Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
1037
)
-
▼
junio
(Total:
133
)
-
El nuevo invento de China para espiar a sus enemig...
-
"¿Es esto real, Grok?": te explicamos por qué es m...
-
Añadir el parámetro &udm=? a las búsquedas de Goog...
-
Todo lo que ChatGPT sabe de ti, que puede resultar...
-
Trump Mobile elimina de su web la etiqueta de “hec...
-
Grave vulnerabilidad en WinRAR permite ejecución r...
-
Atacantes rusos eluden la doble autenticación de G...
-
Microsoft presenta Mu, un modelo de lenguaje peque...
-
AnduinOS se actualiza, así es la distro Linux que ...
-
Los Nothing Headphone (1) se filtran por completo:...
-
Disfruta de los clásicos de Nintendo NES en 3D con...
-
El Poco F7 llega con el nuevo chipset Snapdragon 8...
-
WhatsApp ya puede generar resúmenes de los mensaje...
-
Mejores apps de IA para Android
-
Miles de cámaras domésticas quedan expuestas en In...
-
Apple prepara los AirTag 2
-
Google ha presentado Gemini CLI, un agente de IA p...
-
Citrix publica parches de emergencia para vulnerab...
-
HDMI 2.2 ya es oficial junto con su nuevo cable Ul...
-
Melilla sufre un brutal ciberataque pese a estar e...
-
Identificado al líder del grupo de ransomware Cont...
-
En 1989 hackearon la NASA con un mensaje que sembr...
-
Bosch acusa a Europa de frenar el avance de la int...
-
29 moderadores de Meta en Barcelona denuncian tort...
-
El iPhone muestra anuncios no deseados: Apple Pay ...
-
Google presenta "Gemini Robotics On-Device", una I...
-
Comet, el nuevo navegador impulsado por IA de Perp...
-
Un conductor chino se queja de que se active conti...
-
Otra mega filtración (recopilación) con 16.000 mil...
-
Roban un camión con más de 2.810 consolas Nintendo...
-
Generar imágenes con ChatGPT directamente en WhatsApp
-
Midjourney V1 convierte imágenes en video en segundos
-
Mando de Xiaomi convierte tu móvil en una Nintendo...
-
EchoLeak: primera vulnerabilidad de IA sin clic qu...
-
Cobbler: Un servidor de instalación de Linux para ...
-
Vulnerabilidades en PAM y udisks de Linux permite ...
-
Veeam Backup soluciona una vulnerabilidad crítica
-
La Generalitat anuncia un plan de ciberprotección ...
-
Intel Nova Lake con a 52 núcleos, DDR5-8000 y 32 c...
-
Lenovo ThinkBook Plus Gen 6, primer portátil con p...
-
Adobe Firefly llega a móviles y reinventa la creat...
-
Meta está por anunciar sus próximas gafas intelige...
-
SEGA regala 9 juegos retro en móviles
-
La batería ultrarrápida que se carga en 18 segundo...
-
Así son las gafas inteligentes de Xiaomi
-
La Policía Nacional España detiene en Barcelona al...
-
Microsoft anuncia acuerdo con AMD para crear las n...
-
ClamAV: el antivirus open source para Linux
-
Irán prohíbe a altos cargos y agentes de seguridad...
-
Andalucía anuncia JuntaGPT: la IA llega a la admin...
-
China entrena su IA en maletas llenas de discos du...
-
LibreOffice señala los «costes reales» de la migra...
-
Donald Trump ha lanzado su propio smartphone Andro...
-
El Pentágono ficha a OpenAI por 200 millones para ...
-
Todo lo que deberías saber sobre las tarjetas gráf...
-
Securonis: Protección y anonimato en una distribuc...
-
Así es como el ego traicionó al indio que creó una...
-
WhatsApp añade anuncios en la función "Estados"
-
Kali Linux 2025.2
-
El Reino Unido pide a militares y políticos que ev...
-
Software espía Graphite se utiliza en ataques Zero...
-
Elitetorrent, Lateletetv, 1337x y más: todas las p...
-
Mattel y OpenAI preparan el primer juguete con int...
-
"The Grafana Ghost": vulnerabilidad que afecta al ...
-
NVIDIA lleva la optimización de Stable Diffusion a...
-
Bluetooth 6.0 mejora la experiencia con la norma i...
-
ChatGPT prioriza su supervivencia por encima de pr...
-
Vuelve la estafa del router: la Policía Nacional E...
-
Los SSDs PCIe 6.0 están a años vista: AMD e Intel ...
-
Disney y Universal demandan a Midjourney por crear...
-
El boom de la IA en atención al cliente se desinfl...
-
Alemania abandona Microsoft y anuncia que instalar...
-
Las 10 máquinas más poderosas del TOP500 de Superc...
-
Si te gustan los videojuegos de hospitales, Epic G...
-
Apple corrige una vulnerabilidad que permitía espi...
-
Windows 11 permite comprimir imágenes sin aplicaci...
-
OpenAI revela que los registros de ChatGPT se cons...
-
Windows Maintenance Tool: repara, limpia y mantien...
-
Rufus 4.8 mejora el rendimiento con las ISO de Win...
-
NVIDIA N1X: el chip ARM para PCs competirá con Int...
-
Google Beam, el dispositivo de videollamadas de Go...
-
WhiteRabbitNeo un LLM (un "ChatGPT") para hacking
-
OpenAI utilizará Google Cloud para la capacidad co...
-
Microsoft bloqueará archivos .library-ms y .search...
-
Por primera vez, un hombre con ELA ha conseguido h...
