Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3993
)
-
▼
mayo
(Total:
690
)
-
Filtración en Grafana provocada por falta de rotac...
-
IA reemplazará Python pero no toda la programación
-
GitHub confirma robo masivo de repositorios internos
-
Discord implementa el cifrado de extremo a extremo...
-
Intel Crescent Island: así será la tarjeta gráfica...
-
Google Pics revoluciona la edición de imágenes con IA
-
Webworm utiliza Discord y la API de MS Graph para ...
-
The Gentlemen Ransomware ataca Windows, Linux, NAS...
-
Vulnerabilidades críticas de PostgreSQL permiten e...
-
Google Gemini Omni para crear vídeos hiperrealistas
-
Vulnerabilidad crítica en Apache Flink permite eje...
-
IA colapsa el sistema de errores de Linux
-
Samsung lanza gafas inteligentes contra Meta
-
Nuevo malware VoidStealer roba contraseñas y cooki...
-
WD DC HC6100 UltraSMR, así son los primeros discos...
-
Firefox añade copia de seguridad local a Linux
-
Intel va a por el MacBook Neo con Project Firefly:...
-
Cirugía para parecerse a la IA
-
Apple acusada de ralentizar iPhones antiguos
-
Vulnerabilidad crítica de Marimo permite ejecución...
-
WWDC 2026: novedades de iOS 27 y Siri IA
-
Nova Lake-S: salto masivo en rendimiento
-
IA reemplazará empleos en 18 meses según Microsoft
-
Intel Nova Lake tiene muestras de ingeniería lista...
-
Malware de macOS instala falso actualizador de Goo...
-
Linux ya disponible en más PS5
-
Cadena de malware UAC-0184 usa bitsadmin y archivo...
-
Presunto robo de 468 mil registros del servicio po...
-
Google presenta Gemini Spark, su alternativa a Ope...
-
Google y Samsung presentan gafas con Gemini y Andr...
-
Japón pone a prueba el 6G y alcanza velocidades de...
-
Google Gemini 3.5 Flash para competir en IA y prog...
-
Google presenta Carrito Universal con IA
-
Google presenta Antigravity 2.0 para programar con IA
-
Demanda con IA termina en ridículo legal
-
Kimsuky ataca a reclutadores, usuarios de cripto y...
-
Comprometen paquetes de @antv en ataque de npm Min...
-
La principal agencia de ciberdefensa de EE. UU. ex...
-
China habría cerrado la puerta a la entrada de grá...
-
Administrador de CISA expone credenciales de AWS G...
-
Campaña de malware usa JavaScript, PowerShell y sh...
-
Apple implementará IA para corregir mensajes
-
Intel y socios crean MacBook barato contra Apple
-
Publicado el PoC de DirtyDecrypt para la vulnerabi...
-
Utilizan routers Four-Faith para botnet
-
Edge deja de cargar contraseñas al iniciar
-
Cuidado: la IA puede robar tus huellas dactilares ...
-
GitHub Action comprometida filtra credenciales a d...
-
Atacantes usan Cloudflare para exfiltrar archivos ...
-
Detectan un fallo en Android que expone tu conexió...
-
Sony dejará de lanzar exclusivos en PC
-
Gen Z recupera el Discman por Spotify
-
Compañía Aérea prohíbe robots humanoides en sus vu...
-
Jefe de IA de Microsoft predice robots en oficinas...
-
MiniPlasma: un PoC reabre una escalada local a SYS...
-
Microsoft eliminará la tecla Copilot de Windows 11
-
Drupal lanzará actualizaciones críticas de segurid...
-
Movistar y Sony prueban 5G ultrarrápido en España
-
Novedades de Gemini en el Google I/O
-
Microsoft publica Azure Linux 4.0
-
Lo que publicas en Instagram lo están usando para ...
-
Microsoft confirma que hay problemas con las actua...
-
A falta de días para la huelga se filtra que Samsu...
-
Vulnerabilidades en el gateway de correo SEPPMail ...
-
LineShine, el super ordenador de China con 2,4 mil...
-
Claude Mythos halla fallos críticos en sistemas y ...
-
Mythos crea exploits PoC en investigación automati...
-
UE 5.8 lleva Ray Tracing a Switch 2
-
Barreras a la reparación de productos
-
Usan cuentas de Microsoft Entra ID para robar dato...
