Novedades

En los últimos días han proliferado titulares que presentan esta filtración como “la mayor brecha de la historia”, insinuando incluso que Apple, Google o Facebook han sido comprometidas. 

La cifra impresiona — 30 bases de datos, 1,2 TB de registros y 16 mil millones de combinaciones —, pero el caso es más complejo de lo que parece a simple vista y admite dos lecturas enfrentadas: 

Visión “golpe monumental”

• 16 mil millones de credenciales listas para credential stuffing y phishing.
  
• Cuentas de Big Tech y de 29 gobiernos incluidas.
  
• La publicación de las bases sugiere una compilación deliberada para llamar la atención.
  

Visión “realidad incómoda”

Lo filtrado no es un “hack” único, sino la agregación de logs del malware infostealer (RedLine, Lumma, Raccoon, Vidar…) junto a credenciales antiguas de filtraciones de datos y ataques de credential stuffing. El formato es el clásico URL:usuario:contraseña; muchos registros incorporan cookies y tokens de sesión capaces de saltarse el MFA. 

• No hubo un ataque directo a los servicios: los datos proceden de infostealers instalados en equipos de usuarios finales.
  
• La cifra está inflada; hay duplicados y credenciales ya inválidas. Estudios de SpyCloud sitúan la tasa de repetición por encima del 60 %.
  
• Lo realmente valioso no son las contraseñas en texto claro, sino las cookies activas y los tokens JWT que permiten mantener sesiones activas.

Datos

MétricaValor aproximadoCredenciales totales en la recopilación16 000 MCredenciales fechadas entre 2020-202414 900 MIdentidades únicas añadidas a la base de SpyCloud en 202453,3 M MOrganizaciones víctimas de ransomware tras una infección de infostealer≈ 1 de cada 3

¿Es, entonces, el “robo del siglo”?

Estamos ante un síntoma, no ante un gran atraco puntual. Se trata de la economía industrial de los infostealers: mientras sigan existiendo equipos infectados que generen logs a gran escala y usuarios que reutilicen contraseñas, aparecerán nuevas “megafugas” con cifras impactantes, pero con un trasfondo técnico muy similar.

Recomendaciones 

1. Desinfectar los dispositivos antes de cambiar contraseñas; de lo contrario, el stealer volverá a capturarlas.
   
2. Adoptar MFA robustos (passkeys/FIDO2) y comprobar que el servicio invalida sesiones tras la rotación de credenciales.
   
3. Utilizar gestores de contraseñas para generar claves únicas y detectar duplicados.
   
4. Reducir la vida de las cookies y monitorizar inicios de sesión anómalos (IP, dispositivo, ubicación).
   
5. Establecer alertas de exposición en dominios corporativos mediante servicios de breach monitoring.
   

¿Cuánto tiempo tardarías en detectar que alguien mantiene abierta tu sesión mediante una cookie robada? ¿Y cuántos equipos de tu entorno podrían estar filtrando logs en este momento?

Más información

• BleepingComputer – No, the 16 billion credentials leak is not a new data breach
• Times of India — World’s largest data leak: 16 billion credentials exposed
• KELA — Understanding the Infostealer Epidemic in 2025
• SpyCloud — Annual Identity Exposure Report 2025

La entrada 16 mil millones de credenciales al descubierto: ¿el robo del siglo o un espejismo? se publicó primero en Una Al Día.

Investigación revela que múltiples repositorios muy populares, incluidos los de MITRE y Splunk, emplean configuraciones peligrosas en sus workflows de GitHub Actions, sobre todo al abusar del evento pull_request_target. Esta práctica concede a las pull requests de colaboradores externos acceso a los secretos del repositorio, lo que abre la puerta a ataques de cadena de suministro y robo de credenciales.

¿Cómo se materializa el riesgo?

