Publicado el

Múltiples vulnerabilidades en productos de Fortinet

Se han identificado múltiples vulnerabilidades críticas en productos de Fortinet, incluidas fallas de ejecución remota de código (RCE) y fallos de autenticación/bypass de seguridad, algunas de las cuales ya han sido explotadas en sistemas reales. Estas vulnerabilidades afectan una amplia gama de dispositivos de seguridad y comunicaciones, como FortiOS, FortiProxy, FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera, y pueden permitir desde la ejecución arbitraria de código hasta el acceso como administrador sin credenciales válidas. El impacto potencial va desde la pérdida de confidencialidad e integridad hasta el compromiso total de dispositivos de red si se explotan con éxito.
 
Análisis 
Destacan 2 vulnerabilidades críticas:
 
CVE-2025-32756: Stack-Based Buffer Overflow – Ejecución remota de código
 
Una vulnerabilidad de desbordamiento de búfer basada en pila que afecta a múltiples productos de Fortinet, incluidos FortiVoice, FortiMail, FortiNDR, FortiRecorder y FortiCamera. Un atacante remoto pudiera enviar solicitudes HTTP especialmente construidas que desencadenan un desbordamiento de pila, lo que permitiria la ejecución arbitraria de código o comandos en los dispositivos vulnerables sin autenticación. Esta vulnerabilidad ha sido documentada con un CVSS v3.1 de 9.8, y se ha confirmado su explotación, particularmente en dispositivos FortiVoice.
 
CVE-2025-22252: Bypass de autenticación en FortiOS/FortiProxy/TACACS+
 
Una vulnerabilidad de falta de autenticación para una función crítica en FortiOS, FortiProxy y FortiSwitchManager (cuando usan autenticación TACACS+ con servidor remoto configurado con autenticación ASCII) puede permitir que un atacante con conocimiento de una cuenta de administrador existente acceda al dispositivo como administrador válido sin pasar por el proceso de autenticación normal. Este tipo de bypass combinado con la posibilidad de ejecución de comandos coloca a esta vulnerabilidad en la categoría de acceso no autorizado con elevación de privilegios.
 
Recursos afectados
Los productos y versiones afectados son:
 
  •  
Se recomienda aplicar inmediatamente las actualizaciones de firmware y parches disponibles para todos los dispositivos de Fortinet afectados.
Referencias:
Publicado el

Vulnerabilidad corregida en Adobe

Adobe ha publicado un boletín de seguridad, abordando una vulnerabilidad crítica en las dependencias del producto que podría permitir ejecución arbitraria de código. Las versiones afectadas de ColdFusion incluyen ColdFusion 2025 (Update 5 y anteriores) y ColdFusion 2023 (Update 17 y anteriores) en todas las plataformas. 
 
Análisis 
CVE-2025-66516: Apache Tika XML External Entity (XXE) / Ejecución arbitraria de código
 
La actualización de ColdFusion incluye un parche para la vulnerabilidad CVE-2025-66516, un fallo crítico en la biblioteca Apache Tika que se usa como dependencia dentro de ColdFusion. Este fallo permite inyección de entidades externas XML (XXE) que podría explotarse al procesar contenido específicamente elaborado, conduciendo a ejecución arbitraria de código con las mismas credenciales o contexto que el proceso de ColdFusion. Dado que este componente se invoca internamente al manejar ciertos formatos de archivo (por ejemplo, XFA dentro de PDF), un atacante capaz de suministrar datos maliciosos podría conseguir ejecución de código no autorizado en el servidor afectado.
 
Recomendaciones
Actualizar inmediatamente a las versiones corregidas de ColdFusion (2025 Update 6 o 2023 Update 18)
Referencias:
Publicado el

Parche de seguridad enero Microsoft

 

Microsoft ha corregido 114 vulnerabilidades en su boletín de seguridad de enero de 2026, incluidas 3 vulnerabilidades zero-day, una de las cuales está siendo explotada activamente. Estas vulnerabilidades abarcan desde divulgación de información sensible y elevación de privilegios hasta bypass de características de seguridad y errores que podrían permitir la ejecución de código remota. Los fallos afectan a múltiples componentes de Windows y software asociado, y varias categorías de riesgo están representadas, con una gran proporción de vulnerabilidades de elevación de privilegios y ejecución remota de código.
 
Análisis 
Destacan las 3 vulnerabilidades zero-day:
 
CVE-2026-20805: Desktop Window Manager Information Disclosure Vulnerability
Una vulnerabilidad de divulgación de información en el Desktop Window Manager (DWM), activamente explotada. Un atacante con acceso autorizado local podría aprovechar este fallo para leer direcciones de memoria del proceso asociado al puerto ALPC remoto, lo cual puede revelar información interna útil para posteriores vectores de ataque.
 
CVE-2026-21265: Secure Boot Certificate Expiration Security Feature Bypass Vulnerability
 
Esta vulnerabilidad ha sido públicamente divulgada, y está relacionada con la caducidad de ciertos certificados de arranque seguro (Secure Boot). Los certificados emitidos en 2011 estaban próximos a su fecha de expiración, lo que podría permitir a un atacante eludir las protecciones de Secure Boot en sistemas no actualizados. El parche renueva estos certificados para restaurar la cadena de confianza y mantener la verificación de componentes de arranque.
 
CVE-2023-31096: Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability
 
Esta vulnerabilidad afecta al controlador de terceros Agere Soft Modem. Explotaciones previas permitían la escalada de privilegios a nivel administrativo (SYSTEM). En la actualización de este mes,  Microsoft ha eliminado completamente los controladores vulnerables (agrsm64.sys y agrsm.sys) de los sistemas compatibles para mitigar el riesgo.
 
Recomendaciones
Aplicar las actualizaciones de Microsoft en cuanto estén disponibles
Referencias: 
Publicado el

Vulnerabilidades en Veeam Backup & Replication

 

Vulnerabilidades en Veeam Backup & Replication

Introducción
Se han identificado múltiples vulnerabilidades críticas en Veeam Backup & Replication, un software ampliamente utilizado para copias de seguridad empresariales. Algunas de estas vulnerabilidades son de tipo ejecución remota de código (RCE). Veeam ha publicado parches y actualizaciones de seguridad, pero los sistemas aún sin actualizar pueden permanecer expuestos a ataques persistentes, incluida la eliminación de backups y el despliegue de malware en infraestructuras críticas. 
 
Análisis 
Destaca la vulnerabilidad crítica CVE-2025-59470:
Para explotar la vulnerabilidad es necesario estar autenticado con un rol privilegiado, como Backup Operator o Tape Operator. Estos roles tienen permisos elevados dentro de Veeam Backup & Replication, lo que permite que un atacante autenticado pueda enviar parámetros maliciosos y ejecutar código como el usuario postgres.
 
Además se publican otras vulnerabilidades:
 
 
Recursos afectados
Veeam Backup & Replication 13.0.1.180 y todas las versiones anteriores dentro de la rama 13.x sin parchear.
 
Solución: Actualizar a 13.0.1.1071 o posterior.
 
Referencias: