Investigadores de Sophos han documentado una campaña en la que el grupo DragonForce comprometió un Managed Service Provider (MSP) aprovechando tres fallos críticos en el software RMM SimpleHelp. Desde la consola secuestrada, los atacantes impulsaron el ransomware a decenas de organizaciones aguas abajo y exfiltraron información para presionar el pago —un claro ejemplo de ataque a la cadena de suministro. La entrada DragonForce explota SimpleHelp sin parche para implantar ransomware en clientes de un MSP se publicó primero en Una Al Día. Read More
Multiple vulnerabilities in GitLab Vie products, 13/06/2025 - 12:11 Notice Affected Resources The following versions of GitLab Community Edition (CE), Enterprise Edition (USA) y GitLab Ultimate (USA) They are affected:Versions 18.0 prior to 18.0.2;Versions 17.9 prior to 17.10.8, Versions 17.11 prior to 17.11.4;Versions 17.7 anteriores a 17.10.8.El resto de versiones afectadas por las vulnerabilidades de severidad media y baja, pueden consultarse en las referencias. Description GitLab has published 10 Vulnerabilities: 4 of high severity, 5 of medium severity and 1 of low severity, que podrían permitir a atacantes realizar ataques de Cross-Site Scripting (XSS), Inject malicious headers, cause denials of service or access to restricted information. Identificador INCIBE-2025-0317 4 - Alta Solución Actualizar GitLab CE/EE y GitLab Ultimate EE a una de las siguientes versiones:18.0.2;17.11.4;17.10.8. Detalle Las vulnerabilidades de severidad alta son:CVE-2025-4278: vulnerabilidad de inyección HTML, cuya explotación podría permitir Read More
Múltiples vulnerabilidades en Streamline NX V3 de RICOH Vie, 13/06/2025 - 09:40 Aviso Recursos Afectados RICOH Streamline NX V3, para PC cliente, versiones de la 3.5.0 a 3.242.0 (CVE-2025-36506 y CVE-2025-46783) y de la 3.5.0 to the 3.7.0 (CVE-2025-48825).Para consultar la versión del producto en el PC, ejecutar RICOH Streamline NX PC Client:Hacer clic con el botón derecho en el icono de la bandeja de tareas e ir a la opción "Información de la versión".En el Panel de Control, en la lista de "Programas y características" comprobar la versión de "RICOH Streamline NX PC Client" Descripción CYS DET PEN de Siemen ha descubierto 3 Vulnerabilities, 1 of critical severity, otra media y otra baja que, in case of exploitation, podrían permitir sobrescribir cualquier fichero de la máquina del usuario y deshabilitar cualquier funcionalidad que proporcione, ejecutar código como AUTHORITY/SYSTEM Read More
Múltiples vulnerabilidades en productos de Trend Micro Jue, 12/06/2025 - 12:02 Aviso Recursos Afectados Trend Micro Endpoint Encryption (TMEE) PolicyServer, versions prior to 6.0.0.4013 para plataformas Windows en inglés;Apex Central, version 2019 (On-prem) para plataformas Windows en inglés;Apex Central as a Service (SAAS) para plataformas Windows en inglés. Descripción Trend Micro ha publicado 2 actualizaciones donde se corrigen un total de 10 Vulnerabilities: 6 criticism and 4 High. En caso de que las vulnerabilidades sean explotadas un atacante podría aumentar sus privilegios; realizar una ejecución remota de código pre y post autenticación; y modificar la configuración del producto. Identificador INCIBE-2025-0315 5 - Crítica Solución Actualizar el producto a la siguiente versión o posteriores:Trend Micro Endpoint Encryption (TMEE) PolicyServer, Pacth 1 Update 6 (version 6.0.0.4013). Consultar información del parche.Apex Central, CP B7007;Apex Central as a Service (SAAS), actualizado en la actualización Read More