1. pull_request_target + checkout de código no confiable: el workflow se ejecuta con permisos de la rama principal, pero compila código del fork atacante.
2. Acceso a GITHUB_TOKEN con permisos write: el payload puede modificar el repositorio, subir artefactos infectados o publicar nuevas versiones.
3. Exfiltración de secretos: API keys, credenciales de despliegue y tokens de publicación quedan expuestos mediante simples comandos echo $SECRET | curl ....

Los analistas demostraron la técnica sobre proyectos como MITRE Cyber Analytics Repository y Splunk Security Content, logrando la exfiltración de tokens con privilegios completos en segundos.

Impacto potencial

• Compromiso total del repositorio: modificación de código, releases y documentación.
• Ataques aguas abajo a organizaciones que consumen estos paquetes como dependencias.
• Facturación ilícita en servicios cloud si las claves robadas otorgan acceso a infraestructuras externas.

Recomendaciones

• Migrar al evento pull_request en lugar de pull_request_target para evitar que las pull requests de forks externos tengan acceso a los secretos del repositorio.
• Aplicar el principio de mínimos privilegios al GITHUB_TOKEN, configurando permissions: con solo los ámbitos estrictamente necesarios (por ejemplo, contents: read).
• Bloquear la ejecución de código procedente de forks añadiendo una condición en el workflow (if: github.event.pull_request.head.repo.fork == false) para impedir que Jobs privilegiados se lancen sobre código no confiable.
• Referenciar acciones mediante etiquetas o SHA inmutables —p. ej. actions/checkout@v4.1.2— y firmar las acciones propias para garantizar la integridad de la cadena de suministro.
• Auditar periódicamente los archivos de workflow con herramientas de seguridad de CI/CD como Scorecard, GHA-Guard o Sysdig zizmor, a fin de detectar permisos excesivos, uso de eventos riesgosos y secretos expuestos.

Más información

• CyberSecurityNews – Insecure GitHub Actions in Open Source Projects: MITRE and Splunk Expose Critical Vulnerabilities
• Sysdig TRT – Dangerous by default: Insecure GitHub Actions found in MITRE, Splunk and others
• GitHub Docs – Security hardening for GitHub Actions
  

La entrada Configuraciones inseguras de GitHub Actions ponen en riesgo proyectos open source se publicó primero en Una Al Día.

Investigadores de Qualys TRU han divulgado un combo de escalada local de privilegios que afecta a la mayoría de distribuciones Linux de escritorio y servidor. El ataque combina un error en la configuración de PAM de SUSE/openSUSE (CVE-2025-6018) con otro en libblockdev/udisks (CVE-2025-6019) para pasar de usuario sin privilegios a root. A esto se suma una tercera vulnerabilidad independiente en Linux-PAM (CVE-2025-6020) recién corregida en la versión 1.7.1.

¿En qué consiste el ataque? PasoVulnerabilidadResultado1CVE-2025-6018 — PAM allow_activeUn usuario que inicie sesión por SSH en openSUSE Leap 15 o SUSE Linux Enterprise 15 puede manipular ~/.pam_environment y engañar a polkit para obtener el rol allow_active (como si estuviera físicamente delante del equipo).2CVE-2025-6019 — udisks/libblockdevCualquier allow_active puede ejecutar acciones privilegiadas de udisks (por defecto en la mayoría de distros) y escalar a root.3(Opcional) CVE-2025-6020 — path traversal en pam_namespaceOtra vía para llegar a root en sistemas que usan directorios polinstanciados, solucionada en linux-pam 1.7.1.

Qualys mostró PoC en Ubuntu, Debian, Fedora y openSUSE, acortando la distancia entre un usuario autenticado y el control total del sistema.

Versiones afectadas y parches ComponenteDistribuciones expuestasVersión corregidaPAM allow_activeopenSUSE Leap 15.x, SLE 15 SP4/SP5Parche en repositorios SUSE (pam 1.3.0-155.71 o superior)udisks / libblockdevudisks 2.x instalado por defecto (Ubuntu, Debian, Fedora, Arch, openSUSE…)libblockdev 2.30 / udisks 2.10.2pam_namespaceCualquier distro con Linux-PAM ≤ 1.7.0 y pam_namespace activolinux-pam 1.7.1 Impacto potencial

• Obtención de privilegios de root a partir de cualquier cuenta local o sesión SSH.
• Manipulación de políticas polkit, montaje de dispositivos y cambios en configuraciones de seguridad.
• Uso del sistema comprometido como salto para implantar backdoors o pivotar lateralmente.

