Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4901
)
-
▼
junio
(Total:
518
)
-
Crisis y despidos en la industria del videojuego
-
Campaña de phishing de Microsoft 365 elude robo de...
-
Falla la seguridad de fabricante de monitores card...
-
Nuevo malware de Android Rokarolla roba PIN, códig...
-
Rusia y China usan IA para imitar humanos y evadir...
-
AMD integraría una NPU en los Ryzen Zen 6 de escri...
-
Beneficios de eliminar la IA en jóvenes
-
Casi 14.000 servidores de SimpleHelp expuestos por...
-
Exempleado de distrito escolar, preso por hackear ...
-
Explotan vulnerabilidad 0-day en plugin LiteSpeed ...
-
FSR 4.1 en Radeon RX 6000 y 7000
-
Empresa de IA invierte 3.000 dólares por empleado ...
-
Hackeo de plugin OptinMonster expone 1,2 millones ...
-
Anthropic actualiza su política de privacidad para...
-
Elon Musk cambia TSMC por Samsung para crear la nu...
-
Por qué Gemini supera a ChatGPT
-
Unos investigadores colaboran con Google para crea...
-
Actualizaciones de Windows 11 bloquean PCs
-
Atacan vulnerabilidad de privilegios en Cisco SD-WAN
-
España bloqueará llamadas bancarias fraudulentas
-
Cisco lanza actualizaciones de seguridad para corr...
-
Intel y NVIDIA: CPUs con gráficas integradas
-
Linux 7.1: nuevo controlador NTFS y limpieza de có...
-
EA justificará la publicidad en sus juegos
-
Siete distribuciones BSD
-
SteamOS ya compatible con Intel
-
El DOJ interviene los sitios de desnudos deepfake ...
-
Aviso en sitio de Microsoft por certificado caducado
-
El ecosistema del ransomware se consolida en torno...
-
Valve confirma dos versiones de Steam Machine
-
DPAPISnoop extrae hashes CREDHIST para recuperació...
-
Windows 11 falla tras actualizarse
-
IA costosas generan pérdidas a OpenAI y Anthropic
-
Nadella admite adicción al tokenmaxxing con IA
-
Amazon impulsaría veto de Casa Blanca a modelos de IA
-
Sitio de Microsoft muestra advertencias por olvido...
-
Usan archivos LNK, PowerShell y Python para desple...
-
Zen 6 vs Zen 5
-
FBI: Estafadores emplean mensajeros para robar din...
-
Extensiones Ad Blocker roban chats de IA de ChatGP...
-
Cadena de vulnerabilidades en LiteLLM permite a us...
-
Linus Torvalds: menos palabras y más código
-
Intel Raptor Lake Next: nuevas CPU Core 200 para e...
-
Investigador afirma que el gobierno entró en pánic...
-
El Reino Unido prohibirá las redes sociales a los ...
-
AMD se lanza a por Apple y su MacBook Neo: menos j...
-
La Inteligencia Artificial y el impacto real en el...
-
Polémica por drones e IA con datos de Pokémon GO
-
Origen del router y su importancia
-
Un CORSAIR GPU Power Bridge se derrite en una GeFo...
-
McAfee: los móviles son el mayor espía del planeta
-
Expuesta plataforma de malware por página PHP abierta
-
IA: Tus chats no son privados
-
El Consejo de Europa es víctima de un hackeo de Sh...
-
IA: 4 claves de su burbuja
-
Palo Alto advierte sobre vulnerabilidad de VPN Glo...
-
Vulnerabilidad crítica en Microsoft 365 Copilot pe...
-
Steam Machine y SteamOS avanzan con Intel
-
Xbox podría venderse
-
Google afirma que espías vinculados a China se inf...
-
SecSuite: herramienta de IA para OSINT y seguridad...
-
Microsoft Graph para atacar a empleados de nómina ...
-
Vulnerabilidad crítica de Wazuh permite manipular ...
-
Scripts de plugins populares de WordPress manipula...
-
Google Home se renueva con 4 funciones clave
-
Palworld amenaza a Nintendo
-
Streaming de video en ASCII
-
Intel recicla Raptor Lake Next
-
OpenAI acusa a China de desprestigio con datos reales
-
Google enseñará a su IA a dudar para evitar errores
-
IA obliga a concesionario a pagar oferta excesiva ...
-
Copilot+ de Windows 11 ya funciona con GPU NVIDIA
-
Steam quita tarjetas físicas por estafas
-
Pad térmico con grafeno y cobre diseñado para baja...
-
Un mapa de las ciudades y pueblos más brillantes y...
-
Google Earth ya tiene simulador de vuelo online
-
El FBI desmantela una red masiva de phishing basad...
-
Claude para Windows agota la RAM
-
Todo sobre Claude Fable 5
-
Ataques de Agentjacking engañan a agentes de IA pa...
-
Gobierno Estados Unidos bloquea acceso a Anthropic...
