Publicado el

Múltiples vulnerabilidades críticas afectan a Thunderbird

Se han identificado múltiples vulnerabilidades en diferentes versiones del cliente de correo Thunderbird, desarrolladas por Mozilla. Estos fallos de seguridad, aunque mitigados en parte por el diseño del propio cliente (que desactiva los scripts en los correos), representan un riesgo importante en determinados escenarios. Además, se ha detectado un error administrativo por parte de Mozilla al asignar un identificador CVE, lo cual podría dificultar la gestión de vulnerabilidades por parte de los equipos de ciberseguridad.

Análisis

Mozilla ha emitido dos avisos de seguridad en los que detalla varias vulnerabilidades críticas y moderadas que afectan a las versiones 128.11 y 139 de Thunderbird. Estas vulnerabilidades también tienen relación con versiones anteriores de Firefox, ya que ambos productos comparten gran parte del mismo motor de renderizado y procesamiento.

Entre las vulnerabilidades más destacadas se encuentran:

      • CVE‑2025‑5283: Esta vulnerabilidad crítica está relacionada con un fallo de doble liberación de memoria (“double-free”) en la biblioteca libvpx, utilizada para procesar contenido de video en WebRTC. En escenarios donde se intenta inicializar una sesión de WebRTC tras un error de asignación de memoria, el sistema puede intentar liberar dos veces la misma dirección, lo que podría permitir a un atacante ejecutar código malicioso si logra manipular esa memoria.
      • CVE‑2025‑5262: En este caso, no se trata de una vulnerabilidad técnica per se, sino de un error en la asignación del identificador CVE. Mozilla lo asignó incorrectamente, cuando esta gestión debía haber sido realizada por otro organismo autorizado. Este tipo de errores pueden provocar problemas de trazabilidad, dificultando la implementación de parches o la documentación de riesgos en las organizaciones.
      • CVE‑2025‑5280 y CVE‑2025‑5282 : Se refieren a fallos en la seguridad de la memoria, donde el acceso a zonas de memoria no seguras o no autorizadas podría ser aprovechado por un atacante para ejecutar código arbitrario, sobre todo en contextos que simulen un entorno de navegador.
      • Otras vulnerabilidades moderadas incluyen fallos de aislamiento entre orígenes (lo que puede permitir fugas de información entre pestañas o marcos de diferentes dominios), problemas con el copiado de comandos (“Copy as cURL”) que no escapan correctamente caracteres peligrosos, y condiciones que podrían permitir ataques de clickjacking o desbordamientos leves.

Aunque muchas de estas vulnerabilidades no se pueden explotar directamente a través del correo electrónico (ya que Thunderbird bloquea scripts por defecto), sí representan un riesgo si el contenido del correo se renderiza en contextos más amplios, o si el usuario interactúa con enlaces o archivos maliciosos adjuntos.

Recursos Afectados

    • Thunderbird 128.11 y versiones anteriores no parcheadas.
    • Thunderbird 139 y versiones anteriores.
    • Entornos que usan bibliotecas compartidas como libvpx, especialmente en conjunto con WebRTC.
    • Sistemas o usuarios que utilizan funcionalidades como “Copy as cURL” sin validación o sanitización de entradas.
    • Equipos de seguridad que gestionan CVEs de manera automatizada, que podrían verse afectados por la confusión generada por la mala asignación del CVE‑2025‑5262.

Recomendaciones

    • Actualizar inmediatamente Thunderbird a las versiones corregidas (128.11, 139 o superior), donde ya se han aplicado los parches de seguridad.
    • Si se utiliza Firefox o entornos similares, asegurarse también de aplicar las actualizaciones correspondientes, ya que las vulnerabilidades de memoria podrían ser compartidas entre productos.
    • Evitar la apertura de archivos adjuntos sospechosos o enlaces no verificados desde Thunderbird, especialmente si se utilizan funcionalidades como WebRTC o comandos CLI generados desde el cliente.
    • En entornos corporativos, verificar la consistencia de los identificadores CVE registrados con fuentes oficiales y ajustar la documentación si se detectan asignaciones incorrectas.
    • Monitorizar el comportamiento de Thunderbird en entornos con acceso a red, asegurando que no se permite la ejecución de código fuera del entorno controlado del cliente de correo.