Recomendaciones

1. Actualizar a los paquetes que corrigen CVE-2025-6018/6019 y a linux-pam 1.7.1.
2. Mientras tanto, modificar la regla polkit org.freedesktop.udisks2.modify-device a auth_admin y desactivar udisksd si no es necesario.
3. Auditar ~/.pam_environment y limitar la variable user_readenv en /etc/pam.d/common-auth.
4. Revisar logs de polkit, auditd y udisksd en busca de llamadas inesperadas.
5. Aplicar la política de mínimos privilegios y usar MFA en accesos SSH para mitigar ataques locales.

Más información

• The Hacker News – New Linux Flaws Enable Full Root Access via PAM and Udisks Across Major Distributions
• Qualys TRU – Chained LPE: SUSE 15 PAM to Full Root via libblockdev & udisks
• Openwall – CVE-2025-6018 / 6019 advisory
• Linux – PAM 1.7.1 release notes
• BleepingComputer – New udisks flaw lets attackers get root on major Linux distros

La entrada Nuevo encadenamiento de vulnerabilidades en Linux permite salto de usuario a root en segundos se publicó primero en Una Al Día.

Investigadores de Sophos han documentado una campaña en la que el grupo DragonForce comprometió un Managed Service Provider (MSP) aprovechando tres fallos críticos en el software RMM SimpleHelp. Desde la consola secuestrada, los atacantes impulsaron el ransomware a decenas de organizaciones aguas abajo y exfiltraron información para presionar el pago, un claro ejemplo de ataque a la cadena de suministro.

¿Cómo funciona el ataque?

Los criminales encadenan las vulnerabilidades divulgadas en enero de 2025:

CVETipoResultado2024-57727Path traversal («/allversions»)Descarga de archivos de configuración con hashes y secretos.2024-57726Escalada de privilegiosDe técnico con pocos permisos a admin completo.2024-57728Carga arbitraria de ficherosEjecución remota de código en el servidor.

Una vez dentro, los operadores empujan instaladores maliciosos a los endpoints gestionados, realizan reconocimiento (usuarios, red, configuraciones) y despliegan DragonForce con táctica de doble extorsión.

Versiones afectadas y corrección

Todas las instalaciones SimpleHelp ≤ 5.5.7 (Windows, Linux y macOS) son vulnerables. El proveedor publicó la versión 5.5.8 en enero, pero muchos MSP siguen sin aplicar el parche. La CISA añadió CVE-2024-57727 a su catálogo KEV el 13-feb-2025 para forzar la mitigación en sistemas federales.

Impacto potencial

• Compromiso completo del servidor RMM y de todos los clientes gestionados.
• Implantación de ransomware y robo de datos para extorsión múltiple.
• Elevados costes operativos y reputacionales para el MSP y sus clientes finales.

Recomendaciones

1. Actualizar inmediatamente a 5.5.8 o posterior.
2. Restringir el acceso a la consola RMM por IP/VPN y deshabilitar la exposición pública del endpoint /allversions.
3. Revisar logs en busca de descargas sospechosas de serverconfig.xml y de instaladores SimpleHelp no autorizados.
4. Aplicar EDR/XDR en los clientes para detectar ejecución anómala de scripts o binarios con nombres aleatorios de tres letras.
5. Cambiar todas las credenciales de técnicos y aplicar MFA en la administración de SimpleHelp.

