Author: Seguridad CSIRT-CV

Oracle ha anunciat el llançament de 378 nous pedaços de seguretat com a part de la seua segona actualització de pedaços crítics (CPU) de 2025, incloses 255 correccions per a vulnerabilitats que es poden explotar de manera remota sense autenticació.

Anàlisi

S’han identificat aproximadament 180 CVE únics en la CPU d´abril de 2025 d’Oracle que inclou 40 pedaços de seguretat que resolen vulnerabilitats de gravetat crítica.

Oracle Communications va rebre la major quantitat de correccions de seguretat, 103, inclosos 82 pedaços per a errors que poden ser explotats per atacants remots no autenticats.

El següent en la llista és MySQL, que va rebre 43 nous pedaços de seguretat (2 per vulnerabilitats no autenticades i explotables de manera remota), seguit per Aplicacions de comunicacions (42 – 35), Aplicacions de servicis financers (34 – 22) i Fusion Middleware (31 – 26).

Oracle també va llançar correccions de seguretat per a E-Business Suite (16 pedaços nous, 11 per a defectes explotables de manera remota sense autenticació), Analytics (15 – 11), Retail Applications (11 – 11), JD Edwards (8 – 5), Construcció i enginyeria (7 – 6), Servidor de base de dades (7 – 3), Comerç (6 – 5) i Java ES (6 – 5).

Es van llançar alguns pedaços per a Enterprise Manager, ferramentes de suport, GoldenGate, Siebel CRM, PeopleSoft, automatització de polítiques, aplicacions d’aliments i begudes, aplicacions d’hospitalitat, Hyperion, cadena de subministrament, virtualització, base de dades en memòria TimesTen, aplicacions d’utilitats i sistemes.

Autonomous Health Framework, Graph Server i Client, Insurance Applications, Essbase i Secure Backup van rebre un pedaç cada un.

Addicionalment va anunciar correccions per a CVE de tercers no explotables. Per a altres productes, les correccions aborden CVE addicionals i CVE no explotables.

Dimarts, també va publicar el Butlletí de tercers de Solaris d’abril de 2025, que conté 16 nous pedaços de seguretat (14 per a falles no autenticades i explotables de manera remota), i el Butlletí de Linux d’abril de 2025, que enumera 48 correccions per a errors d’Oracle Linux resolts i anunciats en l’últim mes i que s’actualitzarà durant dos mesos per a incloure nous CVE.

Recursos afectats

Productes Oracle esmentats en els butlletins disponibles en les referències.

Recomanacions

Es recomana als clients d’Oracle que apliquen els pedaços al més prompte possible, ja que s’ha observat quins actors d’amenaces exploten vulnerabilitats d’Oracle per a les quals s’han publicat correccions però no s’hi han aplicat.

Referències

• • https://www.securityweek.com/oracle-patches-180-vulnerabilities-with-april-2025-cpu/
  • https://www.oracle.com/security-alerts/cpuapr2025.html
  • https://www.oracle.com/security-alerts/linuxbulletinapr2025.html
•  

Google i Mozilla van anunciar el dimarts actualitzacions de seguretat per a Chrome 135 i Firefox 137 que aborden vulnerabilitats crítiques i d’alta gravetat potencialment explotables.

Anàlisi

• • Google Chrome

Es van llançar les versions 135.0.7049.95/.96 de Chrome per a Windows i macOS i la versió 135.0.7049.95 per a Linux amb correccions per a dos vulnerabilitats de seguretat de memòria informades per investigadors externs.

La primera, identificada com CVE-2025-3619, es descriu com un problema crític de desbordament de memòria de pila en còdecs. La segona és CVE-2025-3620, un error d’ús després de l’alliberament en USB.

Si bé Google no ha compartit detalls específics sobre cap de les vulnerabilitats, les dos podrien ser explotades per atacants amb coneixement de patrons d’assignació de memòria per a executar codi arbitrari, generalment convencent a un usuari de visitar una pàgina web dissenyada específicament per a això.