-
Grave vulnerabilidad en Splunk Enterprise permite ...
-
AMD sucumbe a la presión mediática: acepta la gara...
-
BugHunter: Kit de Bug Bounty con Claude e IA gratuita
-
ChatGPT gratis y offline en tu PC o Mac con LMStudio
-
Requisito para las nuevas funciones de IA en Windo...
-
Hackers vinculados a China comprometieron software...
-
ChatGPT falla en crisis
-
China advierte el riesgo real de la IA
-
OpenAI lanza la función más esperada de Codex
-
Cadena de vulnerabilidad crítica en LangGraph perm...
-
Más de 400 paquetes de AUR en Arch Linux compromet...
-
Edge acelera actualizaciones: pros y contras
-
EEUU prohíbe IA a extranjeros
-
phpBB soluciona un fallo de salto de autenticación...
-
Apple ignoró adaptar Siri AI a Europa
-
Google demanda a red china de ciberdelincuencia po...
-
La Inteligencia Artificial agéntica cambia el merc...
-
Trump Mobile T1 es un teléfono chino dorado
-
El gigante farmacéutico Novo Nordisk admite filtra...
-
Operativo de INTERPOL desmantela plataforma de phi...
-
Las 15 CPU más vendidas en Amazon para este 2026 s...
-
GoFlateLoader usa superposición PE masiva para dis...
-
OpenAI bajará precios para competir con Anthropic
-
Usan proxies residenciales para ocultar actividad ...
-
Oracle soluciona vulnerabilidad zero-day de People...
-
ShinyHunters vulnera universidades mediante exploi...
-
Distribuciones de Linux menos conocidas
-
YouTube recupera los mensajes privados
-
Cuidado con vídeos para activar Windows y Office, ...
-
Google será responsable de los errores de su IA
-
Guía del Abandonware: qué es y dónde descargarlo
-
Usan AWS y Google Cloud para evadir detección y fi...
-
Vulnerabilidad crítica de Langflow permite ejecuta...
-
Actualización crítica de seguridad de Oracle para ...
-
Cómo solucionar el Error 1076 en Gemini
-
ReactOS ya puede ejecutar Half-Life
-
Vulnerabilidad en Teams para Android permite filtr...
-
Un YouTuber demandará a Samsung por no reemplazarl...
-
Europol desmantela AudiA6, el servicio de lavado d...
-
Claude 3.5: potencial oculto e inteligencia divina
-
Si vives en Estados Unidos, el PC te puede salvar ...
-
Hackean Claude Fable 5 en tiempo récord
-
CISA exige a agencias federales parchear vulnerabi...
-
Xbox se reinicia
-
Lisa Su advierte sobre las limitaciones de la IA
-
Investigador hackeó Google con IA y ganó 500.000 d...
-
Explotan 0-day de GreatXML para saltar BitLocker v...
-
-
▼
junio
(Total:
518
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
AMD rediseñó el Ryzen 7 5800X3D para su regreso a AM4, integrando una segunda generación de 3D V-Cache debido a complicaciones en la fabri... -
Guía para crear un ChatGPT de código abierto que funcione de forma gratuita, local y sin internet en PC o Mac para evitar restricciones de... -
ElDiario.es ha publicado un mapa de la huella lumínica en España que analiza la contaminación lumínica de más de 8.000 municipios , identif...
Cadena de vulnerabilidades en LiteLLM permite a usuarios con pocos privilegios tomar el control de servidores de AI Gateway
Investigadores de Obsidian Security descubrieron que una cuenta de bajos privilegios en LiteLLM puede obtener control total del servidor mediante la combinación de tres vulnerabilidades críticas. Esto permite a un atacante robar claves de API, leer datos sensibles y ejecutar código remoto para comprometer máquinas de desarrolladores. La solución es actualizar a la versión v1.83.14-stable o posterior y auditar los permisos de administrador.
Una cuenta predeterminada de bajos privilegios en un proxy de LiteLLM puede escalar a administrador total y ejecutar código en el servidor encadenando tres vulnerabilidades, según revelaron investigadores de Obsidian Security.
LiteLLM es una pasarela de IA de código abierto ampliamente desplegada que gestiona llamadas a más de 100 proveedores de modelos detrás de una interfaz compatible con OpenAI.
La toma de control de un servidor expone cada clave de proveedor que posea, los secretos que descifran sus credenciales almacenadas y cada prompt y respuesta que pase a través de él.
Obsidian califica la cadena completa con un CVSS 9.9, en el rango Crítico. BerriAI, el mantenedor, incluyó el conjunto completo de correcciones en LiteLLM v1.83.14-stable, que GitHub lista como lanzada el 2 de mayo. Actualiza a esa versión o posterior para cerrar la cadena de tres CVE.
El primer enlace es CVE-2026-47101, un bypass de autorización. Cuando un usuario regular (internal_user) genera