Publicado el

Vulnerabilidades en productos de Adobe

Introducción

Adobe publicó un total de 36 vulnerabilidades distribuidas en múltiples productos, de las cuales 24 fueron catalogadas como críticas. No se tiene evidencia generalizada de explotación activa, aunque algunos fallos ya han sido añadidos al catálogo KEV (Known Exploited Vulnerabilities) por CISA debido a actividad observada.

Análisis

Las vulnerabilidades destacadas son las siguientes:

  • Adobe Experience Manager (AEM) Forms

    • CVE‑2025‑54253 – Ejecución de código arbitrario sin autenticación (CVSS 10.0)
    • Tipo: Configuración insegura / Deserialización insegura.
    • Riesgo: Crítico. Permite ejecución remota de código.
    • Estado: Confirmada explotación activa según CISA.
    • Mitigación: Actualizar inmediatamente a la versión parcheada indicada por Adobe. 
    • CVE‑2025‑54254 – Fuga de información sensible (CVSS 8.2)
    • Tipo: Exposición de datos a través de API no autenticada.
    • Riesgo: Alto. Puede permitir acceso a información de formularios.
    • Mitigación: Aplicar parche y restringir acceso a endpoints vulnerables.
  • Adobe Connect
    • CVE‑2025‑49553 – Cross-Site Scripting (XSS) basado en DOM (CVSS 9.3)
    • Tipo: XSS reflejado en interfaz web.
    • Riesgo: Crítico. Permite ejecución de código arbitrario en el navegador.
    • Mitigación: Actualizar a Connect 12.10 y aplicar filtros de entrada. 
    • CVE‑2025‑49552 – XSS almacenado (CVSS 8.5)
    • Tipo: Inyección persistente en componentes del portal.
    • Riesgo: Alto.
    • Mitigación: Filtrado de entradas y uso de Content Security Policy (CSP). 
    • CVE‑2025‑54196 – Open Redirect (CVSS 6.5)
    • Tipo: Redirección abierta mediante parámetros manipulables.
    • Riesgo: Medio.
    • Mitigación: Validar URLs de destino en el servidor.

 

  • Adobe Commerce / Magento Open Source
    • CVE‑2025‑54263 – Fallo de autorización (CVSS 9.8)
    • Tipo: Bypass de autenticación.
    • Riesgo: Crítico. Permite el acceso a datos administrativos.
    • Mitigación: Actualizar a versión 2.4.9-pX o superior. 
    • CVE‑2025‑54264 / CVE‑2025‑54266 – Cross-Site Scripting almacenado (CVSS 8.0)
    • Tipo: Inyección de scripts en formularios de comercio.
    • Riesgo: Alto.
    • Mitigación: Aplicar parches y deshabilitar contenido HTML en campos de entrada.

 

  • Aplicaciones de Adobe Creative Cloud
    • Se abordaron múltiples fallos en productos como Illustrator, Animate, Bridge, Dimension, Substance 3D y FrameMaker. Los defectos incluyen condiciones de ‘use-after-free’, desbordamientos de búfer y accesos fuera de límites. Aunque la mayoría no se considera explotada activamente, pueden permitir ejecución de código arbitrario.

Recomendaciones

  • Priorizar la instalación inmediata de las actualizaciones críticas publicadas por Adobe.

  • Implementar revisiones periódicas de configuración en servidores AEM y entornos de comercio electrónico.

  • Deshabilitar servicios o módulos no utilizados en Connect y AEM.

  • Activar Content Security Policy (CSP) y cabeceras de seguridad HTTP.

  • Mantener copias de seguridad regulares y verificar la integridad de las mismas.