Más información

• CyberSecurityNews – Ransomware Actors Exploit Unpatched SimpleHelp RMM to Compromise Billing Software Provider (13 jun 2025) https://cybersecuritynews.com/ransomware-actors-exploit-unpatched-simplehelp-rmm/cybersecuritynews.com
• Sophos – DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers (27 may 2025) https://news.sophos.com/en-us/2025/05/27/dragonforce-actors-target-simplehelp-vulnerabilities-to-attack-msp-customers/news.sophos.com
• SecurityWeek – DragonForce Ransomware Hackers Exploiting SimpleHelp Vulnerabilities (27 may 2025) https://www.securityweek.com/dragonforce-ransomware-hackers-exploiting-simplehelp-vulnerabilities/

La entrada DragonForce explota SimpleHelp sin parche para implantar ransomware en clientes de un MSP se publicó primero en Una Al Día.

Cisco ha publicado hotfixes para su Identity Services Engine (ISE) tras revelarse CVE-2025-20286, una vulnerabilidad de credenciales estáticas que afecta a implementaciones en la nube de AWS, Azure y Oracle Cloud Infrastructure y que ya cuenta con código de prueba de concepto.

Cuando se despliega un nodo de Administración Primaria de ISE en la nube, el asistente de instalación genera las mismas credenciales para todas las instancias que compartan versión y plataforma. Un atacante sin autenticar podría:

• Extraer las credenciales de una instancia comprometida.
• Usarlas para acceder a otras instalaciones ISE en diferentes nubes o clientes.
• Ver datos sensibles, alterar configuraciones o interrumpir el servicio.

Versiones afectadas PlataformaVersiones vulnerablesParche (hotfix)AWS3.1 – 3.43.1-2-HF, 3.2-4-HF, 3.3-3-HF, 3.4-1-HFAzure3.2 – 3.4idemOCI3.2 – 3.4idem

Las versiones 3.0 y anteriores no se ven afectadas. ISE on-prem y despliegues híbridos con el nodo de administración local tampoco son vulnerables.

Impacto potencial

• Acceso no autorizado con privilegios administrativos limitados.
• Exposición de políticas de acceso y perfiles de dispositivos.
• Cambio de configuraciones de autenticación RADIUS/TACACS+ y corte de servicio.

Mitigaciones y recomendaciones

1. Aplicar los hotfixes específicos para cada versión cuanto antes.
2. Si no es posible actualizar:
   • Ejecutar application reset-config ise en el nodo afectado (reinicia a valores de fábrica).
   • Restringir el tráfico entrante únicamente a administradores autorizados mediante ACL en el security group de la nube.
3. Auditar los registros de inicio de sesión y cambios de configuración tras la actualización.
4. Rotar todas las contraseñas de cuentas internas y claves API asociadas a ISE.

Más información

• SecurityWeek – Cisco Patches Critical ISE Vulnerability With Public PoC https://www.securityweek.com/cisco-patches-critical-ise-vulnerability-with-public-poc/
• BleepingComputer – Cisco warns of ISE and CCP flaws with public exploit code
• The Hacker News – Critical Cisco ISE Auth Bypass Flaw Impacts Cloud Deployments

La entrada Cisco corrige vulnerabilidad crítica en ISE con PoC pública se publicó primero en Una Al Día.

Varios complementos muy populares de Google Chrome ‒entre ellos SEMRush Rank, Browsec VPN, MSN New Tab, DualSafe Password Manager, AVG Online Security o Trust Wallet‒ exponen a sus usuarios a dos riesgos simultáneos: envían telemetría a través de HTTP sin cifrar y contienen credenciales duras en el propio JavaScript (API keys de GA4, Azure, AWS, Tenor o Ramp Network).

Investigadores de Symantec STAR detectaron que las peticiones de analítica, desinstalación o identificación se realizan a dominios como rank.trellian.com, browsec-uninstall.s3-website… o g.ceipmsn.com mediante HTTP, permitiendo a un atacante en la misma red interceptar o modificar el tráfico.

El análisis de código reveló secretos incrustados: claves GA4 para “spamear” métricas, una key de Azure Speech que podría inflar costes, Access Keys de AWS que posibilitan subir contenido ilícito a S3, y tokens de servicios Web3 que facilitarían transacciones fraudulentas.

