Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
3646
)
-
▼
mayo
(Total:
343
)
-
Magecart usa Google Tag Manager para robar tarjetas
-
Cómo era viajar cuando no existía la navegación me...
-
Omni: la nueva IA de vídeo de Google
-
Best Western Hotels confirma filtración de datos e...
-
El gusano Mini Shai-Hulud compromete a TanStack, M...
-
IA enseña francés en 33 días
-
Vulnerabilidades críticas en extensión SOAP de PHP...
-
Clásicos retro llegan en portátil
-
Cuentas de correo de telefonica.net o movistar.es ...
-
Instructure acuerda rescate con ShinyHunters para ...
-
Sony enfurece a gamers con IA
-
Evento Hackron 2026 en Santa Cruz de Tenerife
-
Checkmarx neutraliza otra intrusión de TeamPCP tra...
-
El Hanyuan-2 es el primer ordenador cuántico de do...
-
Resonac anuncia que elevará la capacidad de produc...
-
ShinyHunters vulnera Canvas LMS mediante programa ...
-
Ataque GhostLock usa archivos compartidos de Windo...
-
Hacker controla robot cortacésped a distancia
-
ICO multa con 963.000 libras a South Staffordshire...
-
RPCS3 critica la IA y pide programar código real
-
Guía completa de Neo Geo AES+
-
Capcom prepara cuatro Resident Evil y remake de De...
-
Alerta por RAM DDR5 falsa
-
El troyano bancario TrickMo para Android emplea la...
-
Malware Vidar roba credenciales, cookies, carteras...
-
China crea chip de luz 100 veces más rápido que Nv...
-
Actualización de Google reCAPTCHA bloquea usuarios...
-
Noctua muestra el nuevo NF-A12x25 G2 chromax.black...
-
Malware de macOS usa anuncios de Google y chats de...
-
Intel terminará con sus CPU híbridas en 2028: Copp...
-
Un simulador de eclipses solares para ver cómo ser...
-
Claude Mythos: la IA restringida de Anthropic
-
Retrete para coches ya es una realidad en China
-
Herramientas de cifrado de disco
-
Herramientas interactivas de análisis de malware
-
IA envía tarjetas de cumpleaños escritas a mano
-
IA superará el coste laboral para 2026
-
Passkeys: el sustituto seguro de las contraseñas
-
Musk enfrenta cargos por no testificar en Francia
-
Outlook se renueva con IA y calendario inteligente
-
Desmantelamiento de red criminal expone a 22.000 u...
-
Intel lanza NAS con IA y Core Ultra 3
-
Siguen aumentando las estafas de módulos RAM DDR5 ...
-
Bloquea descargas de IA en Chrome y Edge
-
ChatGPT falla en el idioma chino y desespera a usu...
-
China consiguió los mejores chips de IA de NVIDIA ...
-
Vulnerabilidad de lectura fuera de límites en Olla...
-
IA encarece red eléctrica en Maryland
-
Funciones clave de Claude Code y Opus 4.7
-
Cloudflare recorta personal por IA y cae en bolsa
-
Elon Musk visita la fábrica de Intel Oregón: ¿Hará...
-
Microsoft cambiaría los sonidos de Windows 11
-
Firefox corrige fallos en PDF y videollamadas
-
Instagram quita el cifrado a sus mensajes privados
-
Más vulnerabilidades en cPanel y WHM
-
Sonidos de bienvenida: 50 años de nostalgia web
-
Intel y Apple volverían a unir sus caminos, aunque...
-
Repositorio falso de OpenAI en Hugging Face distri...
-
Mozilla soluciona 271 vulnerabilidades en Firefox ...
-
Microsoft acelerará Windows 11 un 40% con el modo LLP
-
Nintendo encarece Switch 2 pese a la caída de PS5
-
IA podría reducir costes de GTA 6
-
Malware TCLBANKER ataca usuarios mediante gusanos ...
-
El Archivo de Internet de Suiza: otra copia de seg...
-
cPanel y WHM lanzan correcciones para tres nuevas ...
-
Windows 11 mantiene código de los 90
-
Let’s Encrypt detiene emisión de certificados por ...
-
Vulnerabilidades críticas de Microsoft 365 Copilot...
-
Filtración de datos de NVIDIA expone información d...
-
SK Hynix ya no vende solo memoria, vende supervive...
-
Codex ya controla Chrome en Mac y Windows
-
Cómo saber si mi conexión a Internet tiene buen pi...
-
Falso instalador de OpenClaw para robar criptomone...
-
JDownloader ha confirmado que su web fue hackeada
-
Despliegan RAT modular que roba credenciales y cap...
-
TCLBANKER: el troyano bancario que ataca plataform...
-
Incidente de seguridad en Škoda expone datos de cl...
-
GeForce GTX serie 10: diez años de Pascal
-
Aplicaciones de historial de llamadas falsas estaf...
-
Arm creará una CPU bestial de 500 núcleos para gan...
-
ChatGPT y su impacto en el cerebro
-
UE facilitará cancelaciones online desde 2026
-
AMD Instinct MI430X, un acelerador diseñado para i...
-
Falsos técnicos informáticos acaban en prisión por...
-
Alerta por web falsa de Claude con malware
-
Batería cuántica: carga en un segundo y dura una s...
-
Samsung y SK Hynix buscan el futuro de la DRAM por...
-
Micron lanza el SSD más grande del mundo de 245 TB
-
JDownloader distribuyó malware en Windows 11 y Linux
-
Las placas base son el nuevo componente en riesgo
-
Un ciberataque global que afecta a universidades e...
-
Meta da marcha atrás con el cifrado de Instagram y...
-
Quasar Linux RAT roba credenciales de desarrollado...
