Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
835
)
-
▼
febrero
(Total:
155
)
-
AMD confirma la fecha de lanzamiento para Xbox Mag...
-
Nvidia mantiene su acuerdo con OpenAI tras los rum...
-
Vulnerabilidad en Ingress-Nginx de Kubernetes perm...
-
Intel vuelve al sector de la memoria para ayudar a...
-
Una patente de Sony muestra el uso de la IA genera...
-
La NVIDIA GeForce RTX 4060 es ya la GPU más utiliz...
-
AMD va de récord en récord: +34% en ingresos total...
-
La CEO de AMD resta importancia a la escasez de me...
-
ChatGPT se cae durante unas horas
-
Análisis del teléfono Honor Magic 8 Lite
-
La Fiscalía registra la sede de la red social X en...
-
Vulnerabilidades críticas en Django permiten ataqu...
-
CISA advierte sobre vulnerabilidad de ejecución re...
-
Vulnerabilidades en Foxit PDF Editor permiten a at...
-
La CPU China Loongson-3B6000 frente a las últimas ...
-
Los Intel Core Ultra 200S Plus aparecen a precios ...
-
Los drones podrán volar permanentemente sin necesi...
-
Vulnerabilidades, errores y ataques varios a OpenC...
-
Las autoridades francesas allanan la oficina de X ...
-
Microsoft desactivará NTLM por defecto para una au...
-
Cómo comprobar si tu barrio, pueblo o ciudad está ...
-
Variante PDFly usa modificación personalizada de P...
-
Mozilla presenta un interruptor para desactivar to...
-
ChatGPT detectará malware, virus y estafas gracias...
-
Aplicación maliciosa en Google Play con más de 50....
-
Agentes de IA OpenClaw abusados por actores malici...
-
Vulnerabilidad en puntos de acceso inalámbricos Hi...
-
Intel presenta los esperados Xeon 600
-
AMD confirma que sus CPU Zen 6 usarán FRED para Vi...
-
Las Raspberry Pi suben de precio en hasta un 41% p...
-
Western Digital presenta un disco duro de 40TB que...
-
No solo Grok: las tiendas de Apple y Google están ...
-
El dilema de las gafas inteligentes y las denuncia...
-
La Nintendo Switch superar a DS como la consola má...
-
Seísmo en la IA: OpenAI explora alternativas a NVI...
-
Pedro Sánchez anuncia que España prohibirá definit...
-
Movistar ha cerrado una red IPTV ilegal que usaba ...
-
Cómo de malos son los SSDs falsificados: la difere...
-
El precio de la RAM y de los SSDs va a subir más d...
-
PS6 portátil tendrá una GPU AMD RDNA 5 compatible ...
-
Europol a las IPTV piratas: tres servicios con 100...
-
Vulnerabilidad crítica de bypass de autenticación ...
-
Elon Musk fusiona SpaceX con xAI para empezar el c...
-
No más IA en el navegador: el nuevo botón de Firef...
-
AYANEO Pocket S Mini, retro, barata y al estilo NES
-
Detectada campaña en Windows que combina Pulsar RA...
-
Intel lanza los Xeon 600 «Granite Rapids» para Wor...
-
Tim Cook revela cuál es el truco de IA que los usu...
-
Análisis cámara Sony Alpha 7 V: una 'mirroless' rá...
-
Vulnerabilidad en Apache Syncope permite a atacant...
-
El uso de la IA en el trabajo casi se ha triplicad...
-
El iPhone plegable Mini toma fuerza y podría ser l...
-
Windows 11 añade opción que limita el acceso a los...
-
Todo el mundo habla de que los smartphones provoca...
-
Grupo ruso APT28 explota fallo 0-day de Microsoft ...
-
SpaceX compra xAI y X, Elon Musk mira a las estrel...
-
Vulnerabilidad en Clawdbot de un clic permite ataq...
-
Apple admite limitaciones por el suministro de chi...
-
Los programadores se rinden y lo admiten: "Es el f...
-
Google quiere que uses tu móvil hasta 7 años y así...
-
China despliega los primeros policías robot en sus...
-
Samsung, SK Hynix y Micron se unen para evitar el ...
-
Los agentes de IA crean una red social tipo Reddit...
-
Si vas a vender tu viejo portátil, formatear el di...
-
La IA Claude ya trabaja en Marte: ha planificado d...
-
Windows 11 bloquea acceso no autorizado a archivos...
-
Actores patrocinados por el Estado secuestraron la...
-
Un usuario compró una RTX 3080 Ti en una tienda al...
-
Ashes of Creation se desmorona a los 52 días de su...
-
NVIDIA vuelve a reponer el stock de RTX 5090 y RTX...
-
Bitcoin pierde el 40% de su valor: "No se recupera...
-
Adiós a los televisores 8K: LG deja de fabricarlos
-
La batería que mantiene tu móvil frío ya está en c...
-
Google detecta gran expansión en la actividad de l...
-
Intel empata con AMD como las CPU más fiables en 2...
-
Calibre salta a su versión 9, estas son sus novedades
-
Las acciones de SanDisk han subido un 1.242% en me...
-
Los resultados de selección de 13 Ryzen 7 9850X3D ...
-
Empresas atribuyen ataques de ransomware al hackeo...
-
Un Samsung 990 Pro falso supera pruebas básicas pe...
-
La app de Home Assistant ahora bloquea las conexio...
-
Emiratos Árabes están enterrando millones de litro...
-
Alianza de rusos ataca Dinamarca en ciberataque DD...
-
Aumenta el "ghost tapping", la estafa que vacía ta...
-
Más de 21.000 instancias de OpenClaw AI con config...
-
NationStates sufre filtración de datos – Sitio del...
