Categoría: Actualidad

Las actualizaciones de seguridad del martes de parches de Microsoft de julio de 2025 abordan 130 vulnerabilidades en Windows y componentes de Windows, Office y componentes de Office, .NET y Visual Studio, Azure, Teams, Hyper-V, Windows BitLocker, Microsoft Edge (basado en Chromium) y el servicio criptográfico de Windows.

Análisis

Las vulnerabilidades de severidad criticas son de los siguientes tipos:

• • La vulnerabilidad CVE-2025-49719 (puntuación CVSS de 7,5) es un fallo de divulgación de información en Microsoft SQL Server que permite a atacantes remotos no autenticados acceder a memoria no inicializada debido a una validación de entrada incorrecta.
  • La vulnerabilidad CVE-2025-47981 (puntuación CVSS de 9,8) es un problema RCE crítico y wormable en Windows SPNEGO NEGOEX. Permite a los atacantes remotos ejecutar código a través de un mensaje malicioso, sin necesidad de interacción por parte del usuario. El fallo implica un desbordamiento de búfer basado en heap y se ejecuta con privilegios elevados. Microsoft espera una explotación activa en un plazo de 30 días e insta a una rápida aplicación de parches.
  • La vulnerabilidad CVE-2025-49695 (puntuación CVSS de 8,8) es una vulnerabilidad RCE de Microsoft Office explotable a través del panel de vista previa. Los usuarios de Mac siguen desprotegidos, ya que los parches para Office LTSC 2021 y 2024 aún no están disponibles.

La información detallada para el resto de vulnerabilidades, puede consultarse en las referencias.

Recursos afectados

• • SQL Server
  • Windows Components
  • Office and Office Components
  • .NET and Visual Studio
  • Windows BitLocker
  • Microsoft Edge

Recomendaciones

El fabricante recomienda que el cliente visite el portal de soporte y aplique los parches de forma prioritaria. Además, Microsoft recomienda actualizar SQL Server e instalar OLE DB Driver 18 o 19 para solucionar el problema; y desactivar el panel de vista previa hasta que Microsoft resuelva estos problemas.

Referencias

• • • https://thehackernews.com/2025/07/microsoft-patches-130-vulnerabilities.html
    • https://securityaffairs.com/179738/security/microsoft-patch-tuesday-security-updates-for-july-2025-fixed-a-zero-day.html

Los casos de suplantación de identidad de la Generalitat y sus organismos se multiplican por 16 en el primer semestre de 2025

El Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) ha registrado un aumento de los casos de intentos de suplantación de identidad de la Generalitat Valenciana o de algún organismo dependiente de ella como, por ejemplo, Turisme Comunitat Valenciana, la Entidad Valenciana de Vivienda y Suelo (EVHA) u hospitales, entre otros y alerta a los proveedores y empresas colaboradoras de la Administración Autonómica para que extremen la precaución y evitar ser víctimas de posibles estafas.

En este sentido, el centro de ciberseguridad, adscrito a la Dirección General de la Tecnologías de la Información y Comunicaciones (DGTIC), ha gestionado un total de 48 incidentes de suplantación de identidad durante los seis primeros meses de este año, frente a los 3 de 2024, lo que supone que este tipo de amenazas cibernéticas se han multiplicado por 16 respecto, es decir, han crecido un 1.500%.

El modus operandi de los ciberdelincuentes es contactar con los proveedores y empresas colaboradoras de la Generalitat a través de correos electrónicos fraudulentos, aparentemente oficiales, con el objetivo de obtener información confidencial, solicitar pagos indebidos o desviar transferencias económicas.

Ante esta situación, CSIRT-CV recuerda a todos los proveedores y empresas colaboradoras de la Generalitat o de sus organismos dependientes que:

• • Las comunicaciones oficiales siempre se realizan a través de canales institucionales y dominios oficiales (@gva.es @evha.es @turismecv.es). Verificar el remitente antes de realizar cualquier acción.

  • Extremar la precaución, sobre todo si se abarcan contratos, facturación, solicitud de información, cambios de domiciliación o de cuentas y pago de los anuncios de licitación, entre otros supuestos.

  • Si duda sobre la legitimidad de un correo, contactar directamente con el organismo supuestamente suplantado por vías diferentes al correo electrónico para contrastar la información.

  • Reportar el correo sospechoso a su Departamento de Seguridad Informática correspondiente para un análisis detallado.

  • Si considera haber sido estafado, ponerlo en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado e interponer la denuncia correspondiente.

  • Avisar a sus compañeros de la recepción de mensajes sospechosos o fraudulentos para evitar ser víctimas de posibles estafas digitales o robos de información.

Estas medidas ayudarán a fortalecer la seguridad y a proteger tanto a proveedores como a clientes frente a intentos de suplantación de identidad.

¿Qué consiguen los ciberdelincuentes con la suplantación de identidad?

Los ciberdelincuentes, suplantando la identidad de la Generalitat Valenciana o de algún organismo dependiente de ella, consiguen:

• • Obtener información (DNI, información bancaria, direcciones…) que puede ser utilizada para cometer fraudes financieros o venderse en el mercado negro a cambio de dinero.

  • Redirigir a los usuarios a páginas falsas para que ingresen sus credenciales bancarias o realicen pagos que, en realidad, se ingresan en las cuentas de los atacantes.

  • A través de enlaces o archivos adjuntos disfrazados en mensajes oficiales, los ciberdelincuentes pueden instalar malware en los dispositivos de las víctimas. Asimismo, pueden secuestrar el dispositivo para pedir un rescate (ransomware), espiar la actividad del usuario o extraer información sensible.

