Posted on

Actualización de parches críticos de Oracle Octubre de 2025

Oracle ha publicat la seua actualització trimestral Critical Patch Update (CPU) d’octubre 2025, que conté 374 pedaços de seguretat que cobrixen més de 260 CVE, entre les quals hi ha diverses de severitat crítica i moltes explotables de manera remota sense autenticació Esta actualització és complementària a recents alertes de seguretat específiques, com les referides a CVE‑2025‑61882 i CVE‑2025‑61884 en E-Business Suite, que ja estaven sent explotades en campanyes d’extorsió.

Anàlisi

L’amplitud dels pedaços és molt alta: inclou 374 correccions, de les quals més de 230 aborden vulnerabilitats remotament explotables sense autenticació.
Les famílies de productes amb major nombre de pedaços són:

    • Oracle Communications Applications: 64 pedaços, 46 d’ells explotables sense autenticació.
    • Oracle Communications (en general): 73 pedaços, 47 explotables sense autenticació.
    • Unes altres com Financial Services, Fusion Middleware, MySQL, Retail Applications, etc., també presenten vulnerabilitats significatives.

L’explotació prèvia de vulnerabilitats com CVE-2025-61882 i CVE-2025-61884 (en E-Business Suite) indica que els actors d’amenaça estan actius i que la finestra de risc és elevada.

 

Atesa l’àmplia implantació de productes Oracle en entorns crítics (bases de dades, middleware, aplicacions empresarials), l’acumulació de vulnerabilitats explotables sense autenticació representa un risc operatiu i de compliment per a infraestructures de missió crítica.


Recomanacions

    • Fer inventari immediat de totes les instàncies de productes Oracle en l’organització: versió, mòdul, exposició a xarxa, criticitat.
    • Prioritzar l’aplicació del CPU octubre 2025 el més prompte possible, començant pels sistemes amb major risc (exposats, servicis crítics, accessibles sense autenticació).
    • En entorns que no puguen posar pedaços immediatament: implementar controls compensatoris.
    • Planificar actualitzacions per a evitar quedar en versions sense pedaços.

Referències

https://www.securityweek.com/oracle-releases-october-2025-patches/

https://www.oracle.com/security-alerts/cpuoct2025.html

Posted on

Vulnerabilitats en products d´Adobe

Introducció

Adobe va publicar un total de 36 vulnerabilitats distribuïdes en múltiples productes, de les quals 24 van ser catalogades com a crítiques. No es té evidència generalitzada d’explotació activa, encara que alguns errors ja s’han afegit al catàleg KEV (Known Exploited Vulnerabilities) per CISA a causa d’activitat observada.

Anàlisi

Les vulnerabilitats destacades són les següents:

    • Adobe Experience Manager (AEM) Forms

      • CVE-2025-54253 – Execució de codi arbitrari sense autenticació (CVSS 10.0)
      • Tipus: Configuració insegura / Deserialització insegura.
      • Risc: Crític. Permet execució remota de codi.
      • Estat: Confirmada explotació activa segons CISA.
      • Mitigació: Actualitzar immediatament a la versió posada pegats indicada per Adobe. 
      • CVE-2025-54254 – Fuga d’informació sensible (CVSS 8.2)
      • Tipus: Exposició de dades a través d’API no autenticada.
      • Risc: Alt. Pot permetre accés a informació de formularis
      • Mitigació: Aplicar pegat i restringir accés a endpoints vulnerables.
    • Adobe Connect
      • CVE-2025-49553 – Cross-Site Scripting (XSS) basat en DOM (CVSS 9.3)
      • Tipus: XSS reflectit en interfície web.
      • Risc: Crític. Permet execució de codi arbitrari en el navegador.
      • Mitigació: Actualitzar a Connect 12.10 i aplicar filtres d’entrada. 
      • CVE-2025-49552 – XSS emmagatzemat (CVSS 8.5)
      • Tipus: Injecció persistent en components del portal.
      • Risc: Alt.
      • Mitigació: Filtrat d’entrades i ús de Content Security Policy (CSP). 
      • CVE-2025-54196 – Open Redirect (CVSS 6.5)
      • Tipus: Redirecció oberta mitjançant paràmetres manipulables.
      • Risc: Mitjà.
      • Mitigació: Validar URL de destí en el servidor.

 

    • Adobe Commerce / Magento Open Source
      • CVE-2025-54263 – Fallada d’autorització (CVSS 9.8)
      • Tipus: Bypass d’autenticació.
      • Risc: Crític. Permet l’accés a dades administratives.
      • Mitigació: Actualitzar a versió 2.4.9-pX o superior. 
      • CVE-2025-54264 / CVE-2025-54266 – Cross-Site Scripting almacenado (CVSS 8.0)
      • Tipus: Injecció de scripts en formularis de comerç
      • Risc: Alt.
      • Mitigació: Aplicar pedaços i deshabilitar contingut HTML en camps d’entrada.

