Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3811
)
-
▼
mayo
(Total:
508
)
-
Aprovechan vulnerabilidad de bypass de autenticaci...
-
ChatGPT ahora es tu gestor financiero
-
Explotados Zero-Days de Microsoft Exchange, Window...
-
Grupo Sandworm pasan de sistemas IT a activos OT c...
-
Grupos chinos vulneran sector energético vía Micro...
-
ClickFix evoluciona con proxy SOCKS5 de Python de ...
-
Fallo crítico de Linux ‘ssh-keysign-pwn’ expone cl...
-
PSN: Cuentas vulnerables pese a seguridad avanzada
-
Bienvenidos al vulnpocalipsis, donde la IA acelera...
-
Apple critica la normativa de IA de la UE
-
Explotan 0-day en PAN-OS de Palo Alto para ejecuta...
-
OpenAI amenazaría con demandar a Apple
-
Vulnerabilidad crítica en plugin de WordPress ➡️ F...
-
Cisco alerta sobre vulnerabilidad crítica de SD-WA...
-
Todo sobre el iPhone 18 Pro
-
CNMV advierte riesgos de la IA como asesor financiero
-
La NASA sube a Internet más de 11.000 imágenes tom...
-
Claude Code anticipará tus necesidades antes que tú
-
FBI advierte sobre peligros de puertos USB públicos
-
Grupo kTeamPCP y BreachForums ofrecen 1.000 $ por ...
-
Vulneran 170 paquetes npm para robar secretos de G...
-
Explotan vulnerabilidad de salto de autenticación ...
-
NVIDIA crea IA que aprende sola
-
IA de Anthropic halla fallos de seguridad en macOS
-
Paquete node-ipc de npm comprometido en ataque de ...
-
OpenAI confirma brecha de seguridad por ataque a l...
-
Fallos en el plugin Avada Builder de WordPress per...
-
Nuevo malware permite control de pantalla, acceso ...
-
Vulnerabilidad crítica en Canon MailSuite permite ...
-
Descubren una nueva amenaza que pone en riesgo Mic...
-
Hackean Microsoft Edge, Windows 11 y LiteLLM en Pw...
-
Vibeathon: el hackathon donde no hace falta programar
-
Vulnerabilidades en el controlador JDBC de Amazon ...
-
Microsoft: la IA puede generar líneas de comandos ...
-
Ghostwriter lanza ataques de phishing con PDF geol...
-
Alumno hackea a profesor para entrar en EducaMadrid
-
IA Claude recupera 350.000 euros en Bitcoin olvida...
-
Vulnerabilidades críticas en GitLab permiten ataqu...
-
Alza de precios en DRAM y NAND Flash
-
Fedora Hummingbird busca un sistema operativo dist...
-
Shai-Hulud: ataque a la cadena de suministro compr...
-
Nueva vulnerabilidad en Fragnesia Linux permite ob...
-
Hermes: el nuevo agente de IA open source
-
IA: el riesgo energético equivale a 23 bombas nucl...
-
Madrid impulsa su conexión y se consolida como hub...
-
Para obtener acceso de root en esta empresa, un in...
-
3 fallos graves en bases de datos MCP, uno de ello...
-
Vulnerabilidad en Cliente DNS de Windows permite e...
-
Vulnerabilidad de día cero en Windows BitLocker pe...
-
Cisco despedirá a 4.000 empleados y les ofrecerá c...
-
NVIDIA llevará centros de datos de IA al espacio
-
The Gentlemen RaaS usa dispositivos Cisco y Fortin...
-
Error de Amazon Quick expuso chats de IA a usuario...
-
WhatsApp añade conversaciones privadas con la IA
-
Actualizaciones de Dell SupportAssist causan bucle...
-
Vulnerabilidad crítica de NGINX de 18 años permite...
-
NVIDIA consigue el permiso de Trump para vender la...
-
Vulnerabilidad crítica de MongoDB permite ejecutar...
-
PS5 y Xbox Series X: ¿agotadas o infrautilizadas?
-
Configura varias VLAN para segmentar la red en un ...
-
En Japón, los SSD han aumentado su precio en casi ...
-
Un exploit zero-day llamado YellowKey permite abri...
-
Packagist pide actualizar Composer tras filtración...
-
Demanda colectiva a OpenAI por compartir datos de ...
-
Vulnerabilidad Fragnesia en Linux permite acceso r...
-
Microsoft prioriza Windows 11 sobre Windows 12
-
Un buen relato biográfico de Kevin Mitnick, probab...
-
Móviles de 2.000 euros por el nuevo Snapdragon 8 E...
-
GTA VI: precompra inminente
-
Apple romperá su dependencia conTSMC: Intel fabric...