Múltiples vulnerabilidades en productos de Ubiquiti Networks Jue, 12/06/2025 - 10:30 Aviso Recursos Afectados UniFi Protect Cameras, version 4.74.88 and previous;UniFi Protect Application, version 5.2.46 and previous. Descripción Ubiquiti Networks ha publicado 5 Vulnerabilities, of which 2 son de severidad crítica, 1 of high severity and 2 of medium severity. La explotación de estas vulnerabilidades podría permitir a un atacante llevar a cabo una explotación remota de código, controlar y modificar los dispositivos afectados y omitir la autenticación de los mismos. Identificador INCIBE-2025-0314 5 - Critical Solution Update affected products to the following versions:UniFi Protect Cameras: version 4.74.106 or later;UniFi Protect Application: version 5.2.49 or later. Detalle CVE-2025-23115: of critical severity. Vulnerabilidad 'Use After Free' en UniFi Protect Cameras podría permitir una ejecución remota de código (RCE) por un actor malicioso con acceso a la red de gestión.CVE-2025-23116: Read More
Multiple vulnerabilities in Mitel Jue products, 12/06/2025 - 09:27 Aviso Recursos Afectados La vulnerabilidad de severidad crítica afecta al producto:MiCollab, versión 9.8SP2 (9.8.2.12) y anteriores.Nota: MiCollab versión 10.0.0.26 y posteriores no están afectados.La vulnerabilidad de severidad alta afecta al producto:OpenScape Accounting Management, V5 R1.1.0 y anteriores. Descripción El investigador Dahmani Toumi y el milCERT AT han descubierto 2 Vulnerabilities: 1 de severidad crítica y otra alta que, in case of exploitation, podrían permitir a un atacante, Unauthenticated, acceder a directorios a los que no tiene permisos y, en caso de que consiga privilegios de administrador, subir ficheros arbitrarios en el sistema. Identificador INCIBE-2025-0313 5 - Crítica Solución Actualizar a la última versión de cada producto. MiCollab version 9.8 SP3 (9.8.3.1) or later;OpenScape Accounting Management, V5 R1.1.4 o posterior. Detalle La vulnerabilidad de severidad crítica se produce porque el componente Read More
Actualizaciones de seguridad de Microsoft de junio de 2025 Sea, 10/06/2025 - 20:16 Aviso Recursos Afectados .NET and Visual StudioApp Control for Business (WDAC)Microsoft AutoUpdate (MAU)Microsoft Local Security Authority Server (lsasrv)Microsoft OfficeMicrosoft Office ExcelMicrosoft Office OutlookMicrosoft Office PowerPointMicrosoft Office SharePointMicrosoft Office WordNuance Digital Engagement PlatformPower AutomateRemote Desktop ClientVisual StudioWebDAVWindows Common Log File System DriverWindows Cryptographic ServicesWindows DHCP ServerWindows DWM Core LibraryWindows HelloWindows InstallerWindows KDC Proxy Service (KPSSVC)Windows KernelWindows Local Security Authority (LSA)Windows Local Security Authority Subsystem Service (LSASS)Windows MediaWindows NetlogonWindows Recovery DriverWindows Remote Access Connection ManagerWindows Remote Desktop ServicesWindows Routing and Remote Access Service (RRAS)Windows SDKWindows SMBWindows Security AppWindows ShellWindows Standards-Based Storage Management ServiceWindows Storage Management ProviderWindows Storage Port DriverWindows Win32K - GRFX Description The release of Microsoft security updates, corresponding to the publication of vulnerabilities of the 10 June, consists of 67 Vulnerabilities (with assigned CVE), Qualified Read More
Múltiples vulnerabilidades en DM Corporative CMS de Dmacroweb Mar, 10/06/2025 - 09:50 Aviso Recursos Afectados DM Corporative CMS, versions prior to the 2025.01. Description INCIBE has coordinated the publication of 9 Vulnerabilities: 4 of critical severity and 5 of medium severity, que afectan a DM Corporative CMS de Dmacroweb, A content management system. Las vulnerabilidades han sido descubiertas por Oscar Atienza.A estas vulnerabilidades se les ha asignado el siguiente código, CVSS Base Score v4.0, CVSS vector and CWE vulnerability type:CVE-2025-40654 a CVE-2025-40657: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/IU:N/VC:H/VI:H/VA:H/SC:N/YES:N/SA:N | CWE-89CVE-2025-40658 a CVE-2025-40661: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/IU:N/VC:L/VI:N/VA:N/SC:N/YES:N/SA:N | CWE-639CVE-2025-40662: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/IU:N/VC:L/VI:N/VA:N/SC:N/YES:N/SA:N | CWE-200 Identificador INCIBE-2025-0305 5 - Crítica Solución Las vulnerabilidades han sido solucionadas por el equipo Dmacroweb en la versión 2025.01. Detalle Se ha encontrado una vulnerabilidad de inyección SQL Read More