Referencias

Publicado el

Vulnerabilidad crítica CVE‑2025‑55145 en productos Ivanti

Se ha detectado una vulnerabilidad grave en varios productos de la empresa Ivanti, que podría permitir a un atacante remoto autenticado secuestrar conexiones HTML5 existentes.

La vulnerabilidad CVE‑2025‑55145 ha sido publicada por INCIBE‑CERT el 9 de septiembre de 2025. 

    • Se trata de un fallo de autorización (“missing authorization”) en versiones específicas de los productos Ivanti: Ivanti Connect Secure (antes de la versión 22.7R2.9 o 22.8R2), Ivanti Policy Secure (antes de la 22.7R1.6), Ivanti ZTA Gateway (antes de 2.8R2.3‑723) e Ivanti Neurons for Secure Access (antes de la 22.8R1.4). 
    • El fallo permite que un atacante remoto que ya tiene credenciales de autenticación (autenticado) secuestrar conexiones HTML5 existentes. Es decir, aunque no se logre entrar sin autenticación, una vez dentro podría interceptar, modificar o comprometer sesiones que ya estén activas. 
    • En la información disponible, se indica que la corrección ya fue desplegada el 2 de agosto de 2025 para esas versiones que corrigen la vulnerabilidad. 
    • El puntaje CVSS v3.1 asignado es 8.90 (Alta gravedad), con los siguientes parámetros destacados: acceso remoto a través de red, baja complejidad de ataque, privilegios bajos requeridos, interacción del usuario necesaria, confidencialidad e integridad fuertemente comprometidas, disponibilidad menos afectada.

Recursos Afectados

Los productos Ivanti afectados son los siguientes, en sus versiones no parcheadas:

    • Ivanti Connect Secure (versiones anteriores a 22.7R2.9 o 22.8R2) 
    • Ivanti Policy Secure (versiones anteriores a 22.7R1.6) 
    • Ivanti ZTA Gateway (versiones anteriores a 2.8R2.3‑723) 
    • Ivanti Neurons for Secure Access (versiones anteriores a 22.8R1.4) 

Referencias

Publicado el

CSIRT-CV presenta la campaña STOP Ciberacoso. Desconéctate del odio

El ciberacoso se ha convertido en una de las formas más comunes de violencia entre jóvenes, especialmente con el uso creciente de redes sociales, mensajería instantánea y plataformas digitales. A diferencia del acoso tradicional, el ciberacoso puede ocurrir en cualquier momento y lugar, y sus efectos pueden ser devastadores para la salud mental y emocional de quienes lo sufren.

El inicio del curso escolar representa un momento clave para intervenir de forma preventiva. Es una etapa en la que se establecen nuevas relaciones sociales, rutinas y dinámicas grupales. Por tanto, es el momento idóneo para educar, sensibilizar y promover una cultura de respeto y responsabilidad digital, así como para lanzar un mensaje claro y directo: STOP Ciberacoso.

Atendiendo a ello, desde CSIRT-CV, vamos a lanzar la campaña STOP Ciberacoso bajo el lema Desconéctate del odio con el objetivo de dotar a los jóvenes y menores de herramientas, prácticas para identificar, prevenir y actuar ante situaciones de ciberacoso, así como para fomentar el uso seguro y positivo de las tecnologías. También se busca implicar a toda la comunidad educativa (docentes, familias y alumnado) en la creación de un entorno digital seguro y libre de violencia.

A partir del 15 de septiembre, atento a nuestros perfiles en Facebook, X y en el portal de concienciación concienciaT de CSIRT-CV: https://concienciat.gva.es/tips_de_seguridad/stop-ciberacoso-desconectate-del-odio/

Descubre todos los recursos y materiales que hemos preparado para ti. STOP Ciberacoso.

Accede aquí para leer la nota de prensa de la Generalitat sobre la campaña STOP Ciberacoso. Desconéctate del odio.

