Author: Seguridad CSIRT-CV

Més de 600.000 llocs web basats en WordPress es troben en risc per una vulnerabilitat crítica en el plugin Forminator, segons ha informat el mitjà de comunicació Wordfence.

La fallada de seguretat, identificada com a CVE-2024-28890, permet que atacants no autenticats eliminen fitxers arbitraris del servidor mitjançant una explotació en la funcionalitat de pujada d’arxius del plugin. Això pot derivar en l’eliminació de fitxers crítics del sistema, com ara el wp-config.php, fet que facilita la presa de control total del lloc web afectat.

Segons ha detallat Wordfence, els investigadors van descobrir la vulnerabilitat el passat 26 de juny de 2025 i es va solucionar l’1 de juliol amb la versió 1.29.3 de Forminator. Aquest plugin, desenvolupat per WPMU DEV, s’utilitza àmpliament per a crear formularis, enquestes i qüestionaris en pàgines WordPress. En la seua versió vulnerable, 1.29.2 i anteriors, els mecanismes de seguretat no bloquejaven adequadament intents de suprimir fitxers fora del directori autoritzat, la qual cosa permetia abusar del mecanisme de pujada per a executar accions destructives.

El plugin comptava, en el moment de la divulgació, amb més de 600.000 instal·lacions actives, encara que altres fonts com BleepingComputer i SecurityWeek indicaven xifres una mica inferiors —prop de 400.000 webs—, possiblement per la diferència entre instal·lacions actives i llocs encara no actualitzats.

La fallada es troba en l’endpoint Forminator\Pro\Filesystem::unlink_file, el qual no disposava de comprovacions suficients per a evitar manipulacions de la ruta dels fitxers (path traversal). Un cop eliminat un fitxer essencial, els atacants poden reiniciar el procés d’instal·lació de WordPress i aconseguir privilegis administratius sense necessitat d’autenticació.

Des de Wordfence també han confirmat que no s’han detectat intents massius d’explotació fins al moment de la publicació de l’informe, tot i que es considera molt probable que es produïsquen atacs reals donat l’elevat nombre de webs vulnerables.

Els experts recomanen actualitzar immediatament a la versió segura del plugin (Forminator 1.29.3 o superior) i revisar els registres del sistema per a detectar accessos o eliminacions sospitoses.

Recursos vulnerables

• • Totes les versions fins a la 1.29.2

Versió estable

• • 1.29.3 i posteriors

Referència:

• • • https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
    • https://www.wordfence.com/blog/2025/07/600000-wordpress-sites-affected-by-arbitrary-file-deletion-vulnerability-in-forminator-wordpress-plugin/
    • https://www.bleepingcomputer.com/news/security/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks/
    • https://www.securityweek.com/forminator-wordpress-plugin-vulnerability-exposes-400000-websites-to-takeover/

Una greu vulnerabilitat d’execució remota de codi (RCE) identificada com CVE-2025-6218 ha sigut descoberta en versions anteriors de WinRAR, un dels programes més utilitzats per a la compressió i descompressió d’arxius. 

Esta fallada permet els atacants remots executar codi maliciós si aconseguixen que la persona usuària interactue amb un arxiu especialment manipulat. 

La vulnerabilitat va ser corregida en la versió WinRAR 7.12 beta 1, publicada el 10 de juny de 2025, per la qual cosa es recomana encaridament actualitzar-lo de manera immediata.

Anàlisi

El problema radica en com WinRAR maneja les rutes d’arxiu dins d’arxius comprimits, la qual cosa permet un atacant realitzar traversal de directoris (salt entre directoris no previstos).

Mitjançant un arxiu comprimit especialment dissenyat, un atacant pot executar codi arbitrari amb els privilegis de l’usuari actual. És important ressaltar que es necessita interacció de la persona usuària, siga per obrir un arxiu maliciós o per visitar una pàgina web que el continga.

Recursos afectats

• • WinRAR versió 7.11 i anteriors.

Recomanacions

• • Actualitzacó WinRAR a la versió 7.12

Referències

• • • https://www.helpnetsecurity.com/2025/06/24/high-risk-winrar-rce-flaw-patched-update-quickly-cve-2025-6218/
    • https://www.zerodayinitiative.com/advisories/ZDI-25-409/
    • https://www.win-rar.com/singlenewsview.html?&L=0

S’ha descobert una vulnerabilitat crítica en l’instal·lador de Notepad++ versió 8.8.1, publicada el 5 de maig de 2025, que permet els atacants locals escalar privilegis fins a obtindre el control complet del sistema.

