Gestión incorrecta de zlib comprimidos en MongoDB Mar, 30/12/2025 - 12:07 Aviso Recursos Afectados Este problema afecta a las versiones de MongoDB:MongoDB 8.2.0 自 8.2.2;MongoDB 8.0.0 自 8.0.16;MongoDB 7.0.0 自 7.0.26;MongoDB 6.0.0 自 6.0.26;MongoDB 5.0.0 自 5.0.31;MongoDB 4.4.0 自 4.4.29;MongoDB Server v4.2, 所有版本;MongoDB Server v4.0, 所有版本;MongoDB Server v3.6, 所有版本. Descripción MongoDB ha reportado 1 vulnerabilidad de severidad alta que, en caso de ser explotada, podría permitir a un atacante remoto leer datos confidenciales de la memoria del servidor MongoDB sin necesidad de estar autenticado. Identificador INCIBE-2025-0735 4 - Alta Solución Se recomienda encarecidamente actualizar una de las siguientes versiones:MongoDB 8.2.3;MongoDB 8.0.17;MongoDB 7.0.28;MongoDB 6.0.27;MongoDB 5.0.32;MongoDB 4.4.30.Si no puede actualizar su producto inmediatamente, deshabilite la comprensión zlib en el servidor MongoDB. Para hacerlo, inicia mongod o mongos usando la opción 'networkMessageCompressors' o 'net.compression.compressors', especificando que se Leer Más

Múltiples vulnerabilidades en VMware Tanzu Lun, 29/12/2025 - 12:14 Aviso Recursos Afectados VMware Tanzu Data Intelligence;VMware Tanzu Data Suite;VMware Tanzu Greenplum;Tanzu Kubernetes Runtime;VMware Tanzu Application Service;VMware Tanzu Kubernetes Grid Integrated Edition;VMware Tanzu Platform;VMware Tanzu Platform - 云铸造;VMware Tanzu Platform Core;VMware Tanzu Platform - Kubernetes （简体中文）;VMware Tanzu Platform - SM;VMware Tanzu Data Services;VMware Tanzu for Postgres;VMware Tanzu Platform Data;VMware Tanzu SQL;VMware Tanzu Data Services Pack;VMware Tanzu Gemfire;App Suite;RabbitMQ;Services Suite;VMware Tanzu RabbitMQ. Descripción Broadcom ha publicado en los últimos días 96 avisos de seguridad, 19 de ellos con alguna vulnerabilidad crítica que afecta a VMware Tanzu. En estos 19 avisos se resuelven 4.443 漏洞, 38 críticas, 962 高, 3.184 长袜和 259 bajas. Identificador INCIBE-2026-0734 5 - Crítica Solución Actualizar a la última versión. Detalle Las vulnerabilidades de severidad crítica están relacionadas con:Gestión incorrecta del búfer: CVE-2015-8863, CVE-2021-38297, CVE-2023-52735 y CVE-2024-38541;Problemas con Leer Más

Falta de autenticación en una función crítica en Media Player MP-01 de Sharp Display Solutions Vie, 26/12/2025 - 10:32 Aviso Recursos Afectados Todas las versiones del producto Media Player MP-01 están afectadas. Descripción Mr. Souvik Kandar de MicroSec ha reportado 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante ejecutar comandos o programas arbitrarios y entregar sin autorización contenido arbitrario desde el software de creación. Identificador INCIBE-2025-0732 5 - Crítica Solución Los productos afectados no tienen actualización ya que se encuentran fuera de soporte. El fabricante recomienda utilizar únicamente el producto en una intranet segura protegida por un firewall y no conectar el producto a Internet. Detalle CVE-2025-12049: vulnerabilidad de falta de autenticación para funciones críticas en todas las versiones de Player MP-01 podría permitir a un atacante acceder a la interfaz web Leer Más

NVIDIA Isaac Launchable 中的多个漏洞（旧版本）, 26/12/2025 - 10:02 受影响资源通知：适用于所有平台及早期版本的 Isaac Launchable 1.1. 描述 Daniel Teixeira, 来自 NVIDIA AI 红队团队, 已经发现 3 vulnerabilidades de severidad crítica que, 在利用的情况下, podrían permitir la ejecución de código, escalada de privilegios, denegación de servicio, revelación de información y la manipulación de datos. Identificador INCIBE-2025-0731 5 - 关键 修复措施 将产品更新到版本 1.1. Detalle CVE-2025-33222: vulnerabilidad sobre el uso de credenciales codificadas almacenadas en el código que podrían ser explotadas por un atacante.CVE-2025-33223 y CVE-2025-33224: vulnerabilidad que podría permitir a un atacante ejecutar comandos sin los privilegios necesarios. Listado de referencias NVIDIA - Security Bulletin: NVIDIA Isaac Launchable - 十二月 2025 Etiquetas Actualización Datos Denegación de servicio - Leer Más

