Author: Seguridad CSIRT-CV

WinRAR ha informat de la detecció d’una vulnerabilitat de severitat alta, que afecta la versió de Windows de WinRAR que permet a un atacant crear arxius comprimits maliciosos que, en extraure’s, escriuen fitxers en rutes controlades per l’atacant i amb això aconseguixen execució de codi arbitrari. Esta vulnerabilitat ha sigut identificada com a CVE-2025-8088.

Investigadors d’ESET han detectat la vulnerabilitat de CVE-2025-8088 que afecta versions de WinRAR anteriors a la 7.13. Esta fallada ocorre quan el programa n’extrau arxius comprimits sense validar bé les rutes internes.

Un atacant pot incloure rutes especials com ..\ dins de l’arxiu perquè, en descomprimir-lo, s’escriguen fitxers fora de la carpeta triada per l’usuari, fins i tot en zones crítiques com la carpeta d’inici de Windows.

Això permet col·locar un programa maliciós que s’execute automàticament.

Si un usuari n’extrau un arxiu maliciós, l’atacant pot instal·lar programari maliciós en el seu equip i executar-lo sense que l’usuari el note.

Això compromet la confidencialitat, integritat i disponibilitat del sistema, i pot portar al robatori de dades, instal·lació de troians o control remot de l’equip.

Recursos afectats

• • Versions de WinRAR anteriors a la 7.13

Recomanacions

Per a mitigar la vulnerabilitat detectada, es recomana actualitzar WinRAR a la versió 7.13 en tots els equips Windows com més prompte millor.

Referències

• https://nvd.nist.gov/vuln/detail/CVE-2025-8088
• https://thehackernews.com/2025/08/winrar-zero-day-under-active.html

Recentment s’ha descobert que el tema Alone – Charity Multipurpose Non-profit WordPress per a WordPress sense ànims de lucre i caritatiu és vulnerable. Esta comunicació té com a objectiu informar, analitzar l’impacte i proveir recomanacions concretes per a mitigar el risc.

La vulnerabilitat CVE‑2025‑5394, anunciada per INCIBE‑CERT el 15 de juliol de 2025, afecta el tema Alone per a WordPress en totes les seues versions fins a la 7.8.3, inclusivament. La fallada residix en la funció alone_import_pack_install_plugin() que exposa un endpoint AJAX sense verificació de permisos, la qual cosa permet a atacants no autenticats pujar arxius ZIP amb plug-in maliciosos (webshells) i executar codi remot (RCE) amb control total del lloc.

Segons informes d’HispaSec, esta fallada està sent explotada activament, amb multitud d’intents de càrrega de portes de darrere (backdoors) en llocs vulnerables. S’estima que el tema compta amb prop de 10.000 vendes, sent usat principalment per organitzacions sense ànim de lucre i fundacions, la qual cosa amplifica l’impacte potencial.

La fallada és extremadament greu: el CVSS v3.1 assigna una puntuació base de 9.80 (Crítica/Control total). L’explotació no requerix autenticació, no necessita interacció de l’usuari i és d’accés directe des de la xarxa.

Recursos afectats

• • Tema WordPress Alone – Charity Multipurpose Non‑profit, versions fins a la 7.8.3,
  • Llocs WordPress que utilitzen este tema en entorns públics exposats a Internet.

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. 1. Actualitzar immediatamentel tema Alone a la versió 8.5 o superior, que corregix la vulnerabilitat.
   2. Bloquejar temporalmentl’endpoint vulnerable (admin-ajax.php?action=alone_import_pack_install_plugin), si no és possible, actualitzar immediatament; pot implementar-se mitjançant WAF o IDS/.
   3. Analitzar registres i activitat inusual, buscant càrregues de connectors (plug–in), arxius ZIP no autoritzats o creació d’usuaris administratius desconeguts.
   4. Canviar credencials crítiques, incloent-hi comptes d’administrador WordPress, FTP, allotjament (hosting) i base de dades, si se sospita compromís.
   5. Restaurar des de còpies netessi es detecten backdoors o accessos ocults i desactivar arxius sospitosos.
   6. Reforç general de seguretat: mantín WordPress, temes i plug-in sempre actualitzats; utilitza autenticació de dos factors; aplica permisos mínims; i monitora activitat amb plug-in com ara Wordfence o Sucuri b.

