Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
905
)
-
▼
mayo
(Total:
219
)
-
DeepSeek vuelve a actualizar R1: su IA rinde como ...
-
Perplexity Labs es una herramienta de IA que puede...
-
Noctua y sus avances en su sistema de refrigeració...
-
Valyrio, el youtuber detenido junto al ex número d...
-
Sistema operativo open source prplOS para routers ...
-
Alcasec detenido por octava vez en la operación Bo...
-
Grok, la IA de Elon Musk, se integra en Telegram
-
Alguien estaba tan cansado de la lentitud de Windo...
-
Así nació la telefonía en España: la historia de c...
-
Claude 4 añade a su inteligencia artificial los me...
-
Bitwarden expone a sus usuarios a JavaScript malic...
-
Microsoft implementa criptografía postcuántica en ...
-
Google dice que el cifrado RSA de 2.048 bits es un...
-
Opera Neon, el primer servicio de IA que es capaz ...
-
Detectar malware mediante inteligencia artificial
-
WhatsApp llega finalmente al iPad tras 15 años de ...
-
Vulnerabilidad Zero-Day en SMB del kernel de Linux...
-
Intel pilla a una empleada que había estafado casi...
-
Módulos SFP y QSFP: Tipos, Usos y Comparativas
-
Detenido el ex secretario de Estado de Interior de...
-
Robados los datos de 5,1 millones de clientes de A...
-
China lanza al espacio un enjambre de supercomputa...
-
Telefónica apaga sus últimas centralitas de cobre ...
-
Suecia castigará con cárcel a quienes paguen por c...
-
Robots humanoides peleando en un ring: China celeb...
-
Cómo optimizar y personalizar Windows con RyTuneX
-
SteamOS estrena soporte para máquinas de terceros
-
Apple prepara cambios importantes para el iPhone
-
La CIA usó una increíble web de Star Wars para esp...
-
SteamOS saca las vergüenzas a Windows en consolas ...
-
URLCheck analiza los enlaces en Android
-
Donald Trump amenaza con imponer más aranceles al ...
-
NotebookLM: qué es, cómo funciona y cómo usar la I...
-
Careto, un grupo de hackers cuyos ataques "son una...
-
Claude Opus 4, la nueva IA de Anthropic, fue capaz...
-
Signal se blinda contra Microsoft Recall con una f...
-
El Deportivo de la Coruña sufre un ciberataque que...
-
Xiaomi presenta Xring O1, su primer chip de gama a...
-
El escándalo por el hackeo al Ejército Argentino s...
-
Expertos aseguran que el WiFi mundial empeorará en...
-
OpenAI compra io, la misteriosa empresa de intelig...
-
¿Para qué sirven los dos agujeros cuadrados del co...
-
Anthropic presenta Claude 4 Sonnet y Opus
-
Filtradas 184 millones de contraseñas de Apple, Gm...
-
ChatGPT desespera a los programadores: 5 años estu...
-
BadSuccessor: escalada de privilegios abusando de ...
-
Ciudad Real, cuna de los mejores hackers éticos
-
Veo 3 es la nueva IA generativa de vídeo de Google
-
Declaran culpable al joven de 19 años por la mayor...
-
GitHub Copilot no solo escribe código: ahora escri...
-
Usuario lleva 8 años suministrando energía a su ca...
-
Google lanza AI Ultra: su suscripción de 250$ al m...
-
Cómo configurar llamadas Wi-Fi en iOS y Android
-
Google Meet puede traducir entre idiomas en tiempo...
-
AMD presenta FSR Redstone, una evolución que añade...
-
Análisis de amenazas más relevantes observadas dur...
-
Desarticulado el malware Lumma responsable de infe...
-
Google Video Overviews convierte tus documentos en...
-
Filtran 500 mil contraseñas de mexicanos y exponen...
-
Jean E. Sammet: la pionera del lenguaje de program...
-
El nuevo buscador de Google con IA para responder ...
-
Google presenta Android XR: su sistema con IA para...
-
Google SynthID Detector, una herramienta que ident...
-
Google permite probarte cualquier ropa de internet...
-
Meta paga 50 euros la hora a cambio de realizar es...
-
Intel presenta sus tarjetas gráficas Arc Pro B50 y...
-
En España los trabajadores del SEPE se desesperan ...
-
Microsoft lanza una nueva app de Copilot para crea...
-
Windows será controlado por agentes de IA
-
Ejecución sin archivos: cargadores HTA y PowerShel...
-
Versiones troyanizadas de KeePass
-
Mystical: un «lenguaje de programación» donde el c...
-
Llegan los robotaxis a Europa
-
AWS lanza una herramienta de IA para que los fans ...
-
Microsoft quiere una red agéntica abierta donde lo...
-
Microsoft hace el Subsistema de Windows para Linux...
-
El Proyecto zVault es un nuevo sistema Operativo c...
-
La UE presenta Open Web Search
-
CynGo, el Duolingo para aprender ciberseguridad de...
-
Cómo unos asaltadores de casinos han provocado el ...
-
Cómo fusionar particiones de disco en Windows
-
Fortnite para iOS deja de estar disponible en la U...
-
Mejores Bots de Telegram
-
La increíble historia del virus Stuxnet
-
Le pide a ChatGPT que le lea la mano y la IA detec...