Referencias

https://helpx.adobe.com/security/products/connect/apsb25-70.html

https://www.securityweek.com/adobe-patches-critical-vulnerability-in-collaboration-suite/

https://thecyberexpress.com/adobe-security-update-3/

https://socradar.io/adobe-patches-connect-flaw-cve-2025-49553-and-35-more/

Publicado el

[SCI] Vulnerabilidad crítica en 1783-NATR de Rockwell Automation

Introducción

Rockwell Automation, ha publicado 12 vulnerabilidades: 1 de severidad crítica y 11 de severidad alta, que de ser explotadas podrían permitir a un atacante provocar una denegación de servicio, un fallo grave e irrecuperable, eliminar cualquier archivo del sistema operativo o acceder a información sensible.[1] 

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

    • CVE-2025-7328 – Ausencia de autenticación para una función crítica (CWE-306):

Se han identificado múltiples vulnerabilidades de seguridad relacionadas con Broken Authentication en el producto afectado. Estas vulnerabilidades se originan por la ausencia de mecanismos adecuados de verificación de autenticación en funciones críticas del sistema. Como consecuencia, un atacante podría provocar una denegación de servicio, obtener una elevación de privilegios o realizar modificaciones no autorizadas en las reglas NAT.
La alteración de dichas reglas podría permitir la comunicación de los dispositivos comprometidos con endpoints maliciosos, comprometiendo la integridad del entorno. Los cambios efectuados a través de esta vulnerabilidad podrían además generar alteraciones en la configuración del sistema, requiriendo un reinicio y restablecimiento manual para su recuperación.

Los siguientes productos están afectados:

    • Comunicaciones – 1783-NATR: versiones V1.006 y anteriores.

Recomendaciones

Se recomienda a los usuarios descargar y actualizar los productos afectados a la versión 1.007 o posterior.

Referencias

[1] Comms – 1783-NATR Multiple Vulnerabilities

Publicado el

La Generalitat formará a la ciudadanía en ciberseguridad con motivo del 18 aniversario de CSIRT-CV

La Generalitat conmemora este año el 18 aniversario del Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV) con la organización de una serie de actos que incluyen una sesión de formación en ciberseguridad on-line y gratuita para toda la ciudadanía y la puesta en marcha de un ciclo de capacitación para estudiantes universitarios.

CSIRT-CV es la entidad especializada en ciberseguridad de la Generalitat, dependiente de la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC). El centro abrió sus puertas en 2007, como el primer equipo autonómico de respuesta a incidentes de seguridad informática en España y, desde entonces, ha evolucionado hasta convertirse en un referente de la ciberseguridad en el ámbito nacional.

El director general de TIC, Javier Balfagón, ha destacado que, en los últimos 18 años, “CSIRT-CV no ha dejado de evolucionar y crecer para cubrir las distintas necesidades que han ido surgiendo con el paso del tiempo, de manera que el centro cumple ahora su mayoría de edad consolidado como un referente nacional e internacional en la lucha contra el cibercrimen”.

“En la actualidad, nos encontramos en una época de gran crecimiento, en la que llevamos tiempo ampliando los servicios que ofrecemos a nuestros usuarios, como las entidades locales y el sector público instrumental, y estamos impulsando las iniciativas de promoción de la seguridad industrial en la Comunitat Valenciana. Pero, además, vamos a seguir reforzando e incrementando la actividad relacionada con la formación y la concienciación a la sociedad”, ha indicado.

CSIRT-CV ofrece sus servicios gratuitamente a la ciudadanía, empresas, sector público instrumental y las 584 entidades locales de la Comunitat Valenciana, atendiendo a una población de 5,3 millones de habitantes y más de 282.000 empleados públicos.

Taller sobre IoT y domótica en la UPV

El primero de los actos conmemorativos tendrá lugar el próximo 24 de octubre en la Casa del Alumno de la Universitat Politècnica de València (UPV) y consistirá en un taller presencial de 90 minutos de duración, dirigido a los estudiantes para ampliar sus conocimientos en materia de identidad digital, con el objetivo de incrementar su nivel de concienciación respecto a la seguridad en el uso de dispositivos IoT.

Según Balfagón, “la concienciación es una pieza fundamental de la labor de CSIRT-CV, ya que supone cambiar actitudes y comportamientos frente a la seguridad de la información, formando, implicando y capacitando para que las personas puedan adoptar comportamientos seguros en su día a día”.

“Esta iniciativa en la UPV será la primera que se llevará a cabo en un ciclo que se impartirá en las nueve universidades de la Comunitat Valenciana durante el curso lectivo y se ofertará a otros centros de educación superior. Nuestro objetivo es continuar con la capacitación del alumnado en la etapa universitaria, tras la formación que ya imparte CSIRT-CV a los menores en los centros escolares valencianos”, ha explicado.