InboxSDK, biblioteca usada por más de 90 extensiones, también aloja credenciales, por lo que la superficie de ataque real es mayor de lo publicado.

Impacto potencial

1. Robo de sesiones o perfilado del usuario a través de dominios visitados y UUID del equipo.
2. Costes económicos para los desarrolladores (facturación en Azure/AWS) y manipulación de analíticas.
3. Suplantación de peticiones a APIs de terceros para publicar contenido o lanzar campañas de spam.

Casos recientes de secuestro masivo de extensiones (35 plugins comprometidos en diciembre de 2024) demuestran lo fácil que es aprovechar permisos excesivos para robar cookies y tokens de Facebook Business.

Extensiones afectadas (muestra)

• HTTP sin cifrar: SEMRush Rank, PI Rank, Browsec VPN, MSN New Tab, MSN Homepage, DualSafe Password Manager.
• Credenciales duras: Online Security & Privacy, AVG Online Security, Speed Dial FVD, SellerSprite, Equatio, Awesome Screen Recorder, Scrolling Screenshot Tool, Microsoft Editor, Antidote Connector, Watch2Gether, Trust Wallet, TravelArrow.

Recomendaciones AcciónDetalle1. Auditar extensionesRevisar → chrome://extensions y eliminar los IDs listados arriba.2. Forzar HTTPSFiltrar en proxy/WAF cualquier llamada HTTP a dominios de telemetría.3. Rotar y restringir API keysUso de backend o vaults; nunca embebidas en el cliente.4. Implementar CSP estrictasBloquear cargas de scripts remotos y prevenir inyección.5. Política de mínimos permisosExtensiones sólo si son imprescindibles y firmadas. Más información

• The Hacker News – Popular Chrome Extensions Leak API Keys, User Data via HTTP and Hard-Coded Credentials
• BleepingComputer – How hackers hijacked 35 Google Chrome extensions
• Tom’s Guide – Chrome extensions with 4 million installs are putting your privacy at risk

La entrada Extensiones de Chrome filtran API keys y datos en texto plano se publicó primero en Una Al Día.

Un investigador ha destapado un bug que llevaba una década escondido en Roundcube Webmail. El fallo (CVE-2025-49113, CVSS 9.9) permite que cualquier usuario autenticado tome el control total del servidor y ejecute código arbitrario. La solución llegó el 1 de junio con las versiones 1.6.11 y 1.5.10 LTS —pero mientras no se apliquen, miles de instalaciones siguen expuestas.

El problema reside en program/actions/settings/upload.php. Al subir ficheros de configuración, Roundcube acepta un parámetro oculto llamado _from. Durante el proceso no se valida su contenido y se pasa directamente a unserialize() de PHP. Eso abre la puerta a un ataque clásico de deserialización de objetos: el atacante fabrica un objeto con un método “mágico” (__wakeup, __destruct, etc.) que se disparará al deserializarse, permitiendo ejecutar comandos en el sistema operativo.

1. Requisitos mínimos: basta con poseer una cuenta válida (o credenciales robadas) en Roundcube.
2. Impacto: ejecución remota de código con los permisos del servidor web; desde ahí es trivial escalar privilegios o pivotar a otros sistemas.
3. Alcance temporal: el código vulnerable existe desde al menos 2015, por lo que instalaciones legacy de Roundcube 1.0–1.6.10 son vulnerables.
4. Mitigación: actualizar ya a 1.6.11 o 1.5.10 LTS y restringir el acceso administrativo. También se recomienda revisar los logs en busca de llamadas sospechosas a upload.php.

Más información:

• Critical 10-Year-Old Roundcube Webmail Bug Allows Authenticated Users Run Malicious Code – The Hacker News https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
• Security updates 1.6.11 and 1.5.10 released – Roundcube.net https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
• CVE-2025-49113 – NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2025-49113

La entrada ¡Diez años a la sombra! Una vieja vulnerabilidad crítica en Roundcube permite ejecutar código tras autenticarse se publicó primero en Una Al Día.

