Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín Semanal de Ciberseguridad, 5 diciembre
Vulnerabilidad crítica de ejecución remota en React Server
Una vulnerabilidad de severidad máxima en React Server permite ejecución remota de código mediante una única petición HTTP, con fiabilidad cercana al 100% según Wiz.
El fallo, denominado CVE-2025-55182 (CVSSv3 10.0 según Facebook), es causado por deserialización insegura en el protocolo Flight de React Server Components, afecta a las versiones 19.0.1, 19.1.2 y 19.2.1. Diversos frameworks que integran React por defecto. incluidos Next.js, Vite RSC plugin, Parcel RSC plugin, React Router RSC preview, RedwoodSDK y Waku, también resultan vulnerables, incluso cuando las aplicaciones no usan explícitamente funcionalidades de React.
El vector es remoto y no autenticado, lo que permite a un atacante ejecutar JavaScript privilegiado en el servidor mediante payloads especialmente diseñados. GitHub y Google han publicado una POC de la explotación del fallo y más detalles sobre el mismo, respectivamente.
Se insta a administradores y desarrolladores a actualizar React y todas las dependencias afectadas, así como a revisar sus bases de código para identificar implementaciones vulnerables.
Posibles riesgos en auto-updater de Notepad++
El investigador Kevin Beaumont afirma que se ha detectado actividad sospechosa en un reducido número de usuarios de Notepad++. Beaumont describe un posible riesgo asociado al sistema de actualización automática (GUP/WinGUP): durante el proceso, si hay intervención de actores maliciosos, podría ejecutarse un binario no legítimo desde carpetas temporales, lo que podría comprometer la seguridad.
Aunque no hay evidencia de un ataque masivo, como medida preventiva, se recomienda asegurarse de usar la versión 8.8.8 o superior, descargar Notepad++ desde su sitio oficial, y, para entornos corporativos, considerar deshabilitar la actualización automática.
Google corrige múltiples fallos en Android y alerta sobre dos 0-day en explotación
Google publicó su boletín de seguridad mensual para Android, corrigiendo 107 vulnerabilidades, entre ellas dos 0-day que ya están siendo explotadas para acceder a información y escalar privilegios.
- El primero, CVE-2025-48633, permite que un atacante acceda a información que debería estar protegida, como datos internos del sistema, memoria o datos del usuario.
- El segundo 0-day, CVE-2025-48572, posibilita que un atacante obtenga permisos más altos de los que debería, pudiendo ejecutar acciones como si fuera un usuario con mayor autoridad o incluso con permisos del sistema.
La compañía también destacó CVE-2025-48631 como el fallo más crítico del mes, capaz de causar una denegación de servicio remota sin privilegios adicionales. El boletín incorpora dos niveles de parche (2025-12-01 y 2025-12-05) para facilitar la adaptación de los fabricantes, que lanzan las actualizaciones según sus propios calendarios.
Las correcciones abarcan fallos en el framework, sistema, kernel, y múltiples componentes de terceros, incluyendo Arm, Imagination Technologies, MediaTek, Unisoc y Qualcomm.
ShadyPanda: Operación de extensiones maliciosas con capacidades RCE
La firma Koi Security ha documentado una operación denominada ShadyPanda, activa desde 2018, que ha distribuido 145 extensiones para Chrome y Edge con más de 4,3 millones de instalaciones combinadas. Las extensiones evolucionaron desde funcionalidades legítimas hacia actividades maliciosas como fraude de afiliación, secuestro de búsquedas y exfiltración de cookies y consultas.
En 2024, varios complementos con buena reputación recibieron una actualización que incorporó un backdoor con capacidad de ejecución remota de código, descargando JavaScript arbitrario desde servidores controlados por el actor. El spyware asociado recopila historial de navegación, pulsaciones, clics, identificadores persistentes y datos de almacenamiento local, enviándolos a múltiples dominios alojados en China.
Aunque Google ha retirado las extensiones de su tienda, varias siguen activas en Microsoft Edge Add-ons, incluidas versiones con millones de instalaciones. Los investigadores advierten que el actor mantiene capacidad para activar nuevamente el backdoor mediante actualizaciones y recomiendan desinstalar inmediatamente los complementos afectados y restablecer credenciales.
Estudio revela que pedir ayuda a la IA en verso incrementa hasta seis veces la posibilidad de obtener respuestas peligrosas
Un equipo de investigadores de Icaro Lab, con participación de la Universidad Sapienza de Roma, ha demostrado que formular peticiones peligrosas a modelos de IA como un poema en lugar de prosa directa, técnica bautizada como poesía adversaria, puede anular sus mecanismos de seguridad.
En su estudio encontraron que, al convertir 1200 prompts maliciosos estándar en verso, la tasa de éxito en obtener respuestas inseguras pasó de un promedio del 8% en prosa a una media entre 43% y 62 % en verso. El experimento abarcó 25 modelos de IA de 9 proveedores distintos.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