  • Suplantar a un organismo como la Generalitat puede tener como objetivo infiltrarse en sus redes o sistemas informáticos, lo que permitiría a los atacantes robar grandes volúmenes de datos, alterar registros oficiales o llevar a cabo otras actividades maliciosas a nivel interno.

Recuerda que CSIRT-CV ofrece cursos gratuitos online sobre ciberseguridad, entre los que se encuentran el Curso de Delitos Tecnológicos y el Curso de Seguridad en el Correo Electrónico.

Accede aquí para leer la noticia completa, publicada por la Generalitat Valenciana.

Más de 600.000 sitios web construidos con WordPress están en riesgo debido a una vulnerabilidad crítica en el plugin Forminator, según ha informado el medio de comunicación Wordfence.

El fallo de seguridad, identificado como CVE-2024-28890, permite a atacantes no autenticados eliminar archivos arbitrarios del servidor mediante una explotación en la funcionalidad de subida de archivos del plugin. Esto puede derivar en la eliminación de archivos críticos del sistema, incluyendo el propio wp-config.php, lo que facilita la toma de control total del sitio afectado.El problema radica en cómo WinRAR maneja las rutas de archivo dentro de archivos comprimidos, lo que permite a un atacante realizar traversal de directorios (salto entre directorios no previstos).

Según ha detallado Wordfence, los investigadores descubrieron el fallo el pasado 26 de junio de 2025, y fue parcheado el 1 de julio en la versión 1.29.3 de Forminator. El plugin, desarrollado por WPMU DEV, se utiliza ampliamente para crear formularios, encuestas y cuestionarios en sitios WordPress. En su versión vulnerable, 1.29.2 y anteriores, los controles de seguridad no bloqueaban adecuadamente los intentos de borrar archivos fuera del directorio autorizado, lo que permitía a los atacantes abusar del mecanismo de subida de archivos para ejecutar acciones destructivas.

El plugin contaba en el momento de la divulgación con más de 600.000 instalaciones activas, aunque otras fuentes como BleepingComputer y SecurityWeek señalan cifras algo inferiores —cerca de 400.000 sitios—, lo que podría reflejar la diferencia entre instalaciones únicas y actualizaciones pendientes.

El fallo reside en el endpoint Forminator\Pro\Filesystem::unlink_file, que carecía de comprobaciones adecuadas para evitar rutas de archivos manipuladas (path traversal). Una vez eliminado un archivo esencial, los atacantes pueden reiniciar el proceso de instalación de WordPress y obtener privilegios administrativos sin necesidad de autenticación.

Wordfence, que forma parte de la plataforma de seguridad Defiant, también ha confirmado que no se han observado intentos masivos de explotación en el momento de la publicación del informe, aunque se considera que la probabilidad de ataques reales es alta dado el número de sitios vulnerables.

Los expertos recomiendan actualizar de inmediato a la versión segura del plugin (Forminator 1.29.3 o superior) y revisar los registros del sistema en busca de accesos o eliminaciones sospechosas.

Recursos afectados

• • Todas las versiones hasta 1.29.2 inclusive

Recomendaciones

• • 1.29.3 y posteriores

Referencias

• • • https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
    • https://www.wordfence.com/blog/2025/07/600000-wordpress-sites-affected-by-arbitrary-file-deletion-vulnerability-in-forminator-wordpress-plugin/
    • https://www.bleepingcomputer.com/news/security/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks/
    • https://www.securityweek.com/forminator-wordpress-plugin-vulnerability-exposes-400000-websites-to-takeover/

Introducción

CERT@VDE en coordinación con Pilz GmbH han informado de 3 vulnerabilidades, 2 de ellas de severidad crítica, que, en caso de ser explotadas, pueden evitar la autenticación y realizar un ataque Cross-Site Scripting (XSS).^[1]  

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2025-32011– Omisión de autenticación debido a una debilidad primaria (CWE-305):

PiCtory tiene una vulnerabilidad de evitación de autenticación por la que un atacante remoto puede evitar la autenticación y obtener acceso a través de un path traversal.

• • CVE-2025-35996– Neutralización incorrecta de las inclusiones del lado del servidor (SSI) dentro de una página web (CWE-97):

En Revolution Pi PiCtory un atacante remoto autenticado puede crear un nombre de archivo especial que puede ser almacenado por endpoints API. Posteriormente, ese nombre de archivo se transmite al cliente para mostrar una lista de archivos de configuración. Debido a una falta de depuración, el nombre del archivo podría ejecutarse como etiqueta de script HTML resultando en un ataque de Cross-Site Scripting (XSS).

• Los productos afectados son los siguientes:

• • • Pilz Software PiCtory, versiones anteriores a la 2.12.

Recomendaciones

Actualizar el paquete PiCtory a la versión 2.12 mediante el gestor de paquetes ‘apt’.

Para instalar todas las actualizaciones disponibles de IndustrialPI utilizar los comandos ‘sudo apt update && sudo apt upgrade -y’.

Para comprobar la versión del paquete PiCtory, introducir el comando ‘dpkg -l | grep pictory’.

Adicionalmente, se recomienda limitar el acceso a la red de los productos IndustrialPI utilizando un cortafuegos o medidas similares.

Referencias

[1] CERT@VDE (VDE-2025-046) – Pilz: Authentication Bypass and Cross-Site-Scripting in PiCtory