar una vulnerabilitat crítica en BentoML, una biblioteca Python utilitzada àmpliament per a crear i desplegar servicis d’intel·ligència artificial.

Anàlisi

Esta vulnerabilitat, catalogada com a CVE-2025-27520 (CVSS 9.8), permetria l’execució remota de codi (RCE) sense necessitat d’autenticació.
La vulnerabilitat radica en la funció deserialize_value() de l’arxiu serde.py de BentoML. Esta funció deserialitza dades sense una validació adequada, cosa que permet que un atacant envie dades malicioses que, en ser deserializades, executen un codi arbitrari en el servidor.
El problema és una reaparició de la vulnerabilitat CVE-2024-2912, prèviament corregida en la versió 1.2.5, però que va tornar a introduir-se en la versió 1.3.8.
Qualsevol implementació de BentoML en les versions vulnerables és susceptible a esta vulnerabilitat. Això inclou servidors que processen dades d’entrada que no són de confiança, com sol·licituds HTTP amb dades serialitzades. L’explotació exitosa d’esta vulnerabilitat pot comprometre la integritat i seguretat del sistema afectat.​​

Recursos afectats

• • BentoML en versions anteriors a 1.4.3

Recomendaciones

• • Actualitzar a la versió 1.4.3 o superior de BentoML: esta versió corregix la vulnerabilitat identificada.​

Referències

• • https://checkmarx.com/zero-post/bentoml-rce-fewer-affected-versions-cve-2025-27520/
  • https://hackread.com/bentoml-vulnerability-remote-code-execution-ai-servers/