Autor: Seguridad CSIRT-CV

El compresor de archivos, 7-Zip, contenía una vulnerabilidad que podría haber permitido a los atacantes introducir malware a través de las defensas de seguridad de Windows.

Análisis

Identificada como CVE-2025-0411 y a la que se le asignó una puntuación CVSS de 7.0, podría permitir a los atacantes eludir la función de seguridad “Mark-of-the-Web” de Windows.

La marca de la Web es un mecanismo de seguridad fundamental que marca los archivos descargados de Internet. Esta marca advierte a los usuarios de que un archivo puede ser potencialmente peligroso y activa medidas de seguridad como la Vista protegida en Microsoft Office, lo que dificulta la ejecución de códigos maliciosos.

La vulnerabilidad de 7-Zip interrumpió esta protección. Como explica el aviso , “la vulnerabilidad específica existe en el manejo de archivos comprimidos. Al extraer archivos de un archivo creado que lleva la marca de la Web, 7-Zip no propaga la marca de la Web a los archivos extraídos”.
Esto significa que, incluso si Windows hubiera marcado correctamente un archivo descargado, extraer archivos con una versión vulnerable de 7-Zip eliminaría esta advertencia crucial, lo que podría hacer que los usuarios no se enteraran de la amenaza. El aviso advierte que los atacantes podrían aprovechar esto para » ejecutar código arbitrario en el contexto del usuario actual».

Recursos afectados

• • 7-Zip en versiones anteriores a la 24.09.

Recomendaciones

• • Se recomienda encarecidamente a los usuarios que actualicen a la última versión de inmediato.

* Existe una prueba de concepto (POC) de esta vulnerabilidad, disponible en https://github.com/dhmosfunk/7-Zip-CVE-2025-0411-POC

Referencias

• • https://securityonline.info/cve-2025-0411-7-zip-security-vulnerability-enables-code-execution-update-now/

Oracle ha publicado una actualización crítica con parches para corregir vulnerabilidades, que afectan a múltiples productos.

Análisis

Esta actualización resuelve 318 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de «Referencias».

Esta actualización de parches críticos contiene 10 nuevos parches de seguridad para productos de bases de datos Oracle, divididos de la siguiente manera:

• • 5 nuevos parches de seguridad para productos de Oracle Database,
  • 1 nuevo parche de seguridad para Oracle Application Express,
  • 2 nuevos parches de seguridad para Oracle GoldenGate,
  • 1 nuevo parche de seguridad para Oracle REST Data Services,
  • 1 nuevo parche de seguridad para Oracle Secure Backup.

