Publicado el

Alerta de seguridad: Vulnerabilidad crítica Microsoft Exchange Server

Recientemente se ha descubierto una vulnerabilidad de alta criticidad (CVE‑2025‑53786) que afecta despliegues híbridos de Microsoft Exchange Server. Un actor con privilegios administrativos en el servidor local podría escalar privilegios en el entorno en la nube (Exchange Online) sin dejar rastros fácilmente detectables.

El fallo reside en el uso compartido del servicio principal (“service principal”) entre el servidor Exchange local y Exchange Online, lo que permite a un atacante con permisos administrativos en el servidor on‑premises manipular tokens de autenticación o llamadas API, engañando al entorno en la nube que confía implícitamente en el servidor local
Microsoft ha calificado la situación como de alta gravedad y ha publicado un hotfix de abril de 2025 además de recomendaciones específicas como el despliegue de una app híbrida dedicada a la limpieza del servicio principal (modo “Service Principal Clean‑Up”), y el uso del Health Checker de Exchange
CISA, por su parte, ha emitido una alerta instando a organizaciones a implementar estas medidas sin demora, advirtiendo que la vulnerabilidad podría comprometer la integridad de la identidad en Exchange Online y llevar a un “compromiso total del dominio híbrido y local” . Además, recomienda desconectar de Internet los servidores Exchange o SharePoint que hayan llegado al fin de su vida útil o ya no den servicio.
Aunque no se han reportado casos de explotación hasta la fecha, CISA considera que “la explotación es muy probable” dada la existencia de condiciones para desarrollar exploits .
 

Recursos Afectados

  • Microsoft Exchange Server 2016 (entornos híbridos)
  • Microsoft Exchange Server 2019 (entornos híbridos)
  • Microsoft Exchange Server Subscription Edition (versiones iniciales que integran funcionalidades híbridas)
  • Servicios relacionados con Exchange Online e infraestructuras híbridas de autenticación

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1. Revisar y aplicar las directrices publicadas en el anuncio de Microsoft del 18 de abril de 2025 sobre seguridad en despliegues híbridos.
  2. Instalar el hotfix de abril de 2025 (o posterior) en todos los servidores Exchange on‑premises.
  3. Desplegar la aplicación híbrida dedicada (“dedicated hybrid app”) según las instrucciones oficiales.
  4. Si ya no utilizas el entorno híbrido o OAuth entre Exchange local y Exchange Online, ejecutar el proceso de «Service Principal Clean‑Up» para restablecer las keyCredentials.
  5. Ejecutar el Microsoft Exchange Health Checker tras aplicar las medidas para verificar el estado del entorno.
  6. Desconectar servidores Exchange y SharePoint que ya no reciban soporte oficial o estén en fin de vida (EOL/EOS) de acceso público a Internet.
  7. Considerar la migración a Exchange Online o la actualización a Exchange Server Subscription Edition para entornos heredados en soporte limitado

Referencias

Publicado el

Alerta de seguridad: vulnerabilidad crítica en tema Alone de WordPress

Recientemente se ha descubierto que el tema Alone – Charity Multipurpose Non-profit WordPress para WordPress sin fines de lucro y caritativo es vulnerable. Esta comunicación tiene como objetivo informar, analizar el impacto y proveer recomendaciones concretas para mitigar el riesgo.

 

La vulnerabilidad CVE‑2025‑5394, anunciada por INCIBE‑CERT el 15 de julio de 2025, afecta al tema Alone para WordPress en todas sus versiones hasta la 7.8.3 inclusive. El fallo reside en la función alone_import_pack_install_plugin() que expone un endpoint AJAX sin verificación de permisos, lo que permite a atacantes no autenticados subir archivos ZIP con plugins maliciosos (webshells) y ejecutar código remoto (RCE) con control total del sitio .

Según informes de HispaSec, esta fallo está siendo explotada activamente, con multitud de intentos de carga de backdoors en sitios vulnerables. Se estima que el tema cuenta con cerca de 10 000 ventas, siendo usado principalmente por organizaciones sin ánimo de lucro y fundaciones, lo que amplifica el impacto potencial.

El fallo es extremadamente grave: el CVSS v3.1 asigna una puntuación base de 9.80 (Crítica/Control total). La explotación no requiere autenticación, no necesita interacción del usuario y es de acceso directo desde la red.

Recursos Afectados

  • Tema WordPress Alone – Charity Multipurpose Non‑profit, versiones hasta la 7.8.3 inclusive.
  • Sitios WordPress que utilicen dicho tema en entornos públicos expuestos a Internet.

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1. Actualizar inmediatamente el tema Alone a la versión 7.8.5 o superior, que corrige la vulnerabilidad
  2. Bloquear temporalmente el endpoint vulnerable (admin-ajax.php?action=alone_import_pack_install_plugin) si no es posible actualizar de inmediato; puede implementarse mediante WAF o IDS/.
  3. Analizar registros y actividad inusual, buscando cargas de plugins, archivos ZIP no autorizados o creación de usuarios administrativos desconocidos.
  4. Cambiar credenciales críticas, incluyendo cuentas de administrador WordPress, FTP, hosting y base de datos, si se sospecha compromiso.
  5. Restaurar desde copias limpias si se detectan backdoors o accesos ocultos y desactivar archivos sospechosos.
  6. Refuerzo general de seguridad: manten WordPress, temas y plugins siempre actualizados; utiliza autenticación de dos factores; aplica permisos mínimos; y monitoriza actividad con plugins como Wordfence o Sucuri b.