-
Error en Windows 11 borra opción de inicio con con...
-
Los desarrolladores de videojuegos para Linux unen...
-
Ataque Pulsar RAT en sistemas Windows roba datos s...
-
Explotan vulnerabilidad de día cero en Microsoft O...
-
Activan la "operación apagado" contra las IPTV día...
-
Los agentes de IA autónomos se convierten en el nu...
-
Hackean Ministerio de Hacienda de España y afirman...
-
Las placas base ASRock están quemando AMD Ryzen 5 ...
-
Blue Origin cancela por sorpresa sus viajes con tu...
-
Modder duplica con creces la memoria del Asus ROG ...
-
Zen 6: más núcleos por chiplet
-
Vulnerabilidad de inyección CRLF en Gakido permite...
-
El Ministerio de Defensa británico respalda un nue...
-
Adiós a JPG y PNG: Windows 11 ahora soporta fondos...
-
-
▼
febrero
(Total:
155
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
El reproductor VLC permite ver más de 1.800 canales de TV de todo el mundo gratis y legalmente mediante listas M3U , transformando cualqu... -
La comunidad del kernel de Linux ha elaborado un plan de contingencia para reemplazar a Linus Torvalds en caso de que sea necesario. Este... -
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que...
Vulnerabilidades críticas en Django permiten ataques DoS e inyección SQL
El equipo de desarrollo ha emitido actualizaciones de seguridad urgentes para corregir seis vulnerabilidades críticas que afectan a múltiples versiones del popular framework web Python. Los fallos, que incluyen tres vulnerabilidades de inyección SQL de alta gravedad y múltiples vectores de denegación de servicio (DoS), impactan en las versiones 4.2, 5.2, 6.0 de Django y en la rama principal de desarrollo.
El equipo de desarrollo ha publicado actualizaciones de seguridad urgentes para corregir seis vulnerabilidades críticas que afectan a múltiples versiones del popular framework web Python.
Las fallas, que incluyen tres vulnerabilidades de inyección SQL de alta gravedad y múltiples vectores de denegación de servicio, impactan en las versiones 4.2, 5.2, 6.0 de Django y en la rama principal de desarrollo.
Tres de las vulnerabilidades reveladas tienen calificaciones de alta gravedad y podrían permitir a los atacantes ejecutar comandos SQL arbitrarios.
CVE-2026-1207 afecta a los usuarios de PostGIS a través de búsquedas ráster en campos GIS, donde datos no confiables usados como índice de banda podrían habilitar la inyección SQL.
CVE-2026-1287 apunta a la funcionalidad FilteredRelation, permitiendo inyección SQL en alias de columnas mediante caracteres de control cuando se pasan diccionarios manipulados a métodos de QuerySet como annotate(), aggregate() y values().
Además, CVE-2026-1312 explota QuerySet.order_by() mediante inyección SQL en alias de columnas que contienen puntos cuando se usan con FilteredRelation.
Vulnerabilidades de Denegación de Servicio
También se parchearon dos vulnerabilidades de denegación de servicio de gravedad moderada.| ID de CVE | Descripción | Gravedad | Versiones Afectadas |
|---|---|---|---|
| CVE-2025-13473 | Enumeración de nombres de usuario mediante diferencias de tiempo en el manejador de autenticación mod_wsgi | Baja | 4.2, 5.2, 6.0, main |
| CVE-2025-14550 | Denegación de servicio mediante cabeceras repetidas al usar ASGI | Moderada | 4.2, 5.2, 6.0, main |
| CVE-2026-1207 | Inyección SQL mediante búsquedas ráster en PostGIS | Alta | 4.2, 5.2, 6.0, main |
| CVE-2026-1285 | Denegación de servicio en los métodos HTML de django.utils.text.Truncator | Moderada | 4.2, 5.2, 6.0, main |
| CVE-2026-1287 | Inyección SQL en alias de columnas mediante caracteres de control | Alta | 4.2, 5.2, 6.0, main |
| CVE-2026-1312 | Inyección SQL mediante QuerySet.order_by() y FilteredRelation | Alta | 4.2, 5.2, 6.0, main |
chars() y words() con html=True, así como a los filtros de plantillas truncatechars_html y truncatewords_html.
Las entradas con muchas etiquetas HTML de cierre no coincidentes pueden causar complejidad cuadrática en el tiempo durante el análisis. Una vulnerabilidad de ataque de temporización de baja gravedad, CVE-2025-13473, afecta al manejador de autenticación mod_wsgi.
La función check_password() permite a atacantes remotos enumerar nombres de usuario válidos midiendo diferencias en el tiempo de respuesta, lo que podría facilitar ataques de fuerza bruta.
El equipo de Django ha publicado parches para las versiones 6.0.2, 5.2.11 y 4.2.28, instando a todos los usuarios a actualizar inmediatamente. Los parches están disponibles a través de los cambios en GitHub para cada rama afectada.
Las organizaciones que usan Django deben priorizar la actualización de sus instalaciones, especialmente aquellas que utilizan PostGIS, servidores ASGI o consultas FilteredRelation.
| Área | Acción Recomendada |
|---|---|
| Actualización Inmediata | Actualiza a las últimas versiones parcheadas inmediatamente |
| Validación de Entrada | Asegúrate de que toda la entrada de usuario no confiable esté correctamente validada |
| Usuarios de PostGIS | Revisa las implementaciones de búsquedas ráster para el uso de índices de banda no confiables |
| Implementaciones ASGI | Monitorea y protege contra ataques de cabeceras duplicadas |
| Revisión de QuerySet | Audita el código que usa FilteredRelation y order_by() con alias dinámicos |
Fuentes:
https://cybersecuritynews.com/django-vulnerabilities/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.