En un movimiento inusual de colaboración, Microsoft, CrowdStrike, Palo Alto Networks y Google han anunciado la creación de un glosario público para poner orden al caótico zoológico de alias con que la industria describe a los grupos de actores estatales y criminales. La iniciativa busca que, cuando un analista lea «Forest Blizzard» o «Fancy Bear», sepa inmediatamente a qué actor se refiere, sin perder tiempo en equivalencias.

¿Por qué tantos nombres y por qué importa?

Asignar la autoría de un ataque es difícil: las huellas técnicas pueden compartirse o falsificarse y los estados lo niegan todo. Para seguir la pista a un mismo adversario, cada empresa acuñó su propio sistema:

• CrowdStrike: animales + origen (p. ej. Cozy Bear para Rusia).
• Microsoft: antes elementos químicos, ahora fenómenos meteorológicos (Lemon Sandstorm).
• Mandiant: números APT (Advanced Persistent Threat), como APT1.

El resultado ha sido una sopa de letras: en un informe del Gobierno de EE. UU. sobre la injerencia rusa de 2016 aparecieron 48 alias distintos para apenas un puñado de grupos. Esa fragmentación complica la coordinación y retrasa la respuesta defensiva.

El glosario unificado

El proyecto pretende publicar tablas de equivalencia entre nombres y, con el tiempo, asignar un identificador único consensuado. La iniciativa ya ha producido su primer «match»: Salt Typhoon (Microsoft) Operator Panda (CrowdStrike). Sus impulsores confían en sumar a otras compañías y a organismos gubernamentales para acelerar la defensa colectiva. No faltan escépticos que recuerdan la tendencia del sector a guardar información como ventaja competitiva, pero el consenso es que un vocabulario común sería un avance necesario.

Más información:

• Forest Blizzard’ vs ‘Fancy Bear’: cyber companies hope to untangle weird hacker nicknames https://www.reuters.com/sustainability/boards-policy-regulation/forest-blizzard-vs-fancy-bear-cyber-companies-hope-untangle-weird-hacker-2025-06-02/
• How Microsoft names threat actors https://learn.microsoft.com/en-us/unified-secops-platform/microsoft-threat-actor-naming
  

La entrada Microsoft, CrowdStrike, Google y Palo Alto presentan la “Piedra Rosetta” del ciberespionaje: un glosario para descifrar los alias de los grupos APT se publicó primero en Una Al Día.

Dos fallos de divulgación de información descubiertos por Qualys en los manejadores de core dumps de Linux —apport en Ubuntu y systemd-coredump en Red Hat Enterprise Linux (RHEL) 9/10 y Fedora— han sido catalogados como CVE-2025-5054 y CVE-2025-4598. Un atacante local podía forzar el volcado de memoria de un programa SUID y, antes de que se restringieran los permisos del archivo, leer el contenido para extraer hashes de /etc/shadow, lo que abre la puerta a la elevación de privilegios tras su criptoanálisis.

¿En qué consisten los fallos?

• CVE-2025-5054 afecta a apport (hasta 2.32.0). Aprovecha que el demonio, al procesar un PID reutilizado en un namespace de usuario, crea temporalmente el core dump con permisos amplios.
• CVE-2025-4598 impacta a systemd-coredump cuando gestiona volcados de procesos privilegiados: un micro-intervalo entre la creación y el cambio de dueño del archivo permite leerlo.

En ambos casos, basta con inyectar cargas que provoquen un crash controlado de un binario SUID para capturar credenciales. Un atacante que descifre el hash de root puede después encadenar la falla con técnicas habituales de post-exploitation, como la sustitución de binarios o la carga de módulos del kernel, logrando un compromiso completo del sistema.