-
Xbox Project Helix eliminará el lector de discos
-
EE. UU. imputa al presunto administrador de Dream ...
-
WhatsApp añade chats incógnito con Meta AI
-
Seedworm APT usa binarios de Fortemedia y Sentinel...
-
Andrew Ng critica despidos justificados con la IA
-
Los precios de las tarjetas gráficas bajan en Euro...
-
Fragnesia, la secuela de Dirty Frag, concede acces...
-
Los AMD EPYC representan el 46,2% del gasto total ...
-
NVIDIA presume de la burbuja de la IA: sus GPU “an...
-
UE busca prohibir redes sociales a menores de 16 años
-
Descubren un grave fallo de seguridad en el popula...
-
Android 17 será un sistema inteligente
-
Vulnerabilidad de 18 años en el módulo de reescrit...
-
Jonsbo DS339: así es el mini monitor USB para ver ...
-
IA obliga a parchear fallos de seguridad al instante
-
Teclado Razer Huntsman V3 TKL
-
Ataques contra PraisonAI por CVE-2026-44338: salto...
-
Microsoft soluciona 138 vulnerabilidades, incluyen...
-
Vulnerabilidades Zero-Day en Windows permiten salt...
-
Nueva vulnerabilidad de Exim BDAT GnuTLS permite a...
-
CVE-2026-33017 de Langflow usado para robar claves...
-
IA desborda a las universidades prestigiosas
-
Fracaso de Google Gemini en cafetería
-
iOS 26.5 trae RCS cifrado entre iPhone y Android
-
DeepMind fusiona el cursor con IA
-
Google lleva Gemini Intelligence a Android
-
AWS soluciona vulnerabilidad de salto de autentica...
-
Fragnesia: Nuevo fallo en el kernel de Linux permi...
-
Guerra en Irán obliga a marca de snacks a eliminar...
-
Grupos iraníes atacan a gigante electrónico de Cor...
-
-
▼
mayo
(Total:
508
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Es muy probable que el próximo email que recibas no esté escrito por una persona. Da igual si usas Gmail, Outlook o cualquier alternativa si... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
Aprovechan vulnerabilidad de bypass de autenticación en el plugin Burst Statistics de WordPress
Están explotando una vulnerabilidad crítica (CVE-2026-8181) en el plugin de WordPress Burst Statistics, que permite obtener acceso de administrador sin contraseña. Este fallo afecta a las versiones 3.4.0 y 3.4.1, permitiendo la creación de cuentas fraudulentas y el robo de datos. Se recomienda actualizar urgentemente a la **versión 3.4.2** o desactivar el plugin para evitar ataques.
Aprovechando una vulnerabilidad crítica de omisión de autenticación en el plugin de WordPress Burst Statistics para obtener acceso de nivel de administrador a los sitios web.
Burst Statistics es un plugin de análisis centrado en la privacidad, activo en 200.000 sitios de WordPress y comercializado como una alternativa ligera a Google Analytics.
El fallo, registrado como CVE-2026-8181, se introdujo el 23 de abril con el lanzamiento de la versión 3.4.0 del plugin. El código vulnerable también estuvo presente en la siguiente iteración, la versión 3.4.1.
Según Wordfence, que descubrió el CVE-2026-8181 el 8 de mayo, el fallo permite a atacantes no autenticados suplantar a usuarios administradores conocidos durante las solicitudes de la API REST, e incluso crear cuentas de administrador fraudulentas.
“Esta vulnerabilidad permite que atacantes no autenticados que conozcan un nombre de usuario de administrador válido suplanten totalmente a ese administrador durante cualquier solicitud de la API REST, incluidos los endpoints del núcleo de WordPress como /wp-json/wp/v2/users, proporcionando cualquier contraseña arbitraria e incorrecta en un encabezado de Autenticación Básica”, explica Wordfence [enlace].
“En el peor de los casos, un atacante podría explotar este fallo para crear una nueva cuenta de nivel de administrador sin ninguna autenticación previa”.
La causa raíz es la interpretación incorrecta de los resultados de la función ‘wp_authenticate_application_password()’, específicamente, tratar un ‘WP_Error’ como una indicación de autenticación exitosa.
Sin embargo, los investigadores explican que WordPress también puede devolver ‘null’ en algunos casos, lo que se trata erróneamente como una solicitud autenticada.
Como resultado, el código llama a ‘wp_set_current_user()’ con el nombre de usuario proporcionado por el atacante, suplantando efectivamente a ese usuario durante la solicitud de la API REST.
Los nombres de usuario de administrador pueden quedar expuestos en entradas del blog, comentarios o incluso en solicitudes públicas de la API, pero los atacantes también pueden utilizar técnicas de fuerza bruta para adivinarlos.
