Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
264
)
-
▼
enero
(Total:
264
)
-
Ya puedes reservar habitación en el primer hotel e...
-
La mini cámara WiFi de vigilancia que se esconde e...
-
NVIDIA Vera Rubin consumiría en 2026 una cantidad ...
-
MSI presenta el Roamii BE Pro Mesh, sistema en mal...
-
Tipos de ataques de malware
-
Raspberry Pi AI HAT+ 2: Cerebro y potencia
-
Vulnerabilidades de HPE Aruba permiten acceso no a...
-
WhatsApp estrena el nuevo modo "cámara acorazada"
-
Vulnerabilidad crítica en Apache Struts 2 permite ...
-
Nuevo ataque a la cadena de suministro en AWS Cons...
-
Firefox 147 ya disponible con correcciones para 16...
-
Andalucía es la comunidad autónoma más afectada po...
-
Vulnerabilidad en Microsoft SQL Server permite a a...
-
Encuentran un huevo de Pascua en Office 97 que ha ...
-
Aparecen los ladrones de memoria RAM: entran a neg...
-
Análisis del ransomware DragonForce con descifrado...
-
¿El fin de los AirPods? así será el primer disposi...
-
Microsoft advierte que Secure Boot podría eludirse...
-
X sufre una caída a nivel global de más de una hor...
-
iPhone 18: modelos, tamaño de pantalla, resolución...
-
Ryanair "veta a Elon Musk" en sus aviones y su rea...
-
Vulnerabilidad en FortiOS y FortiSwitchManager per...
-
Endesa sufre filtración masiva y pone en riesgo a ...
-
Los precios de los discos duros han subido un 46% ...
-
El mercado de PC creció un 10% en el Q4 2025 incen...
-
El Samsung Exynos 2700 «Ulysses» llegará en 2027 c...
-
Emulador retro de Apple adaptado a tableta con pan...
-
Go 1.25.6 y 1.24.12 parchean vulnerabilidades crít...
-
Vulnerabilidad SSRF en FortiSandbox permite a atac...
-
Informe "El estado del Código Abierto confiable"
-
Wikipedia cumple 25 años y firma acuerdos con los ...
-
Intel Xe3P: la iGPU de Nova Lake con 12 Cores será...
-
AuraAudit: herramienta de código abierto para anal...
-
Bibliotecas de IA de Nvidia, Apple y Salesforce en...
-
Un gadget para escuchar música desde tu boca: así ...
-
Troyano bancario para Android: roba datos bancario...
-
La DDR3 resucita: vuelven al mercado placas base d...
-
China lanza una app para saber si sigues con vida
-
Actualización de seguridad de Node.js corrige 7 vu...
-
España invertirá 4.000 millones en una GIGAFAB de ...
-
Las 20 vulnerabilidades más explotadas: los produc...
-
Hackers del mundo se reunieron en secreto en Españ...
-
Spotify ha vuelto a subir los precios
-
MEMOpocalipsis: NVIDIA prioriza las RTX 5060 de 8 ...
-
GoBruteforcer: botnet para Linux basada en credenc...
-
Grok, no más bikinis: la IA de X ya no permite cre...
-
Nueva amenaza bajo el mar: Rusia desarrolla drones...
-
HoneyTrap: un nuevo marco de defensa de LLM contra...
-
Nuevo malware VoidLink en la nube ataca sistemas L...
-
Pekín prohíbe a entidades chinas usar software de ...
-
Hasta el programador más famoso del mundo ya utili...
-
NVIDIA DLSS 4.5 hace magia: puede reconstruir incl...
-
Un modder australiano resuelve el enigma del PC en...
-
Anthropic presenta "Claude para la Salud" para ayu...
-
Trabajadores remotos de Corea del Norte generan 60...
-
Vulnerabilidad crítica expone switches Ethernet Moxa
-
Unas gafas que enfocan según la distancia desde la...
-
AsyncRAT usa servicios gratuitos de Cloudflare par...
-
Múltiples vulnerabilidades en Hikvision permiten a...
-
Malware VVS Stealer roba credenciales y tokens de ...
-
Telegram expone las direcciones IP de usuarios rea...
-
TikTok se ha llenado de vídeos con IA: así puedes ...
-
En España el Ministerio de Defensa anuncia la cons...
-
Infiltraron el ecosistema de nodos comunitarios de...
-
Starlink anuncia la llegada a España de la conexió...
-
WhatsApp lanza el "Modo Padres": así podrás vigila...
-
Winslop es una nueva herramienta que limpia Window...
-
IKEA lanza en España el gadget que todo hogar nece...
-
YARA-X 1.11.0 lanzado con nuevas advertencias de f...
-
Discos duros Seagate de 32 TB con CMR (Exos, SkyHa...
-
El Departamento de Comercio de EE.UU. levanta la r...
-
Nuevo ataque Magecart roba tarjetas de crédito en ...
-
Apple rediseñará completamente su app de Salud con...
-
ASUS actualiza sus ROG Matrix RTX 5090 con una nue...
-
Nueva vulnerabilidad de Microsoft Copilot con un c...
-
30 años de Microsoft Bob, uno de los mayores fraca...
-
Cloudflare cambia de postura y comienza a bloquear...
-
Vulnerabilidad crítica en React Router permite a a...
-
Japón: piden a los gamers vender sus ordenadores s...
-
ASUS NUC 16 Pro, primer Mini-PC con Intel Panther ...
-
Vulnerabilidad en herramienta CLI de Spring permit...
-
La comunidad científica vuelve a la carga contra E...
-
Elastic corrige múltiples vulnerabilidades que per...
-
Nueva herramienta EDRStartupHinder bloquea antivir...
-
Adiós al metaverso: Meta despedirá a 1.500 emplead...