Esta fallada, identificada com CVE-2025-49144, es basa en una tècnica coneguda com a binary planting, amb una prova de concepte (PoC) disponible públicament, la qual cosa incrementa la seua gravetat i el risc d’explotació massiva

Anàlisi

La vulnerabilitat radica en una ruta de busca d’executables no controlada dins de l’instal·lador de Notepad++. Durant l’execució de l’instal·lador, es busquen dependències executables en el directori actual de treball, sense verificar adequadament la seua autenticitat o procedència. Este comportament permet que un atacant col·loque arxius maliciosos, com una versió compromesa de regsvr32.exe, en el mateix directori que l’instal·lador.

En executar l’instal·lador, el sistema carregarà automàticament estos binaris maliciosos amb privilegis de SISTEMA i atorgarà l’atacant el control total sobre l’equip. Este tipus d’atac és possible gràcies a l’orde de busca de DLL per defecte en sistemes Windows i necessita una interacció mínima per part de la persona usuària, la qual cosa facilita la seua execució exitosa.

La prova de concepte publicada demostra de manera clara el procés d’explotació mitjançant registres de Process Monitor i evidència en vídeo, i alerta sobre el potencial d’abús a gran escala.

Recursos afectats

• • Versió vulnerable: 8.8.1

Recomanacions

• • Actualització de Notepad++ a la versió 8.8.2.

Referències

• • https://cybersecuritynews.com/notepad-vulnerability/#google_vignette
  • https://notepad-plus-plus.org/
  • https://github.com/notepad-plus-plus/notepad-plus-plus/security/advisories/GHSA-9vx8-v79m-6m24

Una masiva filtración de datos ha puesto en riesgo la seguridad de millones de usuarios de grandes plataformas tecnológicas, según ha informado el medio Website Planet. Investigadores de seguridad han descubierto un repositorio que contiene cerca de 16.000 millones de credenciales robadas, afectando a cuentas de servicios tan populares como Apple, Google, Facebook, Microsoft y Amazon, entre muchos otros.

El hallazgo forma parte de un informe conjunto de Website Planet y el equipo de ciberinteligencia de Cybernews. La base de datos filtrada fue recopilada a lo largo de varios años a través de malware del tipo infostealer, utilizado por ciberdelincuentes para extraer credenciales directamente de navegadores, aplicaciones y sistemas operativos infectados. De los registros comprometidos, al menos 1.200 millones de credenciales siguen siendo válidas y utilizables, lo que representa un riesgo significativo para la seguridad de los usuarios.

Lo más preocupante del incidente es que estos datos pueden estar disponibles en foros clandestinos frecuentados por actores maliciosos, pese a que de momento no se tiene noticias de su publicación o venta en ningún foro. Algunas de las plataformas afectadas incluyen servicios muy utilizados como Gmail, Facebook, Outlook, PayPal, Netflix y hasta aplicaciones bancarias, lo que podría derivar en una oleada de accesos no autorizados, fraudes financieros y robo de identidad si los usuarios no cambian sus contraseñas de inmediato.

Además de nombres de usuario y contraseñas, también se ha expuesto otra información sensible como direcciones IP, cookies de sesión, datos del sistema y tokens de acceso. Esta combinación puede permitir ataques de toma de cuenta (account takeover) incluso sin necesidad de las credenciales en texto claro, complicando aún más la situación.

Los expertos recomiendan cambiar de forma urgente las contraseñas de todas las cuentas, especialmente si se repiten entre distintos servicios. También aconsejan activar la autenticación en dos pasos (2FA) siempre que sea posible y utilizar gestores de contraseñas para mantener contraseñas únicas y robustas en cada plataforma.

El informe también destaca que los datos filtrados se obtuvieron a lo largo de años mediante más de 100 tipos distintos de malware infostealer, entre ellos RedLine, Raccoon y Azorult, que siguen siendo altamente activos en campañas de phishing y distribución de software malicioso.

Ante el volumen y la sensibilidad de los datos comprometidos, este incidente podría convertirse en uno de los mayores de la historia en términos de cuentas personales expuestas. La recomendación es clara: si crees que tu información podría estar entre los datos robados, cambia tus contraseñas cuanto antes y mantente alerta ante cualquier actividad sospechosa en tus cuentas.

Referencias

• • • https://www.websiteplanet.com/news/infostealer-breach-report/
    • https://itc.ua/en/news/it-s-time-to-change-your-passwords-184-million-apple-google-microsoft-etc-accounts-leaked-to-the-internet/
    • https://itc.ua/en/news/change-your-passwords-immediately-16-billion-accounts-of-apple-google-facebook-and-others-have-been-hacked/
    • https://www.forbes.com/sites/daveywinder/2025/06/19/16-billion-apple-facebook-google-passwords-leaked—change-yours-now/