Top 7 ciberincidentes durante el año 2025 23/12/2025 伦, 22/12/2025 - 14:39 En el año 2025, se han llevado a cabo algunos de los ataques cibernéticos más importantes y conocidos de la historia reciente, que han tenido un impacto en servicios digitales usados por millones de individuos alrededor del mundo. Las repercusiones han tenido mayor importancia en áreas como el comercio electrónico, la administración de datos personales, las criptomonedas, etc.El top 7 de este año ha sido:Plataformas financieras y criptomonedasBybit, fue víctima del ataque más serio en 2025. Los atacantes consiguieron eludir los sistemas de firma de carteras digitales en febrero, lo cual posibilitó que sustrajeran más de 1.400 价值百万美元的以太坊. El suceso tuvo un impacto directo en los inversores y en el mercado global.Comercio electrónico y plataformas digitalesEn el ámbito del comercio electrónico, Coupang fue el Leer Más

Entre el 17 和 18 十二月 2025, Cisco Talos y varios CERTs han alertado sobre una campaña de explotación activa contra appliances de Cisco Secure Email Gateway y Cisco Secure Email and Web Manager que ejecutan AsyncOS. 漏洞, CVE-2025-20393 (CVSS 公司 10.0), permite a un atacante remoto ejecutar comandos como root en […] La entrada CVE-2025-20393: explotación activa en Cisco AsyncOS permite ejecutar comandos con privilegios root se publicó primero en Una Al Día. Leer Más

[更新 22/12/2025] Escritura fuera de límites en WatchGuard Firebox de WatchGuard Vie, 19/12/2025 - 10:51 Aviso Recursos Afectados Las siguientes versiones están afectadas:Fireware OS 11.10.2 hasta 11.12.4_Update1 inclusive;Fireware OS 12.0 直到 12.11.5 inclusive;Fireware OS 2025.1 直到 2025.1.3 inclusive. Descripción WatchGuard ha reportado 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante remoto no autenticado ejecutar código arbitrario. Identificador INCIBE-2025-0727 5 - Crítica Solución Se recomienda actualizar a la última versión de las versiones:Fireware OS 2025.1.4.Fireware OS 12.11.6.Fireware OS 12.5.15.Fireware OS 12.3.1_Actualización4 (B728352). Detalle CVE-2025-14733: vulnerabilidad sobre la escritura fuera de límites en el proceso iked del sistema operativo Fireware de WatchGuard que, en caso de ser explotada, podría permitir a un atacante remoto no autenticado ejecutar código arbitrario. Esta vulnerabilidad tiene impacto en la VPN de sucursal que emplea IKEv2 y también en la Leer Más

smallstep 的 Step-CA 证书签名认证绕过 周, 18/12/2025 - 10:30 Aviso Recursos Afectados smallstep Step-CA 0.28.4;smallstep Step-CA v0.28.3. Descripción Stephen Kubik, del Grupo de Iniciativas de Seguridad Avanzada de Cisco (ASIG), ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante omitir las comprobaciones de autorización. Identificador INCIBE-2025-0719 5 - Crítica Solución Actualizar a la versión v0.29.0 o más reciente. Detalle CVE-2025-44005: vulnerabilidad debida a que los tokens que especifican un aprovisionador ACME son aceptados por endpoints no ACME. 例如, el /signendpoint utiliza el método de aprovisionadores AuthorizeSign para validar el token proporcionado. Un atacante puede eludir las comprobaciones de autorización y obligar a un aprovisionador ACME o SCEP de Step CA a crear certificados sin completar determinadas comprobaciones de autorización de protocolo. Listado de referencias smallstep Step-CA Certificate Signing Leer Más