• • Mozilla Firefox

Firefox es va actualitzar a la versió 137.0.2 en tots els sistemes operatius per a resoldre CVE-2025-3608,

una condició de carrera d’alta gravetat en nsHttpTransaction, el component que maneja les transaccions HTTP.

Segons Mozilla, el defecte de seguretat podria haver sigut explotat per a causar corrupció en la memòria, la qual cosa podria haver obert la porta a una major explotació.

• • Mozilla Thunderbird y Thunderbird ESR

Dimarts, Mozilla també va anunciar el llançament de Thunderbird 137.0.2 i Thunderbird ESR 128.9.2 amb correccions per a dos vulnerabilitats d’alta gravetat i una vulnerabilitat de gravetat mitjana.

Les vulnerabilitats d’alta gravetat, identificades com CVE-2025-3522 i CVE-2025-2830, són vulnerabilitats de divulgació d’informació que podrien provocar que s’exposen credencials de Windows xifrades o una llista de directori de /tmp.

La vulnerabilitat CVE-2025-3522 consistix en el fet que, en manejar arxius adjunts allotjats externament, l’URL al qual Thunderbird accedix per a determinar la grandària de l’arxiu adjunt no està validat ni desinfectat i podria fer referència a recursos interns.

CVE-2025-2830 es pot explotar a través de noms d’arxius mal formats per a adjunts en missatges multicomunicats per a enganyar el client de correu electrònic perquè incloga una llista de directori /tmp quan un missatge s’edita com un missatge nou o es reenvia.

Recursos afectats

• • Google Chrome en versions anteriors a la 135.0.7049.95/.96 en Windows i macOS i 135.0.7049.95 per a Linux.
  • Mozilla Firefox en versions anteriors a la 137.0.2.
  • Mozilla Thunderbird en versions anteriors a la 137.0.2.
  • Mozilla Thunderbird ESR en versions anteriors a la 128.9.2.

Recomanacions

Ni Google ni Mozilla esmenten que estes vulnerabilitats s’estiguen explotant indiscriminadament. No obstant això, es recomana als usuaris instal·lar les actualitzacions al més prompte possible:

• • Google Chrome 135.0.7049.95/.96 per a Windows i macOS i 135.0.7049.95 per a Linux.
  • Mozilla Firefox 137.0.2.
  • Mozilla Thunderbird 137.0.2.
  • Mozilla Thunderbird ESR 128.9.2.

Referències

• • https://www.securityweek.com/chrome-135-firefox-137-updates-patch-severe-vulnerabilities/

Autodesk ha informat de 4 vulnerabilitats de severitat alta, que es podrien aprofitar per a provocar un bloqueig, danyar dades o executar codi arbitrari en el context del procés actual.

Anàlisi

Les vulnerabilitats identificades són les següents:

• • CVE-2025-1276 afectaria la confidencialitat, integritat o disponibilitat de les dades de l’usuari o dels recursos de processament. Un arxiu DWG creat amb finalitats malicioses, en analitzar-se mitjançant unes certes aplicacions d’Autodesk, pot forçar l’escriptura fora de límits. El ciberdelinqüent necessita la interacció de l’usuari, una vegada aconseguit, l’atacant pot provocar bloquejos, danys en les dades o executar codi arbitrari.
  • Les vulnerabilitats CVE-2025-1273, CVE-2025-1656 y CVE-2025-1277 permeten que un PDF creat amb finalitats malintencionades, en vincular-se o importar-se a aplicacions d’Autodesk, puga forçar un desbordament de pila i provocar bloquejos, lectura de dades confidencials o execució de codi arbitrari.

