Un investigador ha destapado un bug que llevaba una década escondido en Roundcube Webmail. El fallo (CVE-2025-49113, CVSS 9.9) permite que cualquier usuario autenticado tome el control total del servidor y ejecute código arbitrario. La solución llegó el 1 de junio con las versiones 1.6.11 y 1.5.10 LTS —pero mientras no se apliquen, miles de instalaciones siguen … [Leer más...] acerca de ¡Diez años a la sombra! Una vieja vulnerabilidad crítica en Roundcube permite ejecutar código tras autenticarse
Microsoft, CrowdStrike, Google y Palo Alto presentan la “Piedra Rosetta” del ciberespionaje: un glosario para descifrar los alias de los grupos APT
En un movimiento inusual de colaboración, Microsoft, CrowdStrike, Palo Alto Networks y Google han anunciado la creación de un glosario público para poner orden al caótico zoológico de alias con que la industria describe a los grupos de actores estatales y criminales. La iniciativa busca que, cuando un analista lea «Forest Blizzard» o «Fancy Bear», sepa inmediatamente a qué … [Leer más...] acerca de Microsoft, CrowdStrike, Google y Palo Alto presentan la “Piedra Rosetta” del ciberespionaje: un glosario para descifrar los alias de los grupos APT
Una vulnerabilidad crítica en TI WooCommerce Wishlist expone más de 100 000 sitios WordPress
Investigadores de Patchstack han revelado la CVE-2025-47577, un fallo de gravedad máxima (CVSS 10) en el plugin TI WooCommerce Wishlist, utilizado por más de 100 000 portales WordPress, que permite a un atacante no autenticado subir archivos arbitrarios y obtener ejecución remota de código (RCE). El problema se origina en la función tinvwl_upload_file_wc_fields_factory, … [Leer más...] acerca de Una vulnerabilidad crítica en TI WooCommerce Wishlist expone más de 100 000 sitios WordPress
Firefox parchea dos zero-day explotados en Pwn2Own Berlin 2025
Mozilla ha publicado Firefox 138.0.4 (y las ESR 128.10.1 y 115.23.1) para corregir dos vulnerabilidades críticas que ya estaban siendo explotadas tras su demostración en el concurso Pwn2Own Berlin 2025. La actualización llega tan solo dos días después de la competición y es calificada como “crítica”. ¿Qué se ha … [Leer más...] acerca de Firefox parchea dos zero-day explotados en Pwn2Own Berlin 2025
Extensiones Chrome con doble funcionalidad: útiles en apariencia, malware en secreto
Investigadores de DomainTools han localizado más de un centenar de sitios web falsos que, desde febrero de 2024, distribuyen extensiones de Chrome aparentemente legítimas (IA generativa, VPN, analítica web, criptomonedas…) pero capaces de espiar y tomar control del navegador. A primera vista las extensiones cumplen, al menos parcialmente, lo prometido, pero en segundo … [Leer más...] acerca de Extensiones Chrome con doble funcionalidad: útiles en apariencia, malware en secreto