Autor: Seguridad CSIRT-CV

Se ha revelado una vulnerabilidad de seguridad crítica en el software de servidor de blogs de código abierto basado en Java, Apache Roller que podría permitir a actores maliciosos conservar acceso no autorizado incluso después de un cambio de contraseña.

Análisis

La vulnerabilidad, identificada como CVE-2025-24859 (CVSS 10.0), radica en una gestión inadecuada de las sesiones activas.
Cuando un usuario cambia su contraseña, las sesiones anteriores no se invalidan automáticamente. Esto significa que un atacante que haya obtenido acceso previo a una sesión puede continuar utilizándola, incluso tras el cambio de credenciales, manteniendo así el acceso no autorizado al sistema.​
Esta vulnerabilidad ha sido corregida en la versión de Apache Roller publicada por el fabricante, que implementa una gestión centralizada de sesiones, asegurando que todas las sesiones activas se invaliden cuando se cambian las contraseñas o se deshabilitan cuentas.

Recursos afectados

• • La vulnerabilidad afecta a todas las versiones de Apache Roller hasta la 6.1.4. Cualquier instancia de Roller que utilice estas versiones es susceptible a la explotación .

Recomendaciones

• • Actualizar a la versión 6.1.5 de Apache Roller que corrige esta vulnerabilidad.

Referencias

• • https://www.darkreading.com/vulnerabilities-threats/max-severity-bug-apache-roller-persistent-access
  • https://lists.apache.org/thread/4j906k16v21kdx8hk87gl7663sw7lg7f
  • https://thehackernews.com/2025/04/critical-apache-roller-vulnerability.html
  • https://securityaffairs.com/176577/security/critical-apache-roller-flaw-allows-to-retain-unauthorized-access-even-after-a-password-change.html

El 11 de abril de 2025, se identificó una vulnerabilidad crítica en BentoML, una biblioteca Python ampliamente utilizada para crear y desplegar servicios de inteligencia artificial.

Análisis

Esta vulnerabilidad, catalogada como CVE-2025-27520 (CVSS 9.8), permitiría la ejecución remota de código (RCE) sin necesidad de autenticación.
La vulnerabilidad radica en la función deserialize_value() del archivo serde.py de BentoML. Esta función deserializa datos sin una validación adecuada, lo que permite que un atacante envíe datos maliciosos que, al ser deserializados, ejecuten código arbitrario en el servidor.
El problema es una reaparición de la vulnerabilidad CVE-2024-2912, previamente corregida en la versión 1.2.5, pero que volvió a introducirse en la versión 1.3.8.
Cualquier implementación de BentoML en las versiones vulnerables es susceptible a esta vulnerabilidad. Esto incluye servidores que procesan datos de entrada no confiables, como solicitudes HTTP con datos serializados. La explotación exitosa de esta vulnerabilidad puede comprometer la integridad y seguridad del sistema afectado.​

Recursos afectados

• • BentoML en versiones anteriores a 1.4.3

Recomendaciones

• • Actualizar a la versión 1.4.3 o superior de BentoML: Esta versión corrige la vulnerabilidad identificada.​

Referencias

• • https://checkmarx.com/zero-post/bentoml-rce-fewer-affected-versions-cve-2025-27520/
  • https://hackread.com/bentoml-vulnerability-remote-code-execution-ai-servers/

 

Google ha lanzado una actualización de seguridad para Android que aborda 62 vulnerabilidades, incluyendo dos de tipo zero-day que estaban siendo explotadas activamente, según informa BleepingComputer.​

Una de las vulnerabilidades, identificada como CVE-2024-53197, es un fallo de escalada de privilegios en el controlador USB de audio del kernel de Linux. Esta vulnerabilidad fue explotada por las autoridades serbias utilizando una cadena de exploits desarrollada por la empresa israelí de forense digital Cellebrite para desbloquear dispositivos Android confiscados. Esta cadena de exploits también incluía otras vulnerabilidades como CVE-2024-53104 y CVE-2024-50302, que fueron corregidas en actualizaciones anteriores.

La segunda vulnerabilidad zero-day, CVE-2024-53150, es un fallo que permite a los atacantes obtener datos potencialmente sensibles. Ambas vulnerabilidades han sido corregidas en el boletín de seguridad de abril de 2025 de Android, que incluye dos niveles de parches: 2025-04-01 y 2025-04-05, permitiendo a los socios de Android abordar un conjunto de vulnerabilidades comunes en diferentes dispositivos.

Se recomienda a todos los usuarios de dispositivos Android que actualicen sus sistemas operativos a la versión más reciente para protegerse contra estas vulnerabilidades. Las actualizaciones de seguridad son fundamentales para mantener la integridad y seguridad de los dispositivos móviles, especialmente cuando se han identificado y explotado activamente vulnerabilidades de este tipo.