-
Grabaron su propio ciberataque en Teams
-
PlayStation Plus sube sus precios
-
Etiquetas populares de GitHub Action redirigidas a...
-
Las gafas inteligentes de Ray-Ban Meta permitirán ...
-
IA satura la lista de seguridad de Linux
-
Linux suma Nvidia Reflex y AMD Anti-Lag para todo GPU
-
Gemini supera a ChatGPT con su nuevo nivel de pens...
-
El test de Lovelace es una versión más exigente de...
-
Reaper: el malware que roba contraseñas y billeter...
-
Cómo borrar tus datos de Claude
-
IA dispara precio eléctrico en EE.UU. un 76%
-
Otro paquete de npm cae víctima de un clon de Shai...
-
Vulnerabilidad crítica en plugin Burst Statistics ...
-
Malta regalará ChatGPT Plus bajo una condición: qu...
-
WhatsApp lanza mensajes temporales inteligentes
-
Musk pierde juicio contra OpenAI
-
Grok Build: la IA de Elon Musk que programa por ti
-
NVIDIA Vera Rubin consumirá aproximadamente 6.041 ...
-
Un 60% de los jugadores de PC no planea comprarse ...
-
Linux domina los superordenadores
-
Aprende Linux con estos 4 juegos
-
CHUWI UniBook: rival directo del MacBook Neo con C...
-
Operación Ramz de INTERPOL desarticula redes de ci...
-
Estudiantes universitarios abuchean discursos de g...
-
ASUS ROG NUC 16: el mini-PC definitivo
-
Nueva vulnerabilidad escalada local de privilegios...
-
Grafana Labs reconoce que atacantes descargaron su...
-
Vulnerabilidades críticas de n8n exponen nodos a R...
-
Microsoft confirma error 0x800f0922 en actualizaci...
-
Atacantes de NGINX Rift actúan rápido contra servi...
-
-
▼
mayo
(Total:
690
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
Un exploit zero-day llamado YellowKey permite abrir unidades con BitLocker usando archivos en un USBEl investigador Chaotic Eclipse ha revelado dos vulnerabilidades críticas: YellowKey y GreenPlasma. YellowKey permite acceder a discos prote... -
Un ataque de cadena de suministro a gran escala ha alertado a los desarrolladores de software en todo el mundo, después que comprometieran ...
Vulnerabilidades críticas de PostgreSQL permiten ejecución de código e inyecciones SQL
El Grupo de Desarrollo Global de PostgreSQL ha lanzado actualizaciones de seguridad críticas para todas sus ramas compatibles. Estas versiones (18.4, 17.10, 16.14, 15.18 y 14.23) corrigen 11 vulnerabilidades, entre las que destacan fallos de ejecución arbitraria de código y diversas inyecciones de SQL, además de resolver más de 60 errores reportados.
El Grupo de Desarrollo Global de PostgreSQL ha lanzado actualizaciones de seguridad críticas para todas las ramas compatibles, corrigiendo 11 vulnerabilidades, incluyendo la ejecución de código arbitrario y varios fallos de inyección SQL.
Se han publicado PostgreSQL 18.4, 17.10, 16.14, 15.18 y 14.23 como actualizaciones de seguridad y mantenimiento.
Estas versiones menores solucionan 11 CVE además de más de 60 errores reportados durante los últimos meses, lo que convierte a este lanzamiento en una prioridad alta para las bases de datos de producción.
Todas las ramas compatibles desde la 14 hasta la 18 se ven afectadas por al menos algunos de los problemas, por lo que el simple hecho de ejecutar una versión mayor más reciente no elimina el riesgo.
Puedes actualizar en el sitio deteniendo PostgreSQL y actualizando los binarios; no es necesario realizar un dump/restore ni usar pg_upgrade para estas actualizaciones menores.
Vulnerabilidades de PostgreSQL
Ejecución de Código a través del Módulo refint
El CVE-2026-6637 es uno de los errores más graves, localizado en el módulo refint utilizado para hacer cumplir la integridad referencial.
Un desbordamiento de búfer de pila permite que un usuario de la base de datos sin privilegios ejecute código arbitrario con la cuenta del sistema operativo que ejecuta PostgreSQL, lo que significa un compromiso total del servidor desde un punto de acceso a nivel de base de datos.