-
Descubren una vulnerabilidad crítica de Copilot qu...
-
Una ‘calcomanía’ creada con inteligencia artificia...
-
Una Atari 2600 gana al ajedrez a ChatGPT
-
Vulnerabilidades en Fortinet explotadas para infec...
-
Script PowerShell para restaurar la carpeta "inetp...
-
Nintendo Switch 2 vende 3,5 millones de unidades e...
-
ChatGPT sufre una caída a nivel mundial: la IA dej...
-
OpenAI anuncia su IA más poderosa e inteligente a ...
-
Magistral es el nuevo modelo de razonamiento de Mi...
-
OpenAI, Meta y Google pierden su talento en IA a f...
-
El teléfono móvil domina el tráfico web global con...
-
Apple ha demostrado que los modelos de razonamient...
-
Tu nombre, dirección y tarjeta: filtración de 7 mi...
-
Adiós a #SkinnyTok: TikTok prohíbe en España la te...
-
Apple presenta el nuevo diseño de software Liquid ...
-
-
▼
junio
(Total:
133
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Cuando compras un juego no te pertenece, solo compras una licencia para usarlo por un tiempo finito. Este es el modelo de negocio que defi... -
Apple ha tenido que despedirse de una pieza clave en uno de sus equipos en la lucha que mantienen las grandes empresas tecnológicas por co... -
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
Antigua vulnerabilidad crítica en el webmail Roundcube permite ejecutar código tras autenticarse
Un investigador ha destapado un bug que llevaba una década escondido en Roundcube Webmail. El fallo (CVE-2025-49113, CVSS 9.9) permite que cualquier usuario autenticado tome el control total del servidor y ejecute código arbitrario. La solución llegó el 1 de junio con las versiones 1.6.11 y 1.5.10 LTS —pero mientras no se apliquen, miles de instalaciones siguen expuestas.
Investigadores de ciberseguridad han revelado detalles de una falla de seguridad crítica en el software de correo web Roundcube, que ha pasado desapercibida durante una década y podría explotarse para controlar sistemas vulnerables y ejecutar código arbitrario.
La vulnerabilidad, identificada como CVE-2025-49113, tiene una puntuación CVSS de 9,9 sobre 10. Se ha descrito como un caso de ejecución remota de código mediante la deserialización de objetos PHP y luego de la autenticación del usuario. "Roundcube Webmail en versiones anteriores a la 1.5.10 y 1.6.x en versiones anteriores a la 1.6.11 permite la ejecución remota de código por parte de usuarios autenticados porque el parámetro _from de una URL no está validado en program/actions/settings/upload.php, lo que provoca la deserialización de objetos PHP".
La falla, que afecta a todas las versiones del software anteriores a la 1.6.10 inclusive, se ha solucionado en las versiones 1.6.11 y 1.5.10 LTS. Kirill Firsov, fundador y director ejecutivo de FearsOff, es reconocido por descubrir y reportar la falla. La empresa de ciberseguridad con sede en Dubái indicó en un breve aviso que publicó detalles técnicos adicionales y una prueba de concepto (PoC) en un video.
Las vulnerabilidades de seguridad previamente reveladas en Roundcube han sido un objetivo lucrativo para actores de amenazas estatales como APT28 y Winter Vivern. El año pasado, Positive Technologies reveló que atacantes no identificados intentaron explotar una falla de Roundcube (CVE-2024-37383) como parte de un ataque de phishing diseñado para robar credenciales de usuario.
Hace un par de semanas, ESET detectó que APT28 había aprovechado vulnerabilidades de secuencias de comandos entre sitios (XSS) en varios servidores de correo web como Roundcube, Horde, MDaemon y Zimbra para recopilar datos confidenciales de cuentas de correo electrónico específicas pertenecientes a entidades gubernamentales y empresas de defensa en Europa del Este.
Positive Technologies, en una publicación en X, afirmó haber logrado reproducir la vulnerabilidad CVE-2025-49113 e instó a los usuarios a actualizar a la última versión de Roundcube lo antes posible.
"Esta vulnerabilidad permite a los usuarios autenticados ejecutar comandos arbitrarios a través de la deserialización de objetos PHP", añadió la empresa rusa de ciberseguridad.
El problema reside en program/actions/settings/upload.php. Al subir ficheros de configuración, Roundcube acepta un parámetro oculto llamado _from. Durante el proceso no se valida su contenido y se pasa directamente a unserialize() de PHP. Eso abre la puerta a un ataque clásico de deserialización de objetos: el atacante fabrica un objeto con un método “mágico” (__wakeup, __destruct, etc.) que se disparará al deserializarse, permitiendo ejecutar comandos en el sistema operativo.
- Requisitos mínimos: basta con poseer una cuenta válida (o credenciales robadas) en Roundcube.
- Impacto: ejecución remota de código con los permisos del servidor web; desde ahí es trivial escalar privilegios o pivotar a otros sistemas.
- Alcance temporal: el código vulnerable existe desde al menos 2015, por lo que instalaciones legacy de Roundcube 1.0–1.6.10 son vulnerables.
- Mitigación: actualizar ya a 1.6.11
o 1.5.10 LTS y restringir el acceso administrativo. También se
recomienda revisar los logs en busca de llamadas sospechosas a
upload.php.
Más información:
- Critical 10-Year-Old Roundcube Webmail Bug Allows Authenticated Users Run Malicious Code – The Hacker News https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
- Security updates 1.6.11 and 1.5.10 released – Roundcube.net https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10
- CVE-2025-49113 – NIST NVD https://nvd.nist.gov/vuln/detail/CVE-2025-49113
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.