Recursos afectados

• • Enterprise Manager for MySQL Database, versión 13.5.2.0.0;
  • JD Edwards EnterpriseOne Orchestraar, versiones anteriores a 9.2.9.2;
  • JD Edwards EnterpriseOne aols, versiones anteriores a 9.2.9.2;
  • MySQL Cluster, versiones 7.6.32 y anteriores, 8.0.40 y anteriores, 8.4.3 y anteriores, 9.1.0 y anteriores;
  • MySQL Connecars, versiones 9.1.0 y anteriores;
  • MySQL Enterprise Backup, versiones 8.0.40 y anteriores, 8.4.3 y anteriores, 9.1.0 y anteriores;
  • MySQL Enterprise Firewall, versiones 8.0.40 y anteriores, 8.4.3 y anteriores, 9.1.0 y anteriores;
  • MySQL Server, versiones 8.0.40 y anteriores, 8.4.3 y anteriores, 9.0.1 y anteriores, 9.1.0 y anteriores;
  • MySQL Shell, versiones 8.0.40 y anteriores, 8.4.3 y anteriores, 9.1.0 y anteriores;
  • Oracle Agile Engineering Data Management, versión 6.2.1;
  • Oracle Agile PLM Framework, versión 9.3.6;
  • Oracle Analytics Deskap, versiones anteriores a 8.1.0;
  • Oracle Application Express, versiones 23.2, 24.1;
  • Oracle Application Testing Suite, versión 13.3.0.1;
  • Oracle Banking Corporate Lending Process Management, versiones 14.4.0.0.0-14.7.0.0.0;
  • Oracle Banking Liquidity Management, versión 14.7.5.0.0;
  • Oracle Banking Origination, versiones 14.5.0.0.0-14.7.0.0.0;
  • Oracle BI Publisher, versiónes 7.0.0.0.0, 7.6.0.0.0;
  • Oracle Big Data Spatial y Graph, versión 3.7;
  • Oracle Blockchain Platform, versiones 21.1.2, 24.1.3;
  • Oracle Business Activity Moniaring, versión 12.2.1.4.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 7.0.0.0.0, 7.6.0.0.0, 12.2.1.4.0;
  • Oracle Business Process Management Suite, versión 12.2.1.4.0;
  • Oracle Coherence, versiones 12.2.1.4.0, 14.1.1.0.0;
  • Oracle Commerce Guided Search, versión 11.3.2;
  • Oracle Communications Billing y Revenue Management, versiones 12.0.0.4-12.0.0.8, 15.0.0.0-15.0.0.1;
  • Oracle Communications BRM – Elastic Charging Engine, versiones 12.0.0.4-12.0.0.8, 15.0.0.0, 15.0.1.0;
  • Oracle Communications Cloud Native Core Auamated Test Suite, versión 24.2.0;
  • Oracle Communications Cloud Native Core Binding Support Function, versiones 24.2.0, 24.2.1;
  • Oracle Communications Cloud Native Core Certificate Management, versión 24.2.1;
  • Oracle Communications Cloud Native Core Console, versión 24.2.1;
  • Oracle Communications Cloud Native Core DBTier, versión 24.3.0;
  • Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versiones 24.2.0, 24.3.0;
  • Oracle Communications Cloud Native Core Network Reposiary Function, versión 24.2.2;
  • Oracle Communications Cloud Native Core Policy, versiones 24.2.0-24.2.2;
  • Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 23.4.0, 24.2.0, 24.2.1, 24.2.2;
  • Oracle Communications Cloud Native Core Service Communication Proxy, versiones 24.2.0, 24.3.0;
  • Oracle Communications Cloud Native Core Unified Data Reposiary, versiones 23.4.4, 24.1.1, 24.2.2, 24.2.3, 24.3.0;
  • Oracle Communications Converged Application Server, versiones 8.0, 8.1;
  • Oracle Communications Convergence, versiones 3.0.2.0.0, 3.0.3.0.0, 3.0.3.3.0;
  • Oracle Communications Diameter Signaling Router, versiones 8.2.3.0.0, 8.6.0.4.0, 9.0, 9.0.0.0.0-9.0.2.0.0;
  • Oracle Communications EAGLE Element Management System, versión 47.0.0.0.0;
  • Oracle Communications Messaging Server, versión 8.1.0.26;
  • Oracle Communications Network Analytics Data Direcar, versiones 24.1.0, 24.2.0;
  • Oracle Communications Offline Mediation Controller, versiones 12.0.0.8, 15.0.0.0, 15.0.1.0;
  • Oracle Communications Operations Moniar, versiones 5.1, 5.2;
  • Oracle Communications Order y Service Management, versiones 7.4.0, 7.4.1, 7.5.0;
  • Oracle Communications Policy Management, versión 15.0.0.0.0;
  • Oracle Communications Service Catalog y Design, versiones 8.0.0.3, 8.1.0.1;
  • Oracle Communications Session Border Controller, versiones 9.2.0, 9.3.0;
  • Oracle Communications Unified Assurance, versiones 6.0.0-6.0.5;
  • Oracle Communications Unified Invenary Management, versiones 7.4.1, 7.4.2, 7.5.1, 7.6.0;
  • Oracle Communications User Data Reposiary, versiones 12.11, 14.0, 15.0;
  • Oracle Database Server, versiones 19.1, 19.3-19.25, 21.3-21.16, 23.4-23.6;
