Publicado el

Vulnerabilidad en Chrome y Firefox

Se informa de una nueva ronda de parches de seguridad publicada por Google y Mozilla para sus navegadores Chrome y Firefox, además de sus clientes de correo electrónicos Thunderbird y versiones ESR. Estas actualizaciones solucionan múltiples vulnerabilidades de alta gravedad, incluidas algunas detectadas por la inteligencia artificial de Google, Big Sleep. Se recomienda a los usuarios actualizar sus navegadores y aplicaciones cuanto antes.
Chrome (versión 139): Google ha lanzado una actualización para corregir una vulnerabilidad de alto impacto en el motor V8 de JavaScript, identificada como CVE‑2025‑9132. Esta fue descubierta por el agente de IA Big Sleep, desarrollado por Google DeepMind y Project Zero.

Firefox y Thunderbird: Mozilla ha implementado parches que corrigen nueve fallos de seguridad en Firefox (cinco calificados como high severity), entre ellos:

  • Una corrupción de memoria en el proceso GMP que podría permitir escapar del sandbox (CVE‑2025‑9179).
  • Una vulneración de la política same‑origin en un componente gráfico (CVE‑2025‑9180).
  • Varios fallos de seguridad en memoria que podrían derivar en ejecución remota de código (CVE‑2025‑9184, CVE‑2025‑9185, CVE‑2025‑9187).
  • Estas actualizaciones también incluyen nuevas versiones estables de Firefox, Thunderbird y sus variantes ESR, además de Firefox para iOS y Focus para iOS.
 

Recursos Afectados

  • Navegador: Google Chrome versión 139 (para Windows, macOS y Linux).
  • Navegadores: Mozilla Firefox versión 142 (estándar y ESR; incluyendo Focus para iOS).
  • Clientes de correo: Thunderbird versiones 142, 140.2, y 128.14 (incluyendo ESR).
  • Dispositivos móviles: Firefox y Focus para iOS, versión 142.

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1. Actualizar inmediatamente todos los navegadores Chrome a la versión 139 y Firefox/Thunderbird a las versiones indicadas, incluidas sus ediciones ESR y móviles.
  2. Reiniciar los navegadores tras aplicar las actualizaciones para asegurarse de que los parches se activan correctamente.
  3. Verificar que las versiones actualizadas estén efectivamente instaladas, accediendo a los menús de ayuda → “Acerca de” en cada navegador o cliente de correo.
  4. Mantener habilitadas las actualizaciones automáticas siempre que sea posible para recibir protección continua.
  5. Si representas un entorno corporativo, coordinar la distribución centralizada de parches a través de políticas de TI o herramientas de gestión de parches.

Referencias

Publicado el

Alerta de seguridad: Vulnerabilidad crítica Microsoft Exchange Server

Recientemente se ha descubierto una vulnerabilidad de alta criticidad (CVE‑2025‑53786) que afecta despliegues híbridos de Microsoft Exchange Server. Un actor con privilegios administrativos en el servidor local podría escalar privilegios en el entorno en la nube (Exchange Online) sin dejar rastros fácilmente detectables.

El fallo reside en el uso compartido del servicio principal (“service principal”) entre el servidor Exchange local y Exchange Online, lo que permite a un atacante con permisos administrativos en el servidor on‑premises manipular tokens de autenticación o llamadas API, engañando al entorno en la nube que confía implícitamente en el servidor local
Microsoft ha calificado la situación como de alta gravedad y ha publicado un hotfix de abril de 2025 además de recomendaciones específicas como el despliegue de una app híbrida dedicada a la limpieza del servicio principal (modo “Service Principal Clean‑Up”), y el uso del Health Checker de Exchange
CISA, por su parte, ha emitido una alerta instando a organizaciones a implementar estas medidas sin demora, advirtiendo que la vulnerabilidad podría comprometer la integridad de la identidad en Exchange Online y llevar a un “compromiso total del dominio híbrido y local” . Además, recomienda desconectar de Internet los servidores Exchange o SharePoint que hayan llegado al fin de su vida útil o ya no den servicio.
Aunque no se han reportado casos de explotación hasta la fecha, CISA considera que “la explotación es muy probable” dada la existencia de condiciones para desarrollar exploits .
 

Recursos Afectados

  • Microsoft Exchange Server 2016 (entornos híbridos)
  • Microsoft Exchange Server 2019 (entornos híbridos)
  • Microsoft Exchange Server Subscription Edition (versiones iniciales que integran funcionalidades híbridas)
  • Servicios relacionados con Exchange Online e infraestructuras híbridas de autenticación

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1. Revisar y aplicar las directrices publicadas en el anuncio de Microsoft del 18 de abril de 2025 sobre seguridad en despliegues híbridos.
  2. Instalar el hotfix de abril de 2025 (o posterior) en todos los servidores Exchange on‑premises.
  3. Desplegar la aplicación híbrida dedicada (“dedicated hybrid app”) según las instrucciones oficiales.
  4. Si ya no utilizas el entorno híbrido o OAuth entre Exchange local y Exchange Online, ejecutar el proceso de «Service Principal Clean‑Up» para restablecer las keyCredentials.
  5. Ejecutar el Microsoft Exchange Health Checker tras aplicar las medidas para verificar el estado del entorno.
  6. Desconectar servidores Exchange y SharePoint que ya no reciban soporte oficial o estén en fin de vida (EOL/EOS) de acceso público a Internet.
  7. Considerar la migración a Exchange Online o la actualización a Exchange Server Subscription Edition para entornos heredados en soporte limitado

Referencias

Publicado el

Alerta de seguridad: vulnerabilidad crítica en tema Alone de WordPress

Recientemente se ha descubierto que el tema Alone – Charity Multipurpose Non-profit WordPress para WordPress sin fines de lucro y caritativo es vulnerable. Esta comunicación tiene como objetivo informar, analizar el impacto y proveer recomendaciones concretas para mitigar el riesgo.