-
ChatGPT avisará a un contacto de confianza en situ...
-
NVIDIA llevará mini centros de IA a los hogares
-
Excontratista del gobierno, condenado por borrar d...
-
Nuevo backdoor PamDOORa para Linux emplea módulos ...
-
China pretende fabricar más del 70% de sus obleas ...
-
Gen Z prefiere microalquileres a suscripciones
-
IA: Todos seremos jefes
-
-
▼
mayo
(Total:
343
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Noctua presenta el nuevo ventilador NF-A12x25 G2 chromax.black , que combina un diseño elegante en negro con la máxima refrigeración y baj... -
FluentCleaner es una app gratuita para Windows 11 que limpia archivos innecesarios y optimiza el sistema con mayor control y seguridad ... -
Microsoft busca incrementar la velocidad de Windows 11 hasta un 40% mediante el nuevo modo de baja latencia de la CPU "LLP" , el...
Vulnerabilidades críticas en extensión SOAP de PHP permiten ejecución remota de código
Se ha descubierto un grupo grave de vulnerabilidades en el procesamiento de cadenas del núcleo de PHP y en los componentes de ext-soap. Este fallo es crítico ya que permite la Ejecución Remota de Código (RCE) sin necesidad de autenticación, lo que pone a numerosos servidores web en riesgo inmediato de ser tomados totalmente bajo el control de un atacante.
Se ha descubierto un grave conjunto de vulnerabilidades en el procesamiento de cadenas del núcleo de PHP y en los componentes ext-soap, lo que pone a numerosos servidores web en riesgo inmediato de una toma de control total.
Aunque la extensión SOAP tiene un historial notorio de fallos de corrupción de memoria, este último descubrimiento cruza la línea roja hacia la Ejecución Remota de Código (RCE) no autenticada.
Los equipos de seguridad de GitHub se encuentran ahora en una carrera contra el tiempo, mientras los mantenedores de PHP despliegan parches de emergencia para evitar que los atacantes conviertan servidores vulnerables en activos comprometidos.
La vulnerabilidad más crítica, rastreada como CVE-2026-6722, es un fallo de uso posterior a la liberación (use-after-free) de alta gravedad en la extensión SOAP de PHP.
Esta vulnerabilidad surge de la forma en que la extensión maneja la deduplicación de objetos dentro del grafo XML utilizando los atributos id y href.
Fallos adicionales de PHP SOAP
Al analizar un documento XML, la extensión almacena objetos PHP simples en un mapa hash global, pero falla críticamente al no incrementar su recuento de referencias.
Aprovechando el mecanismo de mapa de Apache, un atacante puede liberar intencionadamente estos objetos sobrescribiendo las entradas del mapa existentes.
Esta manipulación de la memoria permite al atacante reutilizar el segmento de memoria liberado, lo que conduce a una peligrosa corrupción de la memoria.
Como demostró el investigador de seguridad Brett Gervasoni, un atacante puede controlar ampliamente esta memoria liberada asignando posteriormente cadenas simples, escalando finalmente el fallo hacia una Ejecución Remota de Código completa.
Junto al fallo de RCE, el equipo de seguridad de PHP abordó cuatro vulnerabilidades adicionales de gravedad moderada a través de GitHub.
El desarrollador iluuu1994 encabezó los esfuerzos de remediación para todos los errores recién revelados.
El CVE-2026-7261 implica otro problema de Uso Posterior a la Liberación en SoapServer al manejar objetos persistidos en la sesión.
Si la función manejadora de un nodo de cabecera falla o lanza una excepción, el objeto se libera incorrectamente pero sigue escribiéndose en el almacenamiento de la sesión.
El CVE-2026-7262 es una vulnerabilidad de desreferencia de puntero NULL activada durante la decodificación de los nodos de Mapa de Apache.
Al enviar una solicitud XML especialmente diseñada que carezca del nodo de valor, los atacantes pueden bloquear consistentemente el proceso PHP, resultando en una Denegación de Servicio.
El CVE-2026-7258 expone una lectura fuera de límites en la función nativa urldecode().
Debido a la falta de una conversión de tipo al evaluar caracteres hexadecimales, los valores de bytes negativos pueden causar un fallo de segmentación en algunas plataformas, como NetBSD.
El CVE-2026-6104 afecta a la extensión mbstring: el análisis de nombres de codificación que contienen bytes NUL incrustados provoca un desbordamiento de búfer global.
Este error de divulgación de información puede leer más allá de los límites previstos, pero no es directamente explotable para la ejecución de código.
Estas vulnerabilidades afectan a múltiples ramas de PHP con soporte activo para los fallos relacionados con SOAP y el error de urldecode().
Las versiones afectadas incluyen las versiones de PHP anteriores a 8.2.31, 8.3.31, 8.4.21 y 8.5.6. La vulnerabilidad de mbstring impacta estrictamente a las versiones anteriores a 8.4.21 y 8.5.6.
Se recomienda encarecidamente a los administradores que actualicen sus entornos de PHP inmediatamente.
Los parches contribuidos en GitHub por iluuu1994, iliaal y ndossche ya están integrados en las versiones de PHP 8.2.31, 8.3.31, 8.4.21 y 8.5.6.
Actualizar a estas versiones parcheadas resuelve de forma segura la gestión incorrecta de la memoria y los problemas de lectura fuera de límites, defendiendo el servidor tanto contra ataques de denegación de servicio como de ejecución remota de código.
Las organizaciones que utilicen la extensión SOAP deben priorizar el despliegue de este parche para proteger adecuadamente su infraestructura crítica.
Fuentes:
https://cybersecuritynews.com/php-soap-extension-vulnerabilities/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.