 

    • Aplicacions d’Adobe Creative Clou
      • Es van abordar múltiples fallades en productes com Illustrator, Animate, Bridge, Dimension, Substance 3D i FrameMaker. Els defectes inclouen condicions d’’use-after-free’, desbordaments de búfer i accessos fora de límits. Encara que la majoria no es considera explotada activament, poden permetre execució de codi arbitrari.

Recomanacions

    • Prioritzar la instal·lació immediata de les actualitzacions crítiques publicades per Adobe.

    • Implementar revisions periòdiques de configuració en servidors AEM i entorns de comerç electrònic.

    • Deshabilitar servicis o mòduls no utilitzats en Connect i AEM.

    • Activar Content Security Policy (CSP) i capçaleres de seguretat HTTP.

    • Mantindre còpies de seguretat regulars i verificar la integritat d’estes.

Referències

Posted on

Redis CVE-2025-49844 – Vulnerabilitat crítica permet execució remota de codi (RediShell)

Introducció

L’equip de seguretat de Redis ha publicat pegats per a una vulnerabilitat crítica que podria permetre als atacants obtindre execució remota de codi (RCE) en milers d’instàncies vulnerables del popular sistema de base de dades en memòria.
Identificada com CVE-2025-49844 i amb una puntuació CVSS de 10.0 (Crítica), la falla, coneguda com RediShell, s’origina en una debilitat de tipus use-after-free present des de fa 13 anys en el codi font de Redis. La fallada pot ser explotat per actors autenticats mitjançant l’ús d’un script Lua especialment dissenyat, aprofitant que esta funcionalitat està habilitada per defecte.

Anàlisi

L’explotació exitosa d’esta vulnerabilitat permet a un atacant escapar del sandbox de Lua, executar codi arbitrari, establir una reveure’s shell per a obtindre accés persistent i, en conseqüència, prendre control complet del host Redis compromés.
Una vegada dins, els atacants poden robar credencials, implantar malware o criptominers, exfiltrar informació sensible, o moure’s lateralment dins de l’entorn de la víctima.

La vulnerabilitat va ser reportada per investigadors de Wiz durant l’esdeveniment Pwn2Own Berlín 2025. Encara que l’explotació requerix accés autenticat, s’estima que existixen al voltant de 330.000 instàncies Redis exposades en línia, de les quals unes 60.000 no requerixen autenticació, augmentant el risc d’atacs massius.

Recomanacions

Redis ha corregit la vulnerabilitat en les versions:

    • 7.22.2-12 i superiors
    • 7.8.6-207 i superiors
    • 7.4.6-272 i superiors
    • 7.2.4-138 i superiors
    • 6.4.2-131 i superiors

Es recomana actualitzar immediatament a una versió corregida, especialment en instàncies exposades a Internet.
Addicionalment, s’aconsella:

    • Habilitar autenticació i restringir l’accés sol a xarxes autoritzades.
    • Deshabilitar l’execució de scripts Lua i comandos innecessaris.
    • Executar Redis amb un usuari sense privilegis root.
    • Activar el registre i monitoratge d’activitat.
    • Aplicar controls d’accés a nivell de xarxa mitjançant firewalls o VPCs.

La combinació de l’alta criticitat, la gran quantitat d’instàncies exposades i les configuracions insegures per defecte convertixen a RediShell (CVE-2025-49844) en una amenaça greu que requerix remediació immediata.

 

Referències

https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/

Posted on

Vulnerabilitat crítica en Oracle

Introducció

CVE-2025-61882 està sent aprofitada per actors maliciosos en campanyes de robatori de dades i extorsió. En particular, s’ha reportat el seu ús pel grup Clop en atacs contra instal·lacions de Oracle EBS. En els atacs observats s’han usat indicadors de compromís (IOCs) publicats per Oracle per a ajudar en la detecció i mitigació dels sistemes compromesos.

Anàlisi

CVE-2025-61882 és una vulnerabilitat en Oracle E-Business Suite, concretament en el component “Concurrent Processing / BI Publisher Integration”. És remotament explotable sense necessitat d’autenticació, és a dir, un atacant pot enviar peticions malicioses directament des de xarxa cap al sistema vulnerable sense credencials.

Si s’explota amb èxit, permet execució de codi remot (RCE), la qual cosa pot portar a la presa completa del component de Concurrent Processing, comprometent confidencialitat, integritat i disponibilitat del sistema. L’explotació exitosa d’esta vulnerabilitat pot donar control complet del component afectat, la qual cosa podria permetre escalar privilegis o comprometre altres subsistemes dependents.

Recomanacions

Afecta a les versions de Oracle EBS 12.2.3 fins a 12.2.14.

Oracle ha publicat un Security Alert amb el pegat corresponent per a esta vulnerabilitat. Com a requisit, el Critical Patch Update d’octubre de 2023 ha d’estar aplicat abans de poder instal·lar este pegat d’emergència.

Referències

https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/
https://www.securityweek.com/oracle-says-known-vulnerabilities-possibly-exploited-in-recent-extortion-attacks/