Recursos afectats

• • Autodesk Advance Steel versions 2023, 2024 i 2025;
  • Autodesk AutoCAD versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Architecture versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Electrical versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Map 3D versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Mechanical versions 2023, 2024 i 2025;
  • Autodesk AutoCAD MEP versions 2023, 2024 i 2025;
  • Autodesk AutoCAD Plant 3D versions 2023, 2024 i 2025;
  • Autodesk AutoCAD LT versions 2023, 2024 i 2025;
  • Autodesk Civil 3D versions 2023, 2024 i 2025;
  • Autodesk Infrastructure Parts Editor versió 2025;
  • Autodesk Inventor versió 2025;
  • Autodesk Navisworks Manage versió 2025;
  • Autodesk Navisworks Simulate versió 2025;
  • Autodesk Revit versió 2025;
  • Autodesk Vault Basic Client versió 2025.

Recomanacions

Autodesk recomana als usuaris dels productes afectats que instal·len les últimes versions a través d´Autodesk Access o Autodesk Account. També es recomana acceptar solament arxius de fonts de confiança.

Per a mitigar la vulnerabilitat CVE-2025-1276 actualitzar a les versions següents:

• • Autodesk Advance Steel: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Architecture: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Electrical: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Map 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Mechanical: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD MEP: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD Plant 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk AutoCAD LT: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk Civil 3D: v2023.1.7, v2024.1.7 y v2025.1.2;
  • Autodesk Infrastructure Parts Editor: RealDWG v2025.1.2;
  • Autodesk Inventor: RealDWG v2025.1.2;
  • Autodesk Navisworks Manage: RealDWG v2025.1.2;
  • Autodesk Navisworks Simulate: RealDWG v2025.1.2;
  • Autodesk Revit: RealDWG v2025.1.2;
  • Autodesk Vault Basic Client: RealDWG v2025.1.2.

Per a mitigar les vulnerabilitats identificades com CVE-2025-1273, CVE-2025-1656 i CVE-2025-1277, actualitzar a la versió següent:

• • Autodesk Revit: v2025.4.1.

Referències

• • https://www.incibe.es/empresas/avisos/varias-vulnerabilidades-encontradas-en-productos-de-autodesk
  • PDF Vulnerabilities in Certain Autodesk Desktop Products
  • DWG Vulnerability in Certain Autodesk Desktop Products

S’ha revelat una vulnerabilitat de seguretat crítica en el programari de servidor de blogs de codi obert basat en Java, Apache Roller, que podria permetre a actors maliciosos conservar accés no autoritzat fins i tot després d’un canvi de contrasenya.

Anàlisi
La vulnerabilitat, identificada com a CVE-2025-24859 (CVSS 10.0), radica en una gestió inadequada de les sessions actives.
Quan un usuari canvia la seua contrasenya, les sessions anteriors no s’invaliden automàticament. Això significa que un atacant que haja obtingut accés previ a una sessió pot continuar utilitzant-la, fins i tot després del canvi de credencials, de manera que manté l’accés no autoritzat al sistema.​
Esta vulnerabilitat s’ha corregit en la versió d’Apache Roller publicada pel fabricant, que implementa una gestió centralitzada de sessions, i assegura que totes les sessions actives s’invaliden quan es canvien les contrasenyes o es deshabiliten comptes.

Recursos afectats

• • La vulnerabilitat afecta totes les versions d’Apache Roller fins a la 6.1.4. Qualsevol instància de Roller que utilitze estes versions és susceptible a l’explotació.

Recomanacions

• • Actualitzar a la versió 6.1.5 d’Apache Roller que corregix esta vulnerabilitat.

Referències

• • https://www.darkreading.com/vulnerabilities-threats/max-severity-bug-apache-roller-persistent-access
  • https://lists.apache.org/thread/4j906k16v21kdx8hk87gl7663sw7lg7f
  • https://thehackernews.com/2025/04/critical-apache-roller-vulnerability.html
  • https://securityaffairs.com/176577/security/critical-apache-roller-flaw-allows-to-retain-unauthorized-access-even-after-a-password-change.html