Una campaña de cadena de suministro en npm comenzó el 15 de septiembre comprometiendo inicialmente más de 40 paquetes, entre ellos @ctrl/tinycolor, y se expandió en horas hasta afectar a cientos. El malware, apodado “Shai-Hulud”, se autopropaga entre paquetes de los mantenedores comprometidos para robar tokens y secretos de desarrolladores y CI/CD. La comunidad de … [Leer más...] acerca de Gusano “Shai-Hulud” compromete cientos de paquetes npm y roba credenciales
WinRAR corrige un 0-day explotado: actualiza a 7.13 cuanto antes
RARLAB ha publicado WinRAR 7.13 para solucionar CVE-2025-8088, una vulnerabilidad de path traversal que ya se está explotando en ataques reales. La vulnerabilidad permitiría ejecutar código al extraer archivos especialmente preparados, y está vinculada a campañas de phishing recientes. WinRAR, uno de los compresores más utilizados en Windows, ha corregido una … [Leer más...] acerca de WinRAR corrige un 0-day explotado: actualiza a 7.13 cuanto antes
Vulnerabilidad crítica en el gestor de arranque U-Boot de dispositivos embebidos.
Investigadores de NCC Group detectan dos vulnerabilidades, una de ellas crítica, en el algoritmo de desfragmentación IP implementado en U-Boot, que puede ser utilizado para comprometer dispositivos embebidos o causar denegación de servicio. U-Boot es un gestor de arranque (o bootloader) utilizado en sistemas embebidos basados en Linux, y se encarga del proceso de arranque … [Leer más...] acerca de Vulnerabilidad crítica en el gestor de arranque U-Boot de dispositivos embebidos.
Corregida vulnerabilidad crítica en GitLab
GitLab ha corregido recientemente una vulnerabilidad que, de ser explotada, podría permitir la toma de control de cuentas de usuario en la plataforma. Registrada como CVE-2022-1162, obtiene una puntuación de 9.1 en la escala CVSS. En versiones vulnerables, se establece una contraseña predecible al registrar una cuenta utilizando un proveedor de autenticación externo, como … [Leer más...] acerca de Corregida vulnerabilidad crítica en GitLab
Vulnerabilidad crítica en Sophos Firewall
La empresa de ciberseguridad Sophos ha emitido un comunicado en el que advierte de un grave fallo de seguridad en su firewall que está siendo explotado activamente. El fallo, registrado con el código CVE-2022-1040, tiene una calificación de 9,8 sobre 10 en el sistema CVSS y afecta a la versión 1.5 MR3 (18.5.3) y anteriores de Sophos Firewall. Se trata de una vulnerabilidad … [Leer más...] acerca de Vulnerabilidad crítica en Sophos Firewall