Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
174
)
-
▼
enero
(Total:
174
)
-
Sistemas de refrigeración y fuentes de alimentació...
-
Lista de verificación de seguridad de redes – Guía...
-
DeepSeek-V4 será el próximo modelo de IA que tiene...
-
Grupo Everest afirma haber hackeado Nissan Motors
-
Cean un bot de Telegram que te avisa de las baliza...
-
GameStop cierra centenares de tiendas ¿Adiós a la ...
-
Secuestraron Apex Legends para controlar los contr...
-
Ejecutivos occidentales visitan fábricas de coches...
-
Nueva vulnerabilidad en Angular permite a un ataca...
-
Vulnerabilidades críticas en InputPlumber permiten...
-
Ray-Ban Meta estrena una nueva función que permite...
-
Día de parches de seguridad de SAP enero 2026 – Pa...
-
Grupo de hackers Careto regresa tras 10 años con n...
-
Programador crea emulador de NES funcional con IA ...
-
MSI presenta SSD SPATIUM M571 DLP
-
Actores de amenazas atacan sistemas con más de 240...
-
Los administradores ya pueden desinstalar Microsof...
-
Apple elige oficialmente a Gemini para potenciar a...
-
Endesa reconoce un ataque con filtración datos per...
-
Función Narrador con IA de Copilot llega a todos l...
-
Esto es lo que significa el punto verde en la barr...
-
ChatGPT prepara una función para ayudarte a encont...
-
¿Qué es el 'overclocking' de la GPU, CPU o RAM?
-
HP comenzará a utilizar chips de memoria de provee...
-
Cuenta atrás para Microsoft Lens: la app de escane...
-
Meta firma acuerdos para conseguir suministrar más...
-
Cómo evitar que Windows vuelva a abrir aplicacione...
-
Lab para jugar con servidores MCP vulnerables
-
Doom funcionando en una olla eléctrica
-
NordPass permite integrar un autenticador TOTP con...
-
No siempre merece la pena dar el salto a WiFi 7
-
Primeros pasos de Wi-Fi 8 en el CES
-
Nueva oleada de phishing suplanta al Ministerio de...
-
La Policía Nacional española arresta 34 personas e...
-
Filtración de BreachForums: exponen todos los regi...
-
Vulnerabilidad crítica en Zlib permite a atacantes...
-
Las 5 ciberestafas con más víctimas en WhatsApp
-
No, Twitter no ha arreglado Grok
-
Cataluña impulsa un plan para agilizar la resoluci...
-
Nueva campaña maliciosa puede enviar mensajes por ...
-
Microsoft forzará el MFA en su Centro de Administr...
-
Sitio falso de WinRAR que distribuye malware con e...
-
ASUS Chromebook CM32, un ChromeOS versátil en form...
-
Lo que los equipos de seguridad pasan por alto en ...
-
Mejores programas de protección contra bots
-
Los ratones Logitech han empezado a fallar en todo...
-
Herramientas OSINT
-
Fuga de datos de Instagram expone información sens...
-
Investigadores corrompen IA con datos robados
-
Usan Google Cloud para robar inicios de sesión de ...
-
Lenovo despliega tecnología e innovación con sus d...
-
ASRock anuncia en el CES 2026 sus nuevas placas ba...
-
Dell se baja del carro de la IA: los consumidores ...
-
Filtrados 17 millones de datos de usuarios de Inst...
-
Instagram confirma que no hubo filtración y soluci...
-
Disney+ prepara vídeos verticales estilo TikTok pa...
-
Los dispositivos más curiosos del CES 2026: novias...
-
¿Cómo reducir el consumo de memoria en Google Chrome?
-
Intel Core G3: los SoC para las nuevas consolas po...
-
YouTube permite bloquear vídeos Short
-
Desastre anunciado, precios al alza y sin freno: m...
-
IKEA reinventa los altavoces bluetooth: cuestan so...
-
Gemini llega a Gmail para cambiar la forma de gest...
-
Nuevo ataque Ghost Tapped vacía tu cuenta bancaria...
-
Explotan activamente implementaciones de IA: más d...
-
GPU Safeguard: MSI presenta sus fuentes de aliment...
-
Códigos QR maliciosos (Quishing) incrustados en có...
-
Windows 11 26H1 llega esta primavera pero es muy p...
-
Google y Boston Dynamics llevan la IA de Gemini a ...
-
La IA de Gemini conquista Gmail: ahora tu bandeja ...
-
Los mejores escáneres de seguridad web para detecc...
-
Python logra un hito histórico en programación que...
-
China hackeó sistemas de correo electrónico de per...
-
WhatsApp corrige de forma silenciosa vulnerabilida...
-
La Intel Arc B390 sorprende: 1080p en alto con una...
-
Samsung romperá todos los récords tras aumentar el...
-
NVIDIA exige a China el pago por adelantado de las...
-
Intel detalla la arquitectura Panther Lake y sus C...
-
Meta cierra acuerdos para suministrar 6 gigavatios...
-
Vulnerabilidad en OWASP CRS permite a atacantes el...
-
CISA advierte de vulnerabilidad en PowerPoint expl...
-
Así es la novia virtual y holográfica de Razer que...
-
Microsoft exige MFA obligatorio para inicios de se...
-
Las operadoras Españolas recuperan la fibra "lenta...
-
8,1 millones de ataques a la vulnerabilidad React2...
