Avisos de Seguridad | Centro de Gestión de Incidentes Informáticos

Vulnerabilidad Crítica en MongoDB para Windows (CVE-2025-10491)

Vulnerabilidad crítica en MongoDB para Windows permite ejecución de código por DLL hijacking en versiones anteriores a 6.0.25, 7.0.21 y 8.0.5.

Bypass de Autenticación de Dos Factores en Zimbra Collaboration (CVE-2025-54391)

Se identificó una vulnerabilidad crítica en Zimbra Collaboration (ZCS) que permite a un atacante con credenciales válidas configurar un nuevo método de autenticación de dos factores (2FA) sin necesidad de validar el token existente, lo que posibilita eludir la protección 2FA y acceder sin autorización a cuentas protegidas.

Incidente de acceso y venta de documentación del CGII

El Centro de Gestión de Incidentes Informáticos les informa que actores maliciosos lograron acceder y descargar parcialmente documentación (archivos pdf, odt, ods, odp, csv y otros) del CGII almacenada en la nube NextCloud de AGETIC, entre la documentación a la venta están archivos de evaluaciones de seguridad informática y de Planes institucionales de seguridad de la información.

Vulnerabilidad “SessionReaper” en Adobe Commerce / Magento (Improper Input Validation) - CVE-2025-54236.

Una vulnerabilidad en Adobe Commerce y Magento Open Source permite a atacantes tomar control de sesiones de clientes sin interacción del usuario.

Desbordamiento de búfer en la función of_modalias() del módulo “of” del kernel de Linux. (CVE-2024-38541)

Error en of_modalias() de Linux permite desbordamiento/lectura fuera de búfer (len negativo) y puede llevar a corrupción de memoria o ejecución remota.

Vulnerabilidad Crítica en MongoDB para Windows (CVE-2025-10491)

Una vulnerabilidad crítica en MongoDB para Windows permite a un atacante local ejecutar código mediante DLL hijacking si las ACLs de instalación no están correctamente configuradas. Afecta a versiones anteriores a 6.0.25, 7.0.21 y 8.0.5.

Use-After-Free” en ServiceWorker de Google Chrome para Escritorio. (CVE-2025-10200)

Una vulnerabilidad crítica en el componente ServiceWorker de Google Chrome para escritorio (en versiones anteriores a la 140.0.7339.127) permite que un atacante, a través de una página web diseñada con fines maliciosos, provoque errores en la memoria del navegador y los utilice para realizar acciones dañinas en el sistema.

Vulnerabilidad de autorización faltante en el instalador de Zoom Workplace para Windows on ARM (CVE-2025-49459).

Se ha identificado una vulnerabilidad en Zoom Workplace para Windows en arquitectura ARM (versiones anteriores a la 6.5.0), en la que el instalador carece de comprobaciones de autorización adecuadas. Un usuario autenticado con privilegios bajos podría aprovechar esta falla para elevar privilegios a nivel local.

Error de gestión de memoria en el driver peak_usb (CAN-USB) del kernel de Linux (CVE-2021-47670)

Se identificó una vulnerabilidad de use-after-free en el controlador peak_usb del kernel de Linux, que permite a un usuario local provocar corrupción de memoria y comprometer la seguridad del sistema.

Vulnerabilidad en productos Apache - CVE-2025-54813

Vulnerabilidad en Apache en el framework Log4cxx al usar JSONLayout donde ciertos bytes de la entrada no se generan correctamente al generar registros. Esto puede hacer que aplicaciones que consumen estos logs no interpreten la información adecuadamente. Afecta a las versiones anteriores a la 1.5.0.

¡Reportar Incidente!

Inicio de sesión

Reinicializar su contraseña