Surge un escenario de ataque independiente cuando una aplicación expone una columna controlada por el usuario como una clave primaria de refint-cascade y permite a los usuarios actualizarla.
En este caso, una actualización de clave primaria manipulada puede provocar una inyección SQL, permitiendo al atacante ejecutar SQL arbitrario con los privilegios de la base de datos del rol que realiza la actualización.
| Vulnerabilidad | Impacto |
|---|---|
| CVE-2026-6472 | Omisión de privilegios y ejecución de SQL arbitrario |
| CVE-2026-6473 | Posible RCE y corrupción de memoria |
| CVE-2026-6474 | Fuga de información de memoria del servidor |
| CVE-2026-6475 | Vulnerabilidad de sobrescritura de archivos arbitrarios |
| CVE-2026-6476 | Inyección SQL con ejecución de superusuario |
| CVE-2026-6477 | Riesgo de ejecución de código en el lado del cliente |
| CVE-2026-6478 | Fuga de tiempo de credenciales MD5 |
| CVE-2026-6479 | Fallo de denegación de servicio SSL/GSS |
| CVE-2026-6575 | Problema de divulgación de memoria limitada |
| CVE-2026-6637 | Desbordamiento de pila e inyección SQL |
| CVE-2026-6638 | Inyección SQL en replicación lógica |
Inyección SQL en Componentes de Replicación
Las funciones de replicación lógica contienen múltiples rutas de inyección SQL que pueden ser abusadas para la escalada de privilegios.
El CVE-2026-6476 afecta a pg_createsubscriber y permite que un atacante con derechos de pg_create_subscription inyecte SQL que se ejecuta con privilegios de superusuario cuando se invoca pg_createsubscriber.
El CVE-2026-6638 reside en ALTER SUBSCRIPTION … REFRESH PUBLICATION.
Un creador de tablas suscriptoras puede diseñar nombres de tablas que provoquen la ejecución de SQL arbitrario utilizando las credenciales del lado de la publicación, la próxima vez que se ejecute REFRESH PUBLICATION.
Según el último lanzamiento de PostgreSQL, estos fallos afectan principalmente a entornos de PostgreSQL 16–18 que utilizan replicación lógica.
Otros Problemas Críticos de Memoria y del Lado del Cliente
Varias vulnerabilidades afectan la seguridad de la memoria, la denegación de servicio y las herramientas del cliente.
El CVE-2026-6473 describe problemas de desbordamiento de enteros que causan asignaciones de memoria insuficientes y escrituras fuera de límites, lo que provoca fallos de segmentación cuando los atacantes suministran entradas manipuladas.
El CVE-2026-6477 afecta a la librería de cliente libpq al permitir el uso inseguro de PQfn en funciones auxiliares de objetos grandes como lo_export() y lo_read().
Un superusuario del servidor puede enviar respuestas excesivamente grandes que sobrescriban la memoria de la pila en herramientas de cliente como psql y pg_dump, lo que podría conducir a la ejecución de código en el lado del cliente.
Las utilidades de respaldo también están impactadas: el CVE-2026-6475 permite que pg_basebackup (formato plano) y pg_rewind sigan enlaces simbólicos y sobrescriban archivos locales arbitrarios elegidos por el superusuario de origen, como perfiles de shell.
Además, está programado que PostgreSQL 14 llegue al fin de su vida útil el 12 de noviembre de 2026, tras lo cual ya no recibirá correcciones.
Si tu organización todavía utiliza la versión 14, deberías aplicar la 14.23 ahora mismo y comenzar a planificar una migración a una rama compatible más reciente.
Dada la combinación de ejecución de código, inyección SQL, corrupción de memoria y riesgos en el lado del cliente, debes tratar estas actualizaciones como urgentes, especialmente para despliegues de PostgreSQL expuestos a internet o multi-inquilino.
Tu equipo debería priorizar la actualización a 18.4, 17.10, 16.14, 15.18 o 14.23 y revisar el uso de refint, la replicación lógica y las herramientas de cliente como parte de sus esfuerzos de endurecimiento del sistema.
Fuentes:
https://cybersecuritynews.com/postgresql-code-execution-vulnerabilities/
Etiquetas:
base-de-datos
,
ciberseguridad
,
ejecución-de-código
,
inyección-sql
,
postgresql
,
vulnerabilidad
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.