Mejoras en la seguridad digital de la Fundación de la Universidad Autónoma de Madrid tras un ciberataque. 18/12/2025 结婚, 17/12/2025 - 12:41 这 17 十月 2025, la Fundación de la Universidad Autónoma de Madrid (FUAM) fue víctima de un ciberataque que afectó la seguridad de sus sistemas informáticos. Este ataque fue detectado y confirmado por la institución poco después de que ocurriera, lo que llevó a tomar medidas inmediatas para proteger la información sensible de los usuarios y restablecer la normalidad en sus servicios digitales. La FUAM notificó públicamente el incidente y destacó que estaba trabajando con las autoridades competentes para esclarecer los hechos y garantizar la seguridad de los afectados.El ataque informático comprometió la base de datos de la Fundación, 这危及了与其平台互动的用户隐私, 包括那些 Leer Más

Se han identificado múltiples vulnerabilidades de seguridad en la plataforma de centralita privada (PBX) de código abierto FreePBX, entre las que destaca una falla crítica que, bajo determinadas configuraciones, podría permitir la elusión de los mecanismos de autenticación. Las vulnerabilidades fueron descubiertas por la firma de investigación Horizon3.ai y notificadas a los encargados del proyecto […] La entrada FreePBX corrige vulnerabilidades críticas que permiten el bypass de autenticación y la ejecución remota de código se publicó primero en Una Al Día. Leer Más

漏洞, registrada como Issue 466192044, 在谷歌加快补丁部署、各安全团队优先应用时，该漏洞仍处于受限披露状态. 谷歌在检测到一个已被积极利用的高严重性零日漏洞后，为 Chrome 发布了紧急安全更新. 修复 […] 文章《Google 修补 Chrome 中的新关键 0-day 漏洞，正值利用活动高峰期》首次发表于《Una Al Día》. Leer Más

La seguridad en los servicios de Inteligencia Artificial de Google vuelve a estar en el punto de mira tras la identificación de GeminiJack, una vulnerabilidad crítica que afecta a sus plataformas empresariales. El fallo permite la exfiltración silenciosa de datos sensibles, sin necesidad de ninguna interacción por parte del usuario, y pone de relieve los […] La entrada GeminiJack: vulnerabilidad en Google Gemini y Vertex AI permite robo de datos sin interacción se publicó primero en Una Al Día. Leer Más

Anthropic 的 Claude 由于其早期检测能力阻止了首次代理网络攻击 09/12/2025 海, 09/12/2025 - 15:29 在九月中旬 2025, Anthropic, 开发人工智能Claude的公司, 在其平台上发现了异常活动，随后确认这是由人工智能自身执行的网络攻击. 这一事件是首例有记录的人工智能模型被促使几乎自主地执行网络间谍任务的案例. 该公司警告了此次行动的复杂性，并强调了在未来防止恶意使用时加强人工智能系统安全的重要性。Anthropic的内部调查认为，一支由中国国家支持的团队是该次攻击的幕后原因, 大约针对 30 国际目标, 其中包括 Leer Más

Hackeo y resurrección digital de un juguete Furby en GitHub Universe 2025 04/12/2025 周四, 04/12/2025 - 09:12 Durante el segundo semestre de 2025, coincidiendo con la celebración del congreso tecnológico GitHub Universe, se hizo público un experimento que atrajo la atención tanto de la comunidad tecnológica como de los medios generalistas: la reprogramación de un Furby Connect, un juguete electrónico de Hasbro originalmente lanzado en 2016. El responsable del proyecto fue Martin Woodward, directivo de GitHub, quien documentó el proceso en su blog personal en octubre del mismo año. Woodward recuperó un Furby antiguo cuyo software original había quedado abandonado y, mediante herramientas de asistencia por IA, como GitHub Copilot, reescribió el protocolo Bluetooth que controlaba al juguete, creando una librería moderna llamada PyFluff. Esto permitió habilitar funciones avanzadas: control de luces, movimientos, expresiones faciales en la pantalla LCD, ejecución de Leer Más

对法国射击联合会的入侵快速检测 27/11/2025 周四, 27/11/2025 - 10:35 这 20 十月 2025, 法国射击联合会 (Fédération Française de Tir, FFTir) 检测到影响其 ITAC 信息系统的网络安全事件. 入侵可能发生在 18 和 20 十月, 但该组织直到数天后才发布正式声明, 确认攻击性质后. Esta situación despertó rápidamente preocupación, dado el tamaño de la federación y la sensibilidad de los datos involucrados. El ataque consistió en un acceso no autorizado que permitió a los atacantes extraer información personal de tiradores deportivos, cazadores y personas con licencia de armas registradas en la FFTir. Entre los datos potencialmente comprometidos figuran nombres, 姓氏, fecha y ciudad de nacimiento, y direcciones de correo Leer Más