La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha incluido CVE-2025-5777, bautizada como CitrixBleed 2, en su catálogo de vulnerabilidades explotadas conocidas (KEV) y, de forma excepcional, exige a las agencias federales aplicar el parche en 24 horas. La razón: hay campañas activas que extraen tokens de sesión y credenciales de los dispositivos … [Leer más...] acerca de CISA enciende las alarmas: CitrixBleed 2 ya se explota para secuestrar sesiones en NetScaler ADC/Gateway
Artículos
Vulnerabilidad crítica en eSIMs de Kigen pone en riesgo a miles de millones de dispositivos IoT.
Nueva vulnerabilidad descubierta en las tarjetas eUICC de Kigen pone en riesgo a miles de millones de dispositivos IoT que utilizan tecnología eSIM, permitiendo posibles ataques maliciosos que comprometen la seguridad y privacidad de las comunicaciones móviles. ¿Qué es una eSIM y por qué es importante? La eSIM (SIM integrada) es una versión digital de la tradicional … [Leer más...] acerca de Vulnerabilidad crítica en eSIMs de Kigen pone en riesgo a miles de millones de dispositivos IoT.
Configuraciones inseguras de GitHub Actions ponen en riesgo proyectos open source
Investigación revela que múltiples repositorios muy populares, incluidos los de MITRE y Splunk, emplean configuraciones peligrosas en sus workflows de GitHub Actions, sobre todo al abusar del evento pull_request_target. Esta práctica concede a las pull requests de colaboradores externos acceso a los secretos del repositorio, lo que abre la puerta a ataques de cadena de … [Leer más...] acerca de Configuraciones inseguras de GitHub Actions ponen en riesgo proyectos open source
Cisco corrige vulnerabilidad crítica en ISE con PoC pública
Cisco ha publicado hotfixes para su Identity Services Engine (ISE) tras revelarse CVE-2025-20286, una vulnerabilidad de credenciales estáticas que afecta a implementaciones en la nube de AWS, Azure y Oracle Cloud Infrastructure y que ya cuenta con código de prueba de concepto. Cuando se despliega un nodo de Administración Primaria de ISE en la nube, el asistente de … [Leer más...] acerca de Cisco corrige vulnerabilidad crítica en ISE con PoC pública
Extensiones de Chrome filtran API keys y datos en texto plano
Varios complementos muy populares de Google Chrome ‒entre ellos SEMRush Rank, Browsec VPN, MSN New Tab, DualSafe Password Manager, AVG Online Security o Trust Wallet‒ exponen a sus usuarios a dos riesgos simultáneos: envían telemetría a través de HTTP sin cifrar y contienen credenciales duras en el propio JavaScript (API keys de GA4, Azure, AWS, Tenor o Ramp … [Leer más...] acerca de Extensiones de Chrome filtran API keys y datos en texto plano