Actualización de seguridad de SAP de junio de 2025 Sea, 10/06/2025 - 09:38 Aviso Recursos Afectados SAP NetWeaver Application Server para ABAPVersiones: KERNEL 7.89, 7.93, 9.14, 9.15.SAP GRC (complemento AC)Versions: GRCPINW V1100_700, V1100_731.SAP Business Warehouse y SAP Plug-In Basis, Versions:PI_BASIS: 2006_1_700, 701, 702, 731, 740.SAP_BW: 750, 751, 752, 753, 754, 755, 756, 757, 758, 914, 915.SAP BusinessObjects Business Intelligence (BI Workspace)Versions: ENTERPRISE 430, 2025, 2027.SAP NetWeaver Visual ComposerVersiones: VCBASE 7.50.SAP MDM ServerVersiones: MDM_SERVER 710.750. Description SAP has published its monthly newsletter which includes 14 Vulnerabilities: 1 of critical severity, 5 High, 6 Stockings and 2 Half. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante realizar una escalada de privilegios, modificar o controlar las credenciales del sistema o eliminar completamente las entradas de la base de datos. Identificador INCIBE-2025-0304 5 Read More
Ejecución de código remoto en Webmail de Roundcube Lun, 09/06/2025 - 13:33 Aviso Recursos Afectados Esta vulnerabilidad afecta a las versiones 1.1.0 a 1.6.10 de Roundcube, incluidas las instalaciones predeterminadas en cPanel, Plesk, ISPConfig y otras. Descripción Kirill Firsov ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar código de forma remota. Existe constancia de que la vulnerabilidad se está explotando de forma activa. Identificador INICBE-2025-0303 5 - Crítica Solución Se recomienda actualizar a las versiones:1.6.11 (última versión estable)1.5.10 (LTS) Detalle La vulnerabilidad de severidad crítica permite la ejecución remota de código por parte de usuarios autenticados, ya que el parámetro _from en una URL no está validado en program/actions/settings/upload.php, lo que lleva a la deserialización de objetos PHP.Se ha asignado el identificador CVE-2025-49113 para esta vulnerabilidad. Listado de referencias Roundcube ≤ 1.6.10 Post-Auth RCE Read More
Múltiples vulnerabilidades en TCMAN GIM Lun, 09/06/2025 - 12:05 Aviso Recursos Afectados GIM, version 11. Description INCIBE has coordinated the publication of 3 Medium severity vulnerabilities, que afectan a GIM de TCMAN, un software de gestión de mantenimiento. Las vulnerabilidades han sido descubiertas por Jorge Riopedre Vega.A estas vulnerabilidades se les ha asignado el siguiente código, CVSS Base Score v4.0, CVSS vector and CWE vulnerability type:CVE-2025-40668 a CVE-2025-40670: CVSS v4.0: 7.1 | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/YES:N/SA:N | CWE-863 Identificador INCIBE-2025-0300 3 - Media Solución Las vulnerabilidades han sido solucionadas por el equipo de TCMAN. El fabricante ha informado que las vulnerabilidades no se encuentran en la versión más actual de GIM Web versión 20250128. Detalle CVE-2025-40668: vulnerabilidad de autorización incorrecta en GIM v11 de TCMAN. Esta vulnerabilidad permite a un atacante, con bajo nivel de privilegios, cambiar la contraseña de Read More
Cisco ha publicado hotfixes para su Identity Services Engine (ISE) tras revelarse CVE-2025-20286, una vulnerabilidad de credenciales estáticas que afecta a implementaciones en la nube de AWS, Azure y Oracle Cloud Infrastructure y que ya cuenta con código de prueba de concepto. La entrada Cisco corrige vulnerabilidad crítica en ISE con PoC pública se publicó primero en Una Al Día. Read More
Varios complementos muy populares de Google Chrome ‒entre ellos SEMRush Rank, Browsec VPN, MSN New Tab, DualSafe Password Manager, AVG Online Security o Trust Wallet‒ exponen a sus usuarios a dos riesgos simultáneos: envían telemetría a través de HTTP sin cifrar y contienen credenciales duras en el propio JavaScript (API keys de GA4, Azure, AWS, Tenor o Ramp Network). La entrada Extensiones de Chrome filtran API keys y datos en texto plano se publicó primero en Una Al Día. Read More