 

La vulnerabilidad CVE‑2025‑5394, anunciada por INCIBE‑CERT el 15 de julio de 2025, afecta al tema Alone para WordPress en todas sus versiones hasta la 7.8.3 inclusive. El fallo reside en la función alone_import_pack_install_plugin() que expone un endpoint AJAX sin verificación de permisos, lo que permite a atacantes no autenticados subir archivos ZIP con plugins maliciosos (webshells) y ejecutar código remoto (RCE) con control total del sitio .

Según informes de HispaSec, esta fallo está siendo explotada activamente, con multitud de intentos de carga de backdoors en sitios vulnerables. Se estima que el tema cuenta con cerca de 10 000 ventas, siendo usado principalmente por organizaciones sin ánimo de lucro y fundaciones, lo que amplifica el impacto potencial.

El fallo es extremadamente grave: el CVSS v3.1 asigna una puntuación base de 9.80 (Crítica/Control total). La explotación no requiere autenticación, no necesita interacción del usuario y es de acceso directo desde la red.

Recursos Afectados

  • Tema WordPress Alone – Charity Multipurpose Non‑profit, versiones hasta la 7.8.3 inclusive.
  • Sitios WordPress que utilicen dicho tema en entornos públicos expuestos a Internet.

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1. Actualizar inmediatamente el tema Alone a la versión 7.8.5 o superior, que corrige la vulnerabilidad
  2. Bloquear temporalmente el endpoint vulnerable (admin-ajax.php?action=alone_import_pack_install_plugin) si no es posible actualizar de inmediato; puede implementarse mediante WAF o IDS/.
  3. Analizar registros y actividad inusual, buscando cargas de plugins, archivos ZIP no autorizados o creación de usuarios administrativos desconocidos.
  4. Cambiar credenciales críticas, incluyendo cuentas de administrador WordPress, FTP, hosting y base de datos, si se sospecha compromiso.
  5. Restaurar desde copias limpias si se detectan backdoors o accesos ocultos y desactivar archivos sospechosos.
  6. Refuerzo general de seguridad: manten WordPress, temas y plugins siempre actualizados; utiliza autenticación de dos factores; aplica permisos mínimos; y monitoriza actividad con plugins como Wordfence o Sucuri b.

Referencias

Publicado el

Vulnerabilidades críticas en el plugin HT Contact Form de WordPress

Se han descubierto varias vulnerabilidades críticas en el plugin HT Contact Form de WordPress, activamente explotadas y con un alcance que afecta a más de 10.000 sitios web. Estos fallos permiten a los atacantes ejecutar código malicioso, acceder a archivos sensibles y, en el peor de los casos, comprometer completamente el sitio web. La empresa de ciberseguridad Wordfence ha lanzado una alerta instando a los administradores a aplicar medidas de mitigación inmediatas.

El equipo de inteligencia de amenazas de Wordfence identificó tres vulnerabilidades graves:

  1. CVE-2025-23487 – Local File Inclusion (LFI)
    Esta vulnerabilidad permite a atacantes no autenticados incluir archivos arbitrarios del servidor a través de parámetros manipulados. Puede ser explotada para revelar archivos sensibles del sistema, como wp-config.php, o incluso lograr ejecución remota de código si se combinan con cargas maliciosas.
  2. CVE-2025-23488 – Broken Authentication
    El plugin carecía de controles de autenticación adecuados en algunas funciones críticas, permitiendo a usuarios no autorizados realizar acciones privilegiadas, como el envío de datos manipulados o la ejecución de código mediante carga de archivos.
  3. CVE-2025-7360 – Directory Traversal to Arbitrary File Move.
    El HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder plugin para WordPress es vulnerable al movimiento arbitrario de archivos debido a una validación insuficiente de la ruta del archivo en la función handle_files_upload() en todas las versiones hasta, e inclusive, 2.2.1. Esto hace posible que los atacantes no autenticados muevan archivos arbitrarios en el servidor, lo que puede conducir fácilmente a la ejecución remota de código cuando se mueve el archivo correcto (como wp-config.php).

Todas las vulnerabilidades han sido clasificadas como críticas (CVSS >= 9.0). Los atacantes ya están utilizando herramientas automatizadas para escanear e infectar sitios vulnerables, lo que aumenta el riesgo de ataques masivos y compromisos generalizados.

Recursos Afectados

  • Plugin vulnerable: HT Contact Form
  • Versiones afectadas: Hasta la 1.4.1 (inclusive)
  • Número de instalaciones activas: Más de 10.000 sitios web
  • Sistemas afectados: Todos los sitios WordPress que usen este plugin sin actualizar
  • Componentes comprometidos: Inclusión de archivos arbitrarios, funciones de envío de formularios, rutas internas del servidor

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1. Actualizar inmediatamente a la versión 1.4.2 o superior, donde el desarrollador ha corregido las vulnerabilidades.
  2. Desactivar o eliminar temporalmente el plugin si no se puede actualizar por compatibilidad o pruebas previas.
  3. Verificar los logs del servidor y del administrador de WordPress en busca de comportamientos anómalos (cambios de archivos, nuevas cuentas de administrador, ejecuciones no esperadas).
  4. Implementar un firewall de aplicaciones web (WAF) que bloquee solicitudes maliciosas (Wordfence u otros plugins como Sucuri pueden ayudar).
  5. Realizar una auditoría de seguridad completa del sitio y una limpieza si se sospecha que fue comprometido.
  6. Restringir el acceso a archivos críticos del servidor y aplicar políticas de mínimos privilegios.

Referencias