  • Oracle Documaker, versiones 12.7.1, 12.7.2, 13.0.0;
  • Oracle E-Business Suite, versiones 12.2.3-12.2.14;
  • Oracle Enterprise Communications Broker, versiones 4.1.0, 4.2.0;
  • Oracle Enterprise Manager Base Platform, versión 13.5.0.0;
  • Oracle Enterprise Session Border Controller, versiones 9.2.0, 9.3.0;
  • Oracle Essbase, versión 21.7;
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.7.8, 8.0.8.6, 8.1.2.5;
  • Oracle Financial Services Behavior Detection Platform, versiones 8.0.8.1, 8.1.2.7, 8.1.2.8;
  • Oracle Financial Services Compliance Studio, versiones 8.1.2.5, 8.1.2.6;
  • Oracle Financial Services Enterprise Case Management, versiones 8.0.8.2, 8.1.2.7, 8.1.2.8;
  • Oracle Financial Services Model Management y Governance, versiones 8.1.2.6, 8.1.2.7, 8.1.3.0;
  • Oracle Financial Services Regulaary Reporting, versiones 8.1.2.7, 8.1.2.8;
  • Oracle Financial Services Revenue Management y Billing, versiones 2.9.0.0.0-7.0.0.0.0;
  • Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, versión 8.0.8;
  • Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0;
  • Oracle GoldenGate, versiones 19.1.0.0.0-19.25.0.0.241015, 21.3-21.16, 23.4-23.6;
  • Oracle GoldenGate Big Data y Application Adapters, versiones 19.1.0.0.0-19.1.0.0.18, 21.3.0.0.0-21.16.0.0.0, 23.4-23.6;
  • Oracle GoldenGate Studio, versión 12.2.0.4.0;
  • Oracle GoldenGate Veridata, versiones 12.2.1.4.0-12.2.1.4.240430;
  • Oracle GraalVM Enterprise Edition, versiones 20.3.16, 21.3.12;
  • Oracle GraalVM for JDK, versiones 17.0.13, 21.0.5, 23.0.1;
  • Oracle Graph Server y Client, versiones 23.4.4, 24.4.0;
  • Oracle Hospitality OPERA 5, versiones 5.6.19.20, 5.6.25.8, 5.6.26.6, 5.6.27.1;
  • Oracle HTTP Server, versión 12.2.1.4.0;
  • Oracle Hyperion Data Relationship Management, versión 11.2.19.0.0;
  • Oracle Identity Manager, versión 12.2.1.4.0;
  • Oracle Java SE, versiones 8u431, 8u431-perf, 11.0.25, 17.0.13, 21.0.5, 23.0.1;
  • Oracle Life Sciences Argus Safety, versión 8.2.3;
  • Oracle Life Sciences Empirica Signal, versiones anteriores a 9.2.3;
  • Oracle Managed File Transfer, versión 12.2.1.4.0;
  • Oracle Middleware Common Libraries y aols, versión 12.2.1.4.0;
  • Oracle Outside In Technology, versión 8.5.7;
  • Oracle Policy Auamation, versiones 12.2.18-12.2.36;
  • Oracle REST Data Services, versiones 23.3.0.289.1830, 23.3.1.305.1055, 23.4.0.346.1619, 23.4.1.38.1857, 24.1.0.108.942, 24.1.1.120.1228, 24.1.2.163.1158, 24.2.0, 24.2.0.169.2208, 24.2.1.180.1634, 24.2.2.187.1943, 24.3.0;
  • Oracle Retail Financial Integration, versiones 14.1.3.2, 15.0.3.1, 16.0.3.0, 19.0.1.0;
  • Oracle Retail Integration Bus, versiones 14.1.3.2, 15.0.3.1, 16.0.3.0, 19.0.1.0;
  • Oracle SD-WAN Edge, versiones 9.1.1.0-9.1.1.9;
  • Oracle Secure Backup, versiones 18.1.0.1.0, 18.1.0.2.0, 19.1.0.0.0;
  • Oracle Security Service, versión 12.2.1.4.0;
  • Oracle Solaris, versión 11;
  • Oracle TimesTen In-Memory Database, versiones 18.1, 22.1;
  • Oracle Utilities Application Framework, versiones 4.3.0.3.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.5.0.0.0, 4.5.0.1.1, 4.5.0.1.3, 24.1.0.0.0-24.3.0.0.0;
  • Oracle Utilities Network Management System, versiones 2.5.0.1.14, 2.5.0.1.15, 2.5.0.2.9, 2.6.0.1.5, 2.6.0.1.7;
  • Oracle Utilities Testing Acceleraar, versiones 6.0.0.1.0-6.0.0.3.0, 7.0.0.0.0-7.0.0.1.0;
  • Oracle VM VirtualBox, versiones anteriores a 7.0.24, anteriores a 7.1.6;
  • Oracle WebCenter Portal, versión 12.2.1.4.0;
  • Oracle WebLogic Server, versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0;
  • PeopleSoft Enterprise CC Common Application Objects, versión 9.2;
  • PeopleSoft Enterprise FIN Cash Management, versión 9.2;
  • PeopleSoft Enterprise FIN eSettlements, versión 9.2;
  • PeopleSoft Enterprise Peopleaols, versiones 8.60, 8.61;
  • PeopleSoft Enterprise SCM Purchasing, versión 9.2;
  • Primavera Gateway, versiones 20.12.0-20.12.15, 21.12.0-21.12.13;
  • Primavera P6 Enterprise Project Portfolio Management, versiones 20.12.1.0-20.12.21.5, 21.12.1.0-21.12.20.0, 22.12.1.0-22.12.16.0, 23.12.1.0-23.12.10.0;
  • Primavera Unifier, versiones 20.12.0-20.12.16, 21.12.0-21.12.17, 22.12.0-22.12.15, 23.12.0-23.12.12, 24.12.0;
  • Siebel Applications, versiones 24.11 y anteriores;