-
ChatGPT Salud: espacio dedicado a consultas médica...
-
Vulnerabilidades en ChatGPT permiten a atacantes r...
-
Vulnerabilidad en utilidad de batería de Linux: TLP
-
Ocultar procesos del Administrador de tareas de Wi...
-
InveCapacidades de ofuscación, anti-análisis y rob...
-
be quiet! en el CES 2026: AIO Light Loop IO LCD, d...
-
Trump sugiere participación cibernética de EE.UU. ...
-
Microsoft presenta una nueva herramienta para migr...
-
Vulnerabilidad en Cisco ISE permite a atacantes re...
-
Nuevo ataque basado en OAuth permite eludir autent...
-
CISA añade vulnerabilidad de inyección de código d...
-
Vulnerabilidad en el motor de detección Snort 3 de...
-
Home Assistant arranca el año 2026 con una actuali...
-
GitLab corrige múltiples vulnerabilidades
-
Explotan VMware ESXi con herramienta de vulnerabil...
-
-
▼
enero
(Total:
174
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Logitech admite un error crítico por certificados caducados que bloqueó Logi Options+ y G Hub en macOS, pero ya lanzó parches oficiales ... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Actores de amenazas chinos han desarrollado un peligroso nuevo método para robar dinero directamente de cuentas bancarias mediante aplicacio...
Nueva vulnerabilidad en Angular permite a un atacante ejecutar código malicioso
Se ha descubierto una vulnerabilidad crítica de Cross-Site Scripting (XSS) en el Compilador de Plantillas de Angular, que afecta a múltiples versiones de los paquetes @angular/compiler y @angular/core. Registrada como CVE-2026-22610, esta vulnerabilidad permite a los atacantes eludir las protecciones de seguridad integradas de Angular y ejecutar código JavaScript arbitrario en los navegadores de las víctimas.
Se ha descubierto una vulnerabilidad crítica de Cross-Site Scripting (XSS) en el Compilador de Plantillas de Angular, que afecta a múltiples versiones de los paquetes @angular/compiler y @angular/core.
Registrada como CVE-2026-22610, esta vulnerabilidad permite a los atacantes eludir las protecciones de seguridad integradas de Angular y ejecutar código JavaScript arbitrario en los navegadores de las víctimas.
La Vulnerabilidad
El fallo existe en el esquema de sanitización interno de Angular, que no reconoce correctamente los atributos href y xlink:href de los elementos SVG <script> como URLs de recursos que requieren una validación estricta.
Este descuido permite a los atacantes inyectar cargas maliciosas a través de enlaces en plantillas, ejecutando así código no autorizado en las sesiones de los usuarios.
| Campo | Detalles |
|---|---|
| ID de CVE | CVE-2026-22610 |
| Tipo de Vulnerabilidad | Cross-Site Scripting (XSS) |
| CWE | CWE-79: Neutralización Impropia de Entrada Durante la Generación de Páginas Web |
| Puntuación CVSS v4 | 7.6 (Alta) |
| Vector CVSS | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Cuando los desarrolladores utilizan la sintaxis de enlace de propiedades de Angular (como [attr.href]="userInput"), el compilador trata estos atributos de scripts SVG como cadenas estándar en lugar de enlaces de recursos peligrosos.
Esta clasificación errónea permite que datos maliciosos, incluyendo URIs data: text/javascript o enlaces a scripts externos maliciosos, eludan los controles de seguridad. La explotación exitosa de esta vulnerabilidad puede tener consecuencias graves.
Los atacantes podrían robar cookies de sesión, datos de localStorage o tokens de autenticación para secuestrar cuentas de usuario.
También podrían exfiltrar información sensible mostrada dentro de las aplicaciones o realizar acciones no autorizadas en nombre de usuarios autenticados.
La vulnerabilidad tiene una puntuación base CVSS v4 de 7.6 (gravedad alta). Requiere una baja complejidad de ataque y niveles de privilegio relativamente bajos para ser explotada.
Versiones Afectadas y Versiones Corregidas
| Paquete de Angular | Versiones Afectadas | Versiones Corregidas / Seguras |
|---|---|---|
| @angular/compiler, @angular/core | ≥ 21.1.0-next.0 y < 21.1.0-rc.0 | 21.1.0-rc.0 o posterior |
| @angular/compiler, @angular/core | ≥ 21.0.0-next.0 y < 21.0.7 | 21.0.7 o posterior |
| @angular/compiler, @angular/core | ≥ 20.0.0-next.0 y < 20.3.16 | 20.3.16 o posterior |
| @angular/compiler, @angular/core | ≥ 19.0.0-next.0 y < 19.2.18 | 19.2.18 o posterior |
| @angular/compiler, @angular/core | ≤ 18.2.14 | No hay parche disponible — se requiere actualización |
La explotación requiere condiciones específicas: la aplicación objetivo debe usar elementos SVG <script> en plantillas con enlaces dinámicos de propiedades o atributos para href o xlink:href, y los datos enlazados deben provenir de fuentes no confiables.
Según el aviso de GitHub, los desarrolladores deben actualizar Angular a las versiones parcheadas de inmediato.
Hasta que se apliquen los parches, evita usar enlaces dinámicos con elementos de script SVG e implementa una validación estricta del lado del servidor para cualquier valor de URL dinámico antes de que llegue a las plantillas.
Fuentes:
https://cybersecuritynews.com/angular-vulnerability/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.