El acceso de nivel de administrador permite a los atacantes acceder a bases de datos privadas, plantar puertas traseras, redirigir visitantes a lugares inseguros, distribuir malware, crear usuarios administradores fraudulentos y más.
Aunque Wordfence advirtió en su publicación que “esperan que los atacantes se dirijan a esta vulnerabilidad y, por lo tanto, es fundamental actualizar a la última versión lo antes posible”, su rastreador muestra que la actividad maliciosa ya ha comenzado [enlace].
Según la misma plataforma, la firma de seguridad de sitios web ha bloqueado más de 7.400 ataques dirigidos al CVE-2026-8181 en las últimas 24 horas, por lo que la actividad es significativa.
Se recomienda a los usuarios del plugin Burst Statistics actualizar a la versión parcheada, 3.4.2, lanzada el 12 de mayo de 2026, o desactivar el plugin en su sitio.
Las estadísticas de WordPress.org muestran que Burst Statistics tuvo 85.000 descargas [enlace] desde el lanzamiento de la 3.4.2, por lo que, suponiendo que todas fueron para la última versión, quedan aproximadamente 115.000 sitios expuestos a ataques de toma de control de administrador.
Fuente:
BleepingComputer
Aprovechando una vulnerabilidad crítica de omisión de autenticación en el plugin de WordPress Burst Statistics para obtener acceso de nivel de administrador a los sitios web.
Burst Statistics es un plugin de análisis centrado en la privacidad, activo en 200.000 sitios de WordPress y comercializado como una alternativa ligera a Google Analytics.
El fallo, registrado como CVE-2026-8181, se introdujo el 23 de abril con el lanzamiento de la versión 3.4.0 del plugin. El código vulnerable también estuvo presente en la siguiente iteración, la versión 3.4.1.
Según Wordfence, que descubrió el CVE-2026-8181 el 8 de mayo, el fallo permite a atacantes no autenticados suplantar a usuarios administradores conocidos durante las solicitudes de la API REST, e incluso crear cuentas de administrador fraudulentas.
“Esta vulnerabilidad permite que atacantes no autenticados que conozcan un nombre de usuario de administrador válido suplanten totalmente a ese administrador durante cualquier solicitud de la API REST, incluidos los endpoints del núcleo de WordPress como /wp-json/wp/v2/users, proporcionando cualquier contraseña arbitraria e incorrecta en un encabezado de Autenticación Básica”, explica Wordfence [enlace].
“En el peor de los casos, un atacante podría explotar este fallo para crear una nueva cuenta de nivel de administrador sin ninguna autenticación previa”.
La causa raíz es la interpretación incorrecta de los resultados de la función ‘wp_authenticate_application_password()’, específicamente, tratar un ‘WP_Error’ como una indicación de autenticación exitosa.
Sin embargo, los investigadores explican que WordPress también puede devolver ‘null’ en algunos casos, lo que se trata erróneamente como una solicitud autenticada.
Como resultado, el código llama a ‘wp_set_current_user()’ con el nombre de usuario proporcionado por el atacante, suplantando efectivamente a ese usuario durante la solicitud de la API REST.
Los nombres de usuario de administrador pueden quedar expuestos en entradas del blog, comentarios o incluso en solicitudes públicas de la API, pero los atacantes también pueden utilizar técnicas de fuerza bruta para adivinarlos.
El acceso de nivel de administrador permite a los atacantes acceder a bases de datos privadas, plantar puertas traseras, redirigir visitantes a lugares inseguros, distribuir malware, crear usuarios administradores fraudulentos y más.
Aunque Wordfence advirtió en su publicación que “esperan que los atacantes se dirijan a esta vulnerabilidad y, por lo tanto, es fundamental actualizar a la última versión lo antes posible”, su rastreador muestra que la actividad maliciosa ya ha comenzado [enlace].
Según la misma plataforma, la firma de seguridad de sitios web ha bloqueado más de 7.400 ataques dirigidos al CVE-2026-8181 en las últimas 24 horas, por lo que la actividad es significativa.
Se recomienda a los usuarios del plugin Burst Statistics actualizar a la versión parcheada, 3.4.2, lanzada el 12 de mayo de 2026, o desactivar el plugin en su sitio.
Las estadísticas de WordPress.org muestran que Burst Statistics tuvo 85.000 descargas [enlace] desde el lanzamiento de la 3.4.2, por lo que, suponiendo que todas fueron para la última versión, quedan aproximadamente 115.000 sitios expuestos a ataques de toma de control de administrador.
Fuente:
BleepingComputer
Etiquetas:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.