Publicado el

Microsoft – Patch Tuesday septiembre 2025

El día martes 10 de septiembre de 2025, Microsoft ha publicado su actualización mensual de seguridad correspondiente al “Patch Tuesday”. En esta ocasión se han corregido 81 vulnerabilidades.

Este parche afecta múltiples productos del ecosistema Microsoft, incluyendo Windows, Office, Hyper-V, SharePoint, SQL Server, y otros.

Microsoft ha corregido un total de 81 fallos de seguridad, de los cuales 8 a 9 han sido clasificados como críticos y dos son vulnerabilidades de día cero (zero-day). Estas vulnerabilidades incluyen fallos de elevación de privilegios, ejecución remota de código (RCE), divulgación de información, denegación de servicio (DoS), y suplantación de identidad.

Entre estas vulnerabilidades destacan:

CVE-2025-54914 corresponde a un fallo crítico de elevación de privilegios en los servicios de Azure Networking de Microsoft. puede explotarse de manera remota a través de la red, con baja complejidad, sin necesidad de privilegios previos ni interacción del usuario, y con un impacto severo en la confidencialidad, integridad y disponibilidad de los sistemas afectados. Los productos afectados son servicios de Microsoft Azure Networking, aunque hasta el momento no se han publicado versiones específicas vulnerables. Se aconseja aplicar las actualizaciones disponibles a través del Microsoft Security Response Center (MSRC) lo antes posible.

CVE-2025-55244 representa un fallo crítico de elevación de privilegios en el servicio Azure Bot Service de Microsoft, un componente clave para organizaciones que integran chatbots, asistentes virtuales y automatización conversacional en sus procesos. Un actor malicioso podría aprovechar esta debilidad para obtener privilegios superiores a los permitidos, ampliando de forma indebida su capacidad de acción dentro del entorno. No se han publicado versiones vulnerables específicas. Se aconseja aplicar las actualizaciones disponibles a través del Microsoft Security Response Center (MSRC) lo antes posible.

CVE-2025-55241 corresponde a un fallo de elevación de privilegios en Azure Entra (anteriormente Azure Active Directory, ahora Microsoft Entra ID), atribuible a una implementación inadecuada de los mecanismos de autenticación, de tal forma que el sistema no valida correctamente la identidad de quien realiza una petición, lo que podría permitir que un atacante suplantara credenciales o roles. No se han identificado versiones específicas vulnerables, por lo que se asume que cualquier despliegue existente puede estar en riesgo. Todavía no se ha publicado un parche para esta vulnerabilidad.

Además, se han destacado vulnerabilidades críticas en componentes clave como NTLM, NTFS, Microsoft Office, Hyper-V y SharePoint, algunas de las cuales permiten ejecución remota de código con solo abrir un documento malicioso o acceder a una vista previa.

Otros proveedores como Adobe, Ivanti, y Google también han publicado parches importantes durante este mismo ciclo de actualizaciones.

Recursos Afectados

    • Windows (todas las versiones compatibles)
    • Microsoft Office (incluido Outlook y Word)
    • Windows SMB Server
    • NTLM (autenticación)
    • NTFS (sistema de archivos)
    • Hyper-V (entorno de virtualización)
    • SharePoint Server
    • SQL Server (por dependencia con Newtonsoft.Json)
    • Azure, Dynamics, .NET, Visual Studio (en menor medida)

Recomendaciones

Para mitigar el riesgo, se recomienda aplicar las siguientes medidas:

  1.  Aplicar los parches de seguridad de Microsoft lo antes posible en todos los sistemas afectados.
  2.  Priorizar la mitigación de las vulnerabilidades zero-day (CVE‑2025‑55234 y CVE‑2024‑21907).
  3.  Habilitar y revisar las configuraciones de seguridad en SMB (como SMB Signing y Extended Protection for Authentication).
  4.  Verificar que los entornos virtualizados en Hyper-V hayan sido actualizados correctamente.
  5.  Evaluar riesgos relacionados con documentos y correos maliciosos en entornos que utilicen Office.
  6.  Complementar con la aplicación de actualizaciones de seguridad de otros proveedores (Adobe, Ivanti, etc.).
  7.  Realizar análisis de vulnerabilidades posteriores al parcheo, con herramientas de escaneo actualizado.

Referencias