Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
2103
)
-
▼
septiembre
(Total:
148
)
-
Jaguar Land Rover sigue en crisis por un ciberataq...
-
Electronic Arts acuerda su venta a un consorcio de...
-
Samsung presenta en China un SSD de 256 TB PCIe 6.0
-
Dos adolescentes holandeses detenidos por intentar...
-
Características de nuevo ransomware LockBit 5.0 pa...
-
Vulnerabilidad de secuestro de DLL de Notepad++
-
Brave mejora su función de búsqueda con IA
-
Facebook presenta Fan Hub y nuevas funciones para ...
-
La mayor cervecera de Japón suspende sus operacion...
-
El curioso caso de los SSD que fallan a los 3 años...
-
Amazon indemnizará con 1.300 millones de euros a l...
-
Nextcloud Hub 25 Autumn: novedades, nueva nomencla...
-
Claude Sonnet 4.5 es probablemente el “mejor model...
-
Gemini se actualiza y ahora es más inteligente y r...
-
xAI carga otra vez contra OpenAI, ahora por supues...
-
Europa prepara una multa contra Meta por su forma ...
-
La app para iPhone Neon te paga por grabar tus lla...
-
Google revoluciona las búsquedas y lanza el Modo I...
-
La UE da pasos para restringir la edad de acceso a...
-
¿Qué es el Thermal Throttling?
-
TDP en CPU, conoce el valor que siempre se confund...
-
Logitech presenta un teclado que nunca tendrás que...
-
Rate Limit con NGINX
-
Qwen3-Max: la IA más avanzada de China con 1 billó...
-
Una pareja de jubilados pierde 290.000 euros, todo...
-
Estados Unidos desmantela una amenaza a las teleco...
-
Cloudflare recibe el mayor ataque DDoS registrado:...
-
Ya puedes traducir mensajes de WhatsApp sin salir ...
-
Kali Linux 2025.3 llega con Nexmon y 10 nuevas her...
-
Claude, la IA de Anthropic, se une Microsoft 365 C...
-
LinkedIn utilizará tus datos y perfil para aliment...
-
Qwen3-Omni, la IA open source de Alibaba
-
Compra una NVIDIA RTX 5080 en Amazon y recibe un l...
-
La última de DOOM es hacerlo funcionar en la panta...
-
La Casa Blanca confirma que Oracle se encargará de...
-
Dazn pide "la misma concienciación" con la pirater...
-
Microsoft anuncia el datacenter de IA más potente ...
-
Samsung ha subido el precio de su memoria DRAM y N...
-
Nvidia invertirá hasta 100.000 millones de dólares...
-
LibreWolf, el navegador basado en Firefox que resp...
-
Facebook Parejas usará la IA para ayudarte a encon...
-
Grok, la IA de Elon Musk, ha consumido para entren...
-
Europa propone acabar con los molestos avisos de l...
-
Se gastan hasta 2.000 euros en un iPhone 17 Pro Ma...
-
La Audiencia Nacional investiga una nueva filtraci...
-
Trujillo: Filtran datos confidenciales de más de 2...
-
YouTube Anti Translate: Cómo bloquear el doblaje a...
-
Cómo crear gratis un mapa de cobertura WiFi de tu ...
-
Un banco despide a miles de trabajadores por tener...
-
Security Onion: guía completa sobre esta distro de...
-
MalTerminal: el primer malware que integra GPT-4 p...
-
Google soluciona su sexta vulnerabilidad 0-day en ...
-
Protección contra DDoS de OPNsense
-
Riesgos de las eSIM para viajes: redirigen datos a...
-
Steam pone fin al soporte para sistemas de 32 bits...
-
Una PS5 en un maletín con pantalla de 15 pulgadas ...
-
¿Tienes una nevera inteligente de Samsung? Ahora v...
-
La estafa del 'astronauta en apuros': una mujer pi...
-
Tus ‘streamers’ favoritos te han estado mintiendo ...
-
Ratty: un troyano que se propaga en latinoamérica ...
-
Gemini gana el oro en el mundial de programación y...
-
Nvidia invierte 5.000M$ en Intel y conjuntamente d...