-
X suspende cuenta de Twitter por violar normas
-
GameSir Swift Drive, el primer gamepad con volante...
-
GIGABYTE presenta la AORUS GeForce RTX 5090 INFINITY
-
Adiós a los enjambres de drones: la OTAN ya tiene ...
-
Grok, en problemas en Estados Unidos
-
Sistemas de refrigeración y fuentes de alimentació...
-
Lista de verificación de seguridad de redes – Guía...
-
DeepSeek-V4 será el próximo modelo de IA que tiene...
-
Grupo Everest afirma haber hackeado Nissan Motors
-
Cean un bot de Telegram que te avisa de las baliza...
-
GameStop cierra centenares de tiendas ¿Adiós a la ...
-
Secuestraron Apex Legends para controlar los contr...
-
Ejecutivos occidentales visitan fábricas de coches...
-
Nueva vulnerabilidad en Angular permite a un ataca...
-
Vulnerabilidades críticas en InputPlumber permiten...
-
-
▼
enero
(Total:
264
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Logitech admite un error crítico por certificados caducados que bloqueó Logi Options+ y G Hub en macOS, pero ya lanzó parches oficiales ... -
Actores de amenazas chinos han desarrollado un peligroso nuevo método para robar dinero directamente de cuentas bancarias mediante aplicacio... -
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
Vulnerabilidad crítica en Apache Struts 2 permite a atacantes robar datos sensibles
Se ha descubierto una vulnerabilidad crítica de inyección de entidades externas XML (XXE) en Apache Struts 2, que podría exponer a millones de aplicaciones al robo de datos y la compromisión de servidores. La vulnerabilidad, identificada como CVE-2025-68493, afecta a múltiples versiones del popular framework y requiere acción inmediata por parte de desarrolladores y administradores de sistemas.
Se ha descubierto una vulnerabilidad crítica de inyección de entidades externas XML (XXE) en Apache Struts 2, lo que podría exponer a millones de aplicaciones al robo de datos y la compromisión de servidores.
La vulnerabilidad, identificada como CVE-2025-68493, afecta a múltiples versiones del framework ampliamente utilizado y requiere acción inmediata por parte de desarrolladores y administradores de sistemas.
Resumen de la vulnerabilidad
La falla de seguridad existe en el componente XWork de Apache Struts 2, que gestiona el análisis de configuraciones XML.
El componente no valida correctamente la entrada XML, dejando las aplicaciones vulnerables a ataques de inyección XXE.
| ID de CVE | Tipo de vulnerabilidad | Componente afectado | Versiones afectadas |
|---|---|---|---|
| CVE-2025-68493 | Inyección de Entidades Externas XML (XXE) | Componente XWork | Struts 2.0.0–2.3.37, 2.5.0–2.5.33, 6.0.0–6.1.0 |
Actores maliciosos pueden explotar esta debilidad para acceder a información sensible almacenada en servidores afectados o lanzar ataques de denegación de servicio.
Investigadores de seguridad de ZAST.AI identificaron la vulnerabilidad y la reportaron al equipo de Apache Struts.
La vulnerabilidad recibió una calificación de seguridad "Importante" debido a su potencial impacto en la confidencialidad de los datos y la disponibilidad del sistema.
La vulnerabilidad afecta a una amplia gama de versiones de Struts 2 actualmente en uso en organizaciones de todo el mundo:
| Rango de versiones afectadas | Estado |
|---|---|
| Struts 2.0.0 – 2.3.37 | Fin de vida útil |
| Struts 2.5.0 – 2.5.33 | Fin de vida útil |
| Struts 6.0.0 – 6.1.0 | Soporte activo |
Las organizaciones que utilicen cualquiera de estas versiones deben priorizar las actualizaciones de seguridad de inmediato.
La explotación exitosa de CVE-2025-68493 podría resultar en:
| Tipo de impacto | Descripción |
|---|---|
| Filtración de datos | Los atacantes pueden extraer archivos de configuración sensibles, credenciales de bases de datos y secretos de aplicaciones |
| Falsificación de solicitudes del lado del servidor (SSRF) | Se pueden comprometer recursos y sistemas de la red interna |
| Denegación de servicio (DoS) | La disponibilidad de la aplicación puede verse interrumpida mediante cargas útiles XML maliciosas |
Apache ha lanzado Struts 6.1.1 como la versión corregida. Las organizaciones deben actualizar a esta versión de inmediato.
El parche mantiene la compatibilidad hacia atrás, asegurando una implementación fluida sin romper las aplicaciones existentes.
Las organizaciones que no puedan actualizar de inmediato pueden implementar soluciones temporales:
| Enfoque de mitigación | Descripción |
|---|---|
| SAXParserFactory personalizado | Configura un SAXParserFactory personalizado estableciendo xwork.saxParserFactory en una clase de fábrica que desactive las entidades externas |
| Configuración a nivel de JVM | Desactiva las entidades externas globalmente usando propiedades del sistema JVM:-Djavax.xml.accessExternalDTD=""-Djavax.xml.accessExternalSchema=""-Djavax.xml.accessExternalStylesheet="" |
Estas soluciones proporcionan protección temporal mientras las organizaciones planifican los plazos de actualización. CVE-2025-68493 representa una grave amenaza para las implementaciones de Struts 2 en todo el mundo.
La aplicación inmediata de parches debe ser la máxima prioridad para los equipos de seguridad, seguida de la verificación de que las soluciones temporales estén implementadas en los sistemas que no puedan actualizarse de inmediato.
Las organizaciones deben revisar su inventario de Struts 2 y desarrollar un calendario de aplicación de parches acelerado para eliminar la exposición a esta vulnerabilidad crítica.
Fuentes:
https://cybersecuritynews.com/critical-apache-struts-2-vulnerability/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.