-
Consejos del FBI para detectar el Phishing y Deep ...
-
Adiós al SEO, su sustituto se llama AEO: manipular...
-
Profesores universitarios recurren a ChatGPT para ...
-
La IA ha conseguido que Stack Overflow, el Santo G...
-
Tor Oniux, una herramienta que aísla aplicaciones ...
-
RootedCON lleva al Tribunal Constitucional los blo...
-
Hackeo a Coinbase: los atacantes se cuelan en las ...
-
El CEO de Cloudflare advierte que la IA y el inter...
-
Los nuevos grandes modelos de IA generativa se ret...
-
El Museo de Historia de la Computación, paraíso de...
-
Científicos españoles recrean corazones de gatos e...
-
Probar distros Linux en el navegador sin instalar ...
-
Trump le reclama a Tim Cook que deje de fabricar e...
-
YouTube usará Gemini para insertar anuncios imposi...
-
Nothing confirma su primer móvil de gama alta: cos...
-
-
▼
mayo
(Total:
219
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Kaspersky ha detectado la filtración de más de 7 millones de cuentas de servicios de 'streaming' en todo el mundo, de las cuales c... -
ChatGPT, ese símbolo del avance tecnológico con voz sedosa y respuestas a medida, ha sido aplastado por una consola Atari 2600 de 1977 corri... -
Investigadores de la empresa Aim Security descubrieron una vulnerabilidad crítica en Microsoft 365 Copilot que permitía robar información...
Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs
Una investigación reciente ha sacado a la luz un fallo de cross-site scripting (XSS) en Bitwarden (≤ v2.25.1) que permite a un atacante subir un PDF especialmente manipulado y ejecutar código en el navegador de cualquier usuario que lo abra. La empresa sigue sin responder, por lo que millones de bóvedas de contraseñas permanecen expuestas.
%20(1).jpg)
¿Dónde está el problema?
El error, catalogado como CVE-2025-5138, reside en el PDF File Handler empleado por la función Resources de Bitwarden. El backend acepta cualquier tipo de archivo y, cuando el PDF se muestra en el navegador, el JavaScript embebido se ejecuta dentro del contexto de la aplicación. El vector requiere que el atacante disponga de una cuenta (aunque sea de bajo privilegio) y que la víctima visualice el documento, pero aun así basta para robar tokens de sesión o realizar acciones en nombre del usuario. La puntuación CVSS 3.1 provisional es 3,5 (PR:L, UI:R, I:L).
Demostración práctica
El investigador YZS17 ha publicado un proof-of-concept en GitHub. El ataque consiste en:
- Crear un proyecto dentro de Bitwarden.
- Subir el PDF malicioso.
- Esperar a que otro usuario lo abra en Chrome o un visor compatible; el código se dispara automáticamente.
Riesgos y mitigaciones
- Impacto: secuestro de sesión, robo de credenciales e instrucciones arbitrarias dentro de la bóveda.
- Sin parche oficial: Bitwarden no ha confirmado ni corregido el fallo.
- Recomendación inmediata: evitar abrir PDFs dentro
de la plataforma, aplicar políticas estrictas de subida de ficheros o,
si es posible, deshabilitar temporalmente la característica de adjuntos.
Para entornos corporativos se aconseja evaluar gestores alternativos
hasta que exista una actualización.
Mitigación
A pesar de que los investigadores contactaron con Bitwarden en las primeras etapas del proceso de divulgación, la empresa no ha reconocido ni respondido al informe de vulnerabilidad.
Esta falta de comunicación genera inquietud sobre los procedimientos de respuesta a incidentes de Bitwarden, especialmente dada la reputación de la empresa por sus sólidas prácticas de seguridad, descritas en su informe técnico de seguridad.
Actualmente, Bitwarden no ha publicado parches ni contramedidas oficiales. Los expertos en seguridad recomiendan que las organizaciones que utilizan versiones afectadas consideren reemplazar Bitwarden con soluciones alternativas de gestión de contraseñas hasta que haya una solución disponible.
Los usuarios deben extremar la precaución al abrir archivos PDF adjuntos en sus bóvedas de Bitwarden y evitar hacer clic en archivos PDF desconocidos compartidos en la plataforma.
El descubrimiento de la vulnerabilidad pone de manifiesto preocupaciones de seguridad más amplias con respecto al manejo de archivos PDF en aplicaciones web, ya que se han identificado fallos de inyección similares en bibliotecas de PDF populares como PDF-Lib y jsPDF.
Las organizaciones deben implementar una validación estricta de la carga de archivos, políticas de seguridad de contenido y evaluaciones de seguridad periódicas para evitar que estas vulnerabilidades comprometan su infraestructura de gestión de contraseñas.
Respuesta de Bitwarden
Según la respuesta de Bitwarden a GBHackers News, "La versión 2.25.1 del almacén web se lanzó en enero de 2022. El exploit mencionado con los PDF en este informe ya no es un problema, ya que Bitwarden ahora obliga a descargar los PDF en lugar de mostrarlos en el navegador".
Más información:
- CyberSecurity News https://cybersecuritynews.com/bitwarden-pdf-file-handler-vulnerability/
- PoC de YZS17 en GitHub https://github.com/YZS17/CVE/blob/main/PDF%20XSS%20vulnerability%20in%20file%20upload%20function%20of%20%20Bitwarden.md
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.