-
Microsoft elimanará WMIC en la actualización Windo...
-
Guía: ¿Qué monitor comprar en 2025?
-
Bitdefender frente a Windows Defender, ¿afectan lo...
-
Las gafas Meta Ray-Ban Display se hacen oficiales,...
-
Tiny11 te permitirá dar el salto a Windows 11 25H2...
-
Estados Unidos ofrece 11M$ por la captura de un uc...
-
Google presenta su app de escritorio para Windows
-
YouTube ayudará a los creadores de contenidos a co...
-
¿Para qué utiliza la gente ChatGPT?
-
Un profesor español captado por Rusia difunde dato...
-
La guerra entre Internet Archive y las discográfic...
-
Descubren cómo identificar el móvil exacto que sac...
-
Una filtración de datos revela cómo funciona la ce...
-
Así cayeron el ciberejército de Putin y sus 'minio...
-
Precios de reparación del iPhone 17 y iPhone Air
-
AIDA 64 celebra su 30º cumpleaños con la versión 8...
-
El precio de los discos duros y de los SSDs va a s...
-
Los fundadores de internet rechazan el bloqueo que...
-
Nunca le robes el móvil a la novia de un hacker
-
VMScape: la nueva vulnerabilidad que rompe el aisl...
-
Filtradas las nuevas gafas inteligentes de Meta de...
-
El primer disco duro del mundo es de 1956: 3,75 MB...
-
La historia del auge y la decadencia del IRC
-
Windows 11 integrará un test de velocidad
-
La Guardia Civil detiene a un menor como presunto ...
-
EEUU acuerda con China la venta de TikTok
-
Super Mario Bros. revive en PC con remake no ofici...
-
Los creadores de TikTok lanzan una IA que genera m...
-
Albania nombra a una IA "ministro" de contratación...
-
Ni fibra óptica ni 5G, así era conectarse a intern...
-
Europa estrena JUPITER, un superordenador del tama...
-
Cómo copiar texto de una imagen o PDF con una capt...
-
Premios AI Darwin 2025: un reconocimiento a los de...
-
Microsoft PowerToys: todas las utilidades para per...
-
Apple presenta los AirPods Pro 3
-
Meta fabricará unas gafas de combate con IA para E...
-
Exresponsable de Ciberseguridad de WhatsApp demand...
-
Apple iPhone 17, con pantallas mejoradas y batería...
-
-
▼
septiembre
(Total:
148
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Grok lo ha vuelto a hacer. Y esta vez no ha sido solo una torpeza, ni un desliz anecdótico. Durante 16 horas, el chatbot de xAI campó a sus ... -
Una startup ha creado una fábrica de semiconductores en el espacio , del tamaño de un microondas, que opera a 1.000°C y permite la producció...
Adobe Commerce y Magento vulnerables a SessionReaper (CVE-2025-54236): Parche crítico disponible
Adobe ha emitido una advertencia urgente sobre SessionReaper (CVE-2025-54236), una vulnerabilidad crítica en sus plataformas Adobe Commerce y Magento Open Source, consideradas la base de miles de tiendas en línea a nivel mundial. Los investigadores de la firma de seguridad Sansec han catalogado este fallo como uno de los más graves en la historia del producto, lo que lo coloca al nivel de incidentes anteriores como CosmicSting, TrojanOrder, Ambionics SQLi y Shoplift.
El error, de gravedad máxima, afecta directamente la API REST de Commerce y puede ser explotado sin necesidad de autenticación, permitiendo a atacantes secuestrar cuentas de clientes y obtener acceso no autorizado a los sistemas afectados.
Adobe lanza parche de emergencia para SessionReaper
La compañía de software confirmó que liberó un parche de seguridad urgente el 9 de septiembre de 2025, tras haber notificado previamente a clientes seleccionados sobre la actualización el pasado 4 de septiembre.
De acuerdo con Adobe, la explotación exitosa de CVE-2025-54236 podría permitir a un atacante evadir las características de seguridad integradas en Commerce y Magento, con consecuencias críticas como:
-
Secuestro de sesiones de usuario.