Recomendaciones

• • Aplicar los parches correspondientes, según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Referencias

• • Oracle Critical Patch Update Advisory – January 2025
  • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-criticas-en-oracle-enero-2025

Una vulnerabilidad del plugin W3 Total Cache de WordPress podría permitir a los atacantes acceder a información de servicios internos, incluidos metadatos de aplicaciones basadas en la nube.

Análisis

El complemento WordPress W3 Total Cache es una herramienta de optimización del rendimiento muy popular diseñada para mejorar la velocidad y la eficiencia de los sitios web de WordPress.

Identificada como CVE-2024-12365 (CVSS de 8,5) la explotación de la vulnerabilidad podría exponer metadatos de servicios internos y aplicaciones en la nube.
La vulnerabilidad permite a atacantes autenticados con acceso de suscriptor explotar una verificación de capacidad faltante, lo que lleva a la divulgación de información.

El problema permite a los usuarios autenticados (nivel de suscriptor o superior) explotar una verificación de capacidad faltante, exponiendo datos confidenciales, consumiendo los límites del servicio y accediendo a servicios internos, incluidos los metadatos de aplicaciones en la nube.

Recursos afectados

• • Todas las versiones del plugin hasta la 2.8.1 inclusive.

Recomendaciones

• • Se recomienda a los usuarios que actualicen a la versión 2.8.2 lo antes posible.

Referencias

• • https://securityaffairs.com/173219/security/w3-total-cache-wordpress-plugin-cve-2024-12365.html

Rsync, ampliamente utilizado para la sincronización y copia de archivos en sistemas Linux y Unix, enfrenta múltiples vulnerabilidades críticas, según informa el Instituto Nacional de Estándares y Tecnología (NIST) a través de su Base Nacional de Datos de Vulnerabilidades (NVD). Entre estas, destaca la CVE-2024-12084, calificada con una puntuación CVSS de 9.8, lo que la convierte en una amenaza de máxima gravedad.

El problema más crítico, CVE-2024-12084, es un desbordamiento de búfer en el demonio de Rsync que podría permitir a atacantes remotos ejecutar código arbitrario en los sistemas afectados. Otras vulnerabilidades incluyen filtración de información sensible, condiciones de carrera y escritura de archivos en ubicaciones no autorizadas. Estas fallas afectan a las versiones de Rsync hasta la 3.3.0 y anteriores, según detalla INCIBE-CERT. Los atacantes podrían aprovechar estas vulnerabilidades para comprometer servidores, obtener acceso no autorizado o alterar datos en sistemas críticos.

Para mitigar estos riesgos, los desarrolladores de Rsync han publicado actualizaciones que corrigen las vulnerabilidades identificadas. Se recomienda encarecidamente a los administradores de sistemas actualizar a la versión más reciente disponible, que puede descargarse desde el sitio oficial del proyecto. Adicionalmente, es crucial revisar la configuración de seguridad de Rsync, evitando configuraciones inseguras que puedan ser explotadas, como la exposición del demonio a redes públicas.

El CERT Coordination Center (CERT/CC) también enfatiza la importancia de aplicar estas correcciones de inmediato, dado el amplio uso de Rsync en entornos empresariales y la alta probabilidad de explotación de estas vulnerabilidades en caso de no aplicar las actualizaciones.

Referencias

• NVD – CVE-2024-12084
• INCIBE-CERT
• CERT/CC
• Security Online