Un investigador ha destapado un bug que llevaba una década escondido en Roundcube Webmail. El fallo (CVE-2025-49113, CVSS 9.9) permite que cualquier usuario autenticado tome el control total del servidor y ejecute código arbitrario. La solución llegó el 1 de junio con las versiones 1.6.11 and 1.5.10 LTS —pero mientras no se apliquen, miles de […] La entrada ¡Diez años a la sombra! Una vieja vulnerabilidad crítica en Roundcube permite ejecutar código tras autenticarse se publicó primero en Una Al Día. Read More
En un movimiento inusual de colaboración, Microsoft, CrowdStrike, Palo Alto Networks y Google han anunciado la creación de un glosario público para poner orden al caótico zoológico de alias con que la industria describe a los grupos de actores estatales y criminales. La iniciativa busca que, cuando un analista lea «Forest Blizzard» o «Fancy Bear», […] La entrada Microsoft, CrowdStrike, Google y Palo Alto presentan la “Piedra Rosetta” del ciberespionaje: un glosario para descifrar los alias de los grupos APT se publicó primero en Una Al Día. Read More
Dos fallos de condición de carrera descubiertos por Qualys en los manejadores de core dumps de Linux —apport en Ubuntu y systemd-coredump en Red Hat Enterprise Linux (RHEL) 9/10 y Fedora— han sido catalogados como CVE-2025-5054 y CVE-2025-4598. Un atacante local podía forzar el volcado de memoria de un programa SUID y, antes de que se restringieran los permisos del archivo, leer el contenido para extraer hashes de /etc/shadow, lo que abre la puerta a la elevación de privilegios tras su criptoanálisis. La entrada Nuevas vulnerabilidades en Linux permiten robar el hash de contraseñas desde core dumps se publicó primero en Una Al Día. Read More
Investigadores de Patchstack han revelado la CVE-2025-47577, un fallo de gravedad máxima (CVSS 10) en el plugin TI WooCommerce Wishlist, utilizado por más de 100 000 portales WordPress, que permite a un atacante no autenticado subir archivos arbitrarios y obtener ejecución remota de código (RCE). El problema se origina en la función tinvwl_upload_file_wc_fields_factory, que delega […] La entrada Una vulnerabilidad crítica en TI WooCommerce Wishlist expone más de 100 000 sitios WordPress se publicó primero en Una Al Día. Read More
Una investigación reciente ha revelado un fallo en el protocolo Transparent Network Substrate (TNS) de Oracle que permite a un atacante sin autenticar extraer fragmentos de memoria del sistema —incluyendo variables de entorno y datos de conexión— simplemente enviando una petición al listener de la base de datos. Oracle solucionó el problema en el Critical Patch Update (CPU) April 2025, pero aún se detectan servidores expuestos en Internet. La entrada Fuga de memoria en Oracle TNS deja al descubierto información sensible. was first published in Una Al Día. Read More
Una investigación reciente ha sacado a la luz un fallo de cross-site scripting (XSS) en Bitwarden (≤ v2.25.1) que permite a un atacante subir un PDF especialmente manipulado y ejecutar código en el navegador de cualquier usuario que lo abra. La empresa sigue sin responder, por lo que millones de bóvedas de contraseñas permanecen expuestas. La entrada Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs se publicó primero en Una Al Día. Read More
Mozilla ha publicado Firefox 138.0.4 (y las ESR 128.10.1 and 115.23.1) para corregir dos vulnerabilidades críticas que ya estaban siendo explotadas tras su demostración en el concurso Pwn2Own Berlin 2025. La actualización llega tan solo dos días después de la competición y es calificada como “crítica”. ¿Qué se ha corregido? CVE Componente Impacto Descubridores CVE-2025-4918 […] La entrada Firefox parchea dos zero-day explotados en Pwn2Own Berlin 2025 was first published in Una Al Día. Read More
