Dos fallos de divulgación de información descubiertos por Qualys en los manejadores de core dumps de Linux —apport en Ubuntu y systemd-coredump en Red Hat Enterprise Linux (RHEL) 9/10 y Fedora— han sido catalogados como CVE-2025-5054 y CVE-2025-4598. Un atacante local podía forzar el volcado de memoria de un programa SUID y, antes de que se restringieran los permisos del … [Leer más...] acerca de Nuevas vulnerabilidades en Linux permiten robar el hash de contraseñas desde core dumps
Artículos
Fuga de memoria en Oracle TNS deja al descubierto información sensible.
Una investigación reciente ha revelado un fallo en el protocolo Transparent Network Substrate (TNS) de Oracle que permite a un atacante sin autenticar extraer fragmentos de memoria del sistema —incluyendo variables de entorno y datos de conexión— simplemente enviando una petición al listener de la base de datos. Oracle solucionó el problema en el Critical Patch Update (CPU) de … [Leer más...] acerca de Fuga de memoria en Oracle TNS deja al descubierto información sensible.
Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs
Una investigación reciente ha sacado a la luz un fallo de cross-site scripting (XSS) en Bitwarden (≤ v2.25.1) que permite a un atacante subir un PDF especialmente manipulado y ejecutar código en el navegador de cualquier usuario que lo abra. La empresa sigue sin responder, por lo que millones de bóvedas de contraseñas permanecen expuestas. ¿Dónde está el problema? El … [Leer más...] acerca de Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs
Chrome bajo ataque: vulnerabilidad crítica CVE-2025-4664
Google publicó una actualización de seguridad para mitigar una vulnerabilidad de alta severidad en su navegador Chrome, identificada como CVE-2025-4664. Esta falla ya está siendo activamente explotada, según ha confirmado la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) al incluirla en su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV). La … [Leer más...] acerca de Chrome bajo ataque: vulnerabilidad crítica CVE-2025-4664
GitLab parchea vulnerabilidad en su asistente Duo que permitía robo de código (CVE-2025-2867)
GitLab ha distribuido parches de emergencia —17.10.1, 17.9.3 y 17.8.6— para mitigar la vulnerabilidad CVE-2025-2867, una indirect prompt injection que afectaba a su asistente de IA GitLab Duo y que ya había sido demostrada públicamente por Legit Security. ¿En qué consistía el fallo? La debilidad permitía inyectar instrucciones ocultas —comentarios blancos, texto … [Leer más...] acerca de GitLab parchea vulnerabilidad en su asistente Duo que permitía robo de código (CVE-2025-2867)