Referencias

Publicado el

Vulnerabilidades críticas en el plugin HT Contact Form de WordPress

Se han descubierto varias vulnerabilidades críticas en el plugin HT Contact Form de WordPress, activamente explotadas y con un alcance que afecta a más de 10.000 sitios web. Estos fallos permiten a los atacantes ejecutar código malicioso, acceder a archivos sensibles y, en el peor de los casos, comprometer completamente el sitio web. La empresa de ciberseguridad Wordfence ha lanzado una alerta instando a los administradores a aplicar medidas de mitigación inmediatas.

El equipo de inteligencia de amenazas de Wordfence identificó tres vulnerabilidades graves:

  1. CVE-2025-23487 – Local File Inclusion (LFI)
    Esta vulnerabilidad permite a atacantes no autenticados incluir archivos arbitrarios del servidor a través de parámetros manipulados. Puede ser explotada para revelar archivos sensibles del sistema, como wp-config.php, o incluso lograr ejecución remota de código si se combinan con cargas maliciosas.
  2. CVE-2025-23488 – Broken Authentication
    El plugin carecía de controles de autenticación adecuados en algunas funciones críticas, permitiendo a usuarios no autorizados realizar acciones privilegiadas, como el envío de datos manipulados o la ejecución de código mediante carga de archivos.
  3. CVE-2025-7360 – Directory Traversal to Arbitrary File Move.
    El HT Contact Form Widget For Elementor Page Builder & Gutenberg Blocks & Form Builder plugin para WordPress es vulnerable al movimiento arbitrario de archivos debido a una validación insuficiente de la ruta del archivo en la función handle_files_upload() en todas las versiones hasta, e inclusive, 2.2.1. Esto hace posible que los atacantes no autenticados muevan archivos arbitrarios en el servidor, lo que puede conducir fácilmente a la ejecución remota de código cuando se mueve el archivo correcto (como wp-config.php).

Todas las vulnerabilidades han sido clasificadas como críticas (CVSS >= 9.0). Los atacantes ya están utilizando herramientas automatizadas para escanear e infectar sitios vulnerables, lo que aumenta el riesgo de ataques masivos y compromisos generalizados.

Recursos Afectados

  • Plugin vulnerable: HT Contact Form
  • Versiones afectadas: Hasta la 1.4.1 (inclusive)
  • Número de instalaciones activas: Más de 10.000 sitios web
  • Sistemas afectados: Todos los sitios WordPress que usen este plugin sin actualizar
  • Componentes comprometidos: Inclusión de archivos arbitrarios, funciones de envío de formularios, rutas internas del servidor

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1. Actualizar inmediatamente a la versión 1.4.2 o superior, donde el desarrollador ha corregido las vulnerabilidades.
  2. Desactivar o eliminar temporalmente el plugin si no se puede actualizar por compatibilidad o pruebas previas.
  3. Verificar los logs del servidor y del administrador de WordPress en busca de comportamientos anómalos (cambios de archivos, nuevas cuentas de administrador, ejecuciones no esperadas).
  4. Implementar un firewall de aplicaciones web (WAF) que bloquee solicitudes maliciosas (Wordfence u otros plugins como Sucuri pueden ayudar).
  5. Realizar una auditoría de seguridad completa del sitio y una limpieza si se sospecha que fue comprometido.
  6. Restringir el acceso a archivos críticos del servidor y aplicar políticas de mínimos privilegios.

Referencias

Publicado el

Autodesk corrige vulnerabilidad crítica que permite ejecución remota de código en sus productos

Autodesk ha solucionado una vulnerabilidad crítica identificada como CVE-2025-5039, la cual podría permitir a un atacante ejecutar código arbitrario en sistemas afectados, según ha informado el medio de comunicación Tenable.

La vulnerabilidad reside en el manejo inadecuado de archivos diseñados de forma maliciosa dentro de los productos Autodesk, lo que permite la ejecución remota de código (RCE) sin interacción significativa del usuario. El fallo se clasifica con una puntuación CVSS de 8.8, lo que indica un nivel de riesgo elevado, ya que un atacante podría comprometer completamente el sistema afectado.

Según los informes, esta vulnerabilidad afecta principalmente a Autodesk AutoCAD 2025 y posiblemente a otras aplicaciones que comparten el mismo motor de procesamiento de archivos. Un atacante podría explotar el fallo engañando a la víctima para que abra un archivo especialmente manipulado, lo que provocaría la ejecución de código malicioso con los privilegios del usuario actual.

Autodesk ha publicado actualizaciones de seguridad para mitigar este problema, instando a los usuarios a aplicar parches críticos de inmediato. La compañía recomienda descargar las versiones corregidas a través del portal oficial de actualizaciones para evitar que los sistemas queden expuestos a ataques.

El riesgo se incrementa debido a que las herramientas afectadas se utilizan en entornos empresariales, ingenieriles y de diseño industrial, lo que las convierte en un objetivo atractivo para actores maliciosos que buscan acceso a información sensible o interrumpir operaciones.

Versiones vulnerables:

  • Autodesk AutoCAD 2025 (versiones previas al parche de seguridad)

Versiones estables:

  • AutoCAD 2025 actualizado con el parche publicado en enero de 2025 (consultar portal oficial de Autodesk para la última compilación segura)

Los especialistas en ciberseguridad (Puedes poner que se recomienda)  a las organizaciones reforzar sus políticas de control de archivos y educar a los usuarios para evitar la apertura de documentos de origen desconocido, ya que esta técnica sigue siendo uno de los vectores más comunes en campañas de ataque.

 

https://www.tenable.com/cve/CVE-2025-5039

https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-3487