Versiones afectadas y parches

• Ubuntu 22.04 LTS, 23.10 y 24.04 LTS (con apport instalado por defecto) — actualizar a los paquetes publicados el 30 de mayo de 2025. Ubuntu
• RHEL 9 / 10 y Fedora 40 y 41 — actualizar systemd a las revisiones liberadas el 31 de mayo de 2025 (consultar RHSA correspondientes).
• Otras distribuciones que usen systemd-coredump deberían incorporar el patch aguas arriba.

Impacto potencial

Aunque la explotación requiere acceso local, en entornos multitenant (p.e. servidores compartidos, containers con namespaces) el vector resulta especialmente crítico. Además, la exposición de hashes facilita ataques de credential stuffing contra servicios donde se reutilicen contraseñas. Este escenario recuerda a otras vulnerabilidades en Linux que parten de privilegios limitados para escalar a root.

Recomendaciones

1. Aplicar las actualizaciones de apport o systemd según la distribución.
2. Mientras se parchea, deshabilitar temporalmente los core dumps (ulimit -c 0 o systemd-coredump.conf Storage=none).
3. Restringir el uso de binarios SUID innecesarios y auditar su ejecución con auditd.
4. Supervisar accesos a /var/lib/apport/ y /var/lib/systemd/coredump/ en busca de lecturas no autorizadas.

Más información

• The Hacker News – New Linux Flaws Allow Password Hash Theft via Core Dumps in Ubuntu, RHEL, Fedora (31 may 2025)
  https://thehackernews.com/2025/05/new-linux-flaws-allow-password-hash.html
• Ubuntu – apport local information-disclosure vulnerability fixes available (30 may 2025)
  https://ubuntu.com/blog/apport-local-information-disclosure-vulnerability-fixes-available
• Red Hat – RHSA advisories para systemd-coredump (jun 2025)
  https://access.redhat.com/security/vulnerabilities

La entrada Nuevas vulnerabilidades en Linux permiten robar el hash de contraseñas desde core dumps se publicó primero en Una Al Día.

Investigadores de Patchstack han revelado la CVE-2025-47577, un fallo de gravedad máxima (CVSS 10) en el plugin TI WooCommerce Wishlist, utilizado por más de 100 000 portales WordPress, que permite a un atacante no autenticado subir archivos arbitrarios y obtener ejecución remota de código (RCE).

El problema se origina en la función tinvwl_upload_file_wc_fields_factory, que delega la carga de archivos al helper nativo wp_handle_upload(). El desarrollador deshabilita los controles de seguridad estableciendo los parámetros test_form y test_type a false; esto anula la validación del formulario y, sobre todo, del tipo MIME, dejando pasar cualquier fichero, incluidos scripts PHP. El punto de entrada se expone cuando el plugin WC Fields Factory está instalado y la integración correspondiente se encuentra activa, lo que facilita ataques automatizados que culminan en la ejecución directa del archivo malicioso en el servidor.

La vulnerabilidad afecta a todas las versiones del plugin hasta la 2.9.2 (29 de noviembre de 2024) y, a fecha de publicación, no existe parche oficial. Hasta que el proveedor emita una corrección, se recomienda desactivar y eliminar el complemento o, al menos, restringir la ejecución de archivos en la carpeta /wp-content/uploads/.

Este caso demuestra cómo la desactivación de un único control de validación puede comprometer por completo la infraestructura de un sitio WordPress y subraya la importancia de revisar con detalle las funciones de subida de archivos en cualquier desarrollo.

Más información:

• Over 100,000 WordPress Sites at Risk from Critical CVSS 10.0 Vulnerability in Wishlist Plugin https://thehackernews.com/2025/05/over-100000-wordpress-sites-at-risk.html
• Unpatched Critical Vulnerability in TI WooCommerce Wishlist Plugin https://patchstack.com/articles/unpatched-critical-vulnerability-in-ti-woocommerce-wishlist-plugin/

La entrada Una vulnerabilidad crítica en TI WooCommerce Wishlist expone más de 100 000 sitios WordPress se publicó primero en Una Al Día.