Referències

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
• https://www.cisa.gov/news-events/alerts/2025/08/06/microsoft-releases-guidance-high-severity-vulnerability-cve-2025-53786-hybrid-exchange-deployments

Recursos afectats

• • Microsoft Exchange Server 2016 (entorns híbrids)
  • Microsoft Exchange Server 2019 (entorns híbrids)
  • Microsoft Exchange Server Subscription Edition (versions inicials que integren funcionalitats híbrides)
  • Servicis relacionats amb Exchange en línia i infraestructures híbrides d’autenticació.

Recomanacions

Per a mitigar el risc, es recomana aplicar les mesures següents:

1. Revisar i aplicar les directrius publicades en l’anunci de Microsoft, del 18 d’abril de 2025, sobre seguretat en desplegaments híbrids.
2. Instal·lar el hotfix d’abril de 2025 (o posterior) en tots els servidors Exchange on‑premises.
3. Desplegar l’aplicació híbrida dedicada (dedicated hybrid app) segons les instruccions oficials.
4. Si ja no utilitzes l’entorn híbrid o OAuth entre Exchange local i Exchange en línia, executa el procés de «Service Principal Clean‑Up» per a restablir les keyCredentials.
5. Executar el Microsoft Exchange Health Checker després d’aplicar les mesures per a verificar l’estat de l’entorn.
6. Desconnectar servidors Exchange i SharePoint que ja no reben suport oficial o estiguen a la fi de vida (EOL/EOS) d’accés públic a Internet.
7. Considerar la migració a Exchange en línia o l’actualització a Exchange Server Subscription Edition per a entorns heretats en suport limitat.

Referències

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
• https://www.cisa.gov/news-events/alerts/2025/08/06/microsoft-releases-guidance-high-severity-vulnerability-cve-2025-53786-hybrid-exchange-deployments

Les actualitzacions de seguretat de dimarts de correccions de Microsoft de juliol de 2025 aborden 130 vulnerabilitats en Windows i components de Windows, Office i components d’Office, .NET i Visual Studio, Azure, Teams, Hyper-V, Windows BitLocker, Microsoft Edge (basat en Chromium) i el servici criptogràfic de Windows.

Anàlisi

Les vulnerabilitats de severitat crítiques són dels tipus següents:

• • La vulnerabilitat CVE-2025-49719 (puntuació CVSS de 7,5) és una fallada de divulgació d’informació en Microsoft SQL Server que permet atacants remots no autenticats accedir a memòria no inicialitzada a causa d’una validació d’entrada incorrecta.
  • La vulnerabilitat CVE-2025-47981 (puntuació CVSS de 9,8) és un problema RCE crític i wormable en Windows SPNEGO NEGOEX. Permet als atacants remots executar codi a través d’un missatge maliciós, sense necessitat d’interacció per part de l’usuari. La fallada implica un desbordament de memòria (buffer) basat en monticle (heap) i s’executa amb privilegis elevats. Microsoft espera una explotació activa en un termini de 30 dies i insta una ràpida aplicació de actualització.
  • La vulnerabilitat CVE-2025-49695 (puntuació CVSS de 8,8) és una vulnerabilitat RCE de Microsoft Office explotable a través del panell de vista prèvia. Els usuaris de Mac continuen desprotegits, ja que les correccions per a Office LTSC 2021 i 2024 encara no estan disponibles.

La informació detallada per a la resta de vulnerabilitats es pot consultar en les referències.

Recursos afectats

• • SQL Server
  • Windows Components
  • Office and Office Components
  • .NET and Visual Studio
  • Windows BitLocker
  • Microsoft Edge

Recomanacions

El fabricant recomana que el client visite el portal de suport i aplique les correccions de manera prioritària. A més, Microsoft recomana actualitzar SQL Server i instal·lar OLE DB Driver 18 o 19 per a solucionar el problema; i desactivar el panell de vista prèvia fins que Microsoft resolga estos problemes.

Referències

• • • https://thehackernews.com/2025/07/microsoft-patches-130-vulnerabilities.html
    • https://securityaffairs.com/179738/security/microsoft-patch-tuesday-security-updates-for-july-2025-fixed-a-zero-day.html