Formación a la ciudadanía

La sesión de formación dirigida a toda la sociedad valenciana tendrá lugar el próximo 30 de octubre y consistirá en una charla on-line, o webinar, de una hora de duración, abierta a la participación de toda la ciudadanía para abordar cuestiones de ciberseguridad y compartir buenas prácticas, consejos útiles y casos reales. Las personas interesadas podrán acceder al enlace a esta formación desde el portal web especializado en concienciación de CSIRT-CV (concienciat.gva.es).

La orientación del webinar será eminentemente práctica, con el objetivo de dar a conocer a los participantes cuáles son los comportamientos que les ponen en riesgo y cómo reconocer y gestionar las amenazas. El taller persigue incrementar el nivel de concienciación en ciberseguridad con el que cuenta la ciudadanía valenciana en general y mejorar la actitud de las personas hacia su adecuada gestión en el día a día.

Además, de forma dinámica, se expondrán y analizarán casos reales de uso y abuso de la tecnología y sus consecuencias, tanto en el ámbito personal como en el corporativo.

Entre otras, se abordarán cuestiones como el phishing y el vishing o cómo evitar el robo de información y la infección de equipos mediante el engaño por correo electrónico o llamada telefónica; el QR jacking y la infección mediante códigos QR; cómo proteger la identidad digital y las credenciales; los riesgos asociados al Internet de las Cosas (IoT) o a la domótica; y los riesgos asociados a las noticias falsas y a los deepfake que utilizan inteligencia artificial (IA).

Publicado el

Redis CVE-2025-49844 – Vulnerabilidad crítica permite ejecución remota de código (RediShell)

Introducción

El equipo de seguridad de Redis ha publicado parches para una vulnerabilidad crítica que podría permitir a los atacantes obtener ejecución remota de código (RCE) en miles de instancias vulnerables del popular sistema de base de datos en memoria.
Identificada como CVE-2025-49844 y con una puntuación CVSS de 10.0 (Crítica), la falla, conocida como RediShell, se origina en una debilidad de tipo use-after-free presente desde hace 13 años en el código fuente de Redis. El fallo puede ser explotado por actores autenticados mediante el uso de un script Lua especialmente diseñado, aprovechando que esta funcionalidad está habilitada por defecto.

Análisis

La explotación exitosa de esta vulnerabilidad permite a un atacante escapar del sandbox de Lua, ejecutar código arbitrario, establecer una reverse shell para obtener acceso persistente y, en consecuencia, tomar control completo del host Redis comprometido.
Una vez dentro, los atacantes pueden robar credenciales, implantar malware o criptomineros, exfiltrar información sensible, o moverse lateralmente dentro del entorno de la víctima.

La vulnerabilidad fue reportada por investigadores de Wiz durante el evento Pwn2Own Berlín 2025. Aunque la explotación requiere acceso autenticado, se estima que existen alrededor de 330.000 instancias Redis expuestas en línea, de las cuales unas 60.000 no requieren autenticación, aumentando el riesgo de ataques masivos.

Recomendaciones

Redis ha corregido la vulnerabilidad en las versiones:

    • 7.22.2-12 y superiores
    • 7.8.6-207 y superiores
    • 7.4.6-272 y superiores
    • 7.2.4-138 y superiores
    • 6.4.2-131 y superiores

Se recomienda actualizar de inmediato a una versión corregida, especialmente en instancias expuestas a Internet.
Adicionalmente, se aconseja:

    • Habilitar autenticación y restringir el acceso solo a redes autorizadas.
    • Deshabilitar la ejecución de scripts Lua y comandos innecesarios.
    • Ejecutar Redis con un usuario sin privilegios root.
    • Activar el registro y monitoreo de actividad.
    • Aplicar controles de acceso a nivel de red mediante firewalls o VPCs.

La combinación de la alta criticidad, la gran cantidad de instancias expuestas y las configuraciones inseguras por defecto convierten a RediShell (CVE-2025-49844) en una amenaza grave que requiere remediación inmediata.

Referencias

https://www.bleepingcomputer.com/news/security/redis-warns-of-max-severity-flaw-impacting-thousands-of-instances/