-
Acceso a cuentas de clientes.
-
Escalada de privilegios dentro del sistema.
-
Explotación de código personalizado o extensiones externas vulnerables.
La empresa asegura que no existen evidencias de explotación activa en la naturaleza hasta la fecha, pero reconoce que la filtración de una revisión inicial la semana anterior podría otorgar a los actores de amenazas una ventaja para el desarrollo de exploits funcionales.
Protección inmediata para usuarios de Adobe Commerce Cloud
Adobe aclaró que los clientes que utilizan Adobe Commerce on Cloud ya cuentan con una regla de firewall de aplicaciones web (WAF) habilitada como medida de mitigación temporal. Sin embargo, para los entornos de instalación local de Adobe Commerce y Magento Open Source, la compañía insiste en la aplicación inmediata del parche oficial.
En palabras del boletín de seguridad:
“Por favor, aplique la revisión lo antes posible. Si no lo hace, será vulnerable a este problema de seguridad y Adobe tendrá medios limitados para ayudar a solucionarlo”.
Riesgo de explotación masiva automatizada
Los investigadores de Sansec advierten que SessionReaper tiene el potencial de ser explotado a gran escala mediante automatización, un escenario que incrementa el riesgo para tiendas medianas y grandes que aún no actualicen sus plataformas.
Según el análisis preliminar, el exploit aprovecha la configuración predeterminada de Magento, que almacena datos de sesión en el sistema de archivos. Este vector, utilizado por la mayoría de las implementaciones, amplía significativamente la superficie de ataque.
Impacto en desarrollos personalizados y extensiones externas
Una de las advertencias más destacadas del parche liberado por Adobe es que la solución implica cambios en la inserción de parámetros del constructor de la API REST de Commerce. Esto podría generar incompatibilidades con código personalizado o extensiones de terceros, afectando la operatividad de algunos comercios electrónicos que dependen de integraciones avanzadas.
Por ello, Adobe recomienda realizar pruebas previas en entornos de staging antes de aplicar la actualización en producción, aunque enfatiza que el riesgo de no actualizar supera con creces cualquier posible inconveniente técnico.
SessionReaper: continuidad de ataques históricos contra Magento
La vulnerabilidad SessionReaper se suma a una lista de fallos críticos en la historia de Magento que han sido explotados de manera masiva en el pasado:
-
Shoplift (2015): permitió la ejecución remota de código en miles de tiendas.
-
Ambionics SQLi (2022): vulnerabilidad de inyección SQL crítica.
-
TrojanOrder (2022): explotado para la instalación de puertas traseras en servidores comprometidos.
-
CosmicSting (2024): ataque sofisticado que sentó precedente en el secuestro de sesiones.
Según Sansec, SessionReaper sigue un patrón similar al ataque CosmicSting, aunque con un grado de peligrosidad aún mayor, ya que no requiere credenciales válidas ni interacción previa del usuario.
Recomendaciones para administradores y desarrolladores
Frente a esta amenaza crítica, los expertos en ciberseguridad recomiendan a administradores de plataformas Magento y Adobe Commerce:
-
Aplicar inmediatamente el parche oficial de Adobe.
-
Verificar logs y accesos sospechosos en las últimas semanas para descartar intrusiones.
-
Probar compatibilidad de código personalizado tras la actualización, especialmente en extensiones que interactúan con la API REST.
-
Implementar monitoreo avanzado de sesiones para detectar anomalías en accesos de clientes.
-
Mantener actualizado el WAF y las configuraciones de seguridad del servidor.
SessionReaper exige acción inmediata
La vulnerabilidad CVE-2025-54236 (SessionReaper) es considerada una de las más graves en la historia de Adobe Commerce y Magento, y aunque aún no se ha detectado explotación activa, el riesgo inminente de explotación masiva obliga a los administradores a aplicar la actualización sin demora.
La rapidez con que los atacantes aprovechan vulnerabilidades filtradas refuerza la importancia de adoptar una gestión proactiva de parches, monitoreo constante y políticas de seguridad actualizadas para proteger la infraestructura de comercio electrónico.
Fuente: Bleeping Computer
Vía:
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.