SuperCard X: Android malware that uses NFC to steal credit cards 18/04/2025 Vie, 02/05/2025 - 11:05 In a recent report by Cleafy's Threat Intelligence team, a new malware variant known as SuperCard X has been discovered, which performs an attack on near-field communication (NFC) to execute unauthorized transactions on point-of-sale systems (POS) and ATMs. This malware is based on Android and has been identified as part of a fraud campaign targeting Italy.SuperCard X malware takes advantage of NFC technology, allowing the attacker to intercept and relay NFC communications from compromised devices. To do this,, the attacker tricks victims using social engineering tactics via SMS and phone calls into downloading a malicious application that captures the data of Read More
Data leak on Moroccan institutions increases political tensions with Algeria 09/04/2025 Thu, 24/04/2025 - 13:23 The 8 April 2025, the threat actor Jabaroot, published confidential data extracted from the National Social Security Treasury on BreachForums (CNSS) from Morocco. The filtered dataset includes more than 53.000 files containing detailed records of nearly half a million companies and nearly 2 million employees. The documents include data such as company affiliation, Employee ID Numbers, Salaries and contact information. In addition, Most of the data appears to have been exposed in clear text on compromised servers. According to statements made by actor Jabaroot, CNSS leak appears to be motivated as a political response. Jabaroot claims the attack was carried out in retaliation for an earlier attack Read More
Unauthorized access to emails from senior U.S. banking regulator officials USA. 08/04/2025 Sea, 22/04/2025 - 14:55 A group of hackers has accessed sensitive information after penetrating the email system used by the Office of the Comptroller of the Currency (OCC) from the United States. The OCC notified Tuesday 8 April to Congress a serious security incident that was first announced in February. This agency is an independent office within the Treasury Department that regulates all U.S. banks, federal savings associations and branches of foreign banks. The OCC found that unauthorized access to the emails of several of its executives and employees included highly sensitive information regarding the banking status of federally regulated financial institutions, used in your exams Read More
British postal service Royal Mail suffers data leak 02/04/2025 Wed, 16/04/2025 - 13:57 The 2 April 2025, the actor known as GHNA, has posted on the cybercriminal forum BreachForums 144 GB of data stolen from Royal Mail Group. Attached to the publication were 293 folders and 16.549 files to download for free. Among the data announced, Includes personal information of customers, Confidential documents, video recordings of internal Zoom meetings, Delivery Locations, Databases, mailing lists, among other sensitive information. The source of the leak was via the third-party service provider Spectos GmbH, Company dedicated to the monitoring and logistics of the postal service. As had happened with Samsung's leak of the 30 March, GHNA accessed Spectos' infrastructure using the stolen credentials Read More
Data Leakage with More Than 665.000 Medical studies in Argentina 04/04/2025 Sea, 15/04/2025 - 14:49 The cybercriminal group D0T, has released results of 665.128 Medical studies taken from the provider Medical Report, which they have contracted 30 Clinical, Sanatoriums and Hospitals in Argentina. The publication has been announced on cybercriminal forums dedicated to trading sensitive information and leaks. This incident has been detected on 4 by Birmingham Cyber Arms LTD, Dedicated platform in cybersecurity threat intelligence. Medical Report, is a developer of medical image storage and distribution systems, in addition to providing other medical management tools. The published studies correspond to different types of medical data ranging from X-ray images to, Ultrasound, Scans, to general analysis laboratory tests and specific tests, and even cases of Read More
Data leak at Samsung steals up 270.000 Records of your customers 30/03/2025 Thu, 10/04/2025 - 13:15 The 30 March 2025, the technology giant Samsung has been the victim of a leak of data from its customers. Among her, personal information has been identified such as names, postal and email addresses, and also transaction information, Order Numbers, Tracking URLs, support interactions and communication between customers and Samsung.The author of the GHNA leak, has published approximately 270.000 customer records allegedly stolen from Samsung Germany's support ticketing system. GHNA accessed the infrastructure of this system using credentials stolen from an employee in 2021, after being infected with the Racoon infostealer. The stolen account, belonged to the Spectos GmbH service of Samsung, which is used to monitor and improve the Read More
Dismantled a call center in Alicante that has been able to defraud more than 2 million euros 26/03/2025 Sea, 08/04/2025 - 15:58 The National Police has dismantled a call center in Alicante from where different types of fraud were carried out such as the extortion of the hitman and the scam of the son in distress. They have stopped 73 people who were part of the criminal organization, which acted as recruiters, Extractors, "mules" and "voices". In the police operation, a total of 22 simultaneous registrations in Valencia, Barcelona and Alicante, in which interventions have been carried out around 250.000 Euros, Firearms, machetes and the blocking of 129 Bank accounts, three homes and more than 20 vehicles. The agents found a call center that worked 24 hours a day located in a house in the town of Read More
Information leak at California Cryobank 14/03/2025 Thu, 03/04/2025 - 16:39 California Cryobank (CCB), large sperm donation company in the United States, has recently notified its customers that it has suffered a data breach that has exposed their personal information. California Cryobank detected evidence of suspicious activity on its network that had occurred on 20 April 2024 and isolated computers from the computer network. This incident was detected by the company itself on 4 October 2024. From there, An investigation was conducted in which it has been discovered that the attack exposed various personal data of thousands of customers, including names, Bank accounts and routing numbers, Social Security numbers, driver's license numbers, Payment card numbers and/or health insurance information. By Read More
Akira ransomware group bypasses EDR via webcam 05/03/2025 Thu, 27/03/2025 - 13:43 Cybersecurity firm S-RM has unveiled a new exploitation tactic used by hacker group Akira. Ransomware was implemented in it using a webcam, and bypassing the EDR protection system (Better known in the past as antivirus). The incident was analyzed by the company S-RM itself, while monitoring his client's private network, victim of this attack. In a first step, Akira had accessed the victim's server computer by exploiting the Windows Remote Desktop Service. Once access has been gained, a ZIP file containing the binary with the ransomware is downloaded. At that time, EDR deployed on the server detects the file download and quarantines Read More
Tarlogic Discovers Undocumented HCI Commands in Espressif's ESP32 Module 06/03/2025 Vie, 21/03/2025 - 12:19 Cybersecurity researchers from the company Tarlogic presented this past 6 at the RootedCON conference in Madrid, Your Bluetooth device auditing solution. In this context, Tarlogic has detected 29 Commands not documented by the manufacturer Espressif on the ESP32 module, A microcontroller that allows Wi-Fi and Bluetooth connection. The ESP32 is one of the most widely used models worldwide in IoT network environments (Internet of Things) and is present in millions of consumer devices. These types of manufacturer-specific commands, can be used to read/write RAM and flash, as well as to send some types of low-level packets that cannot normally be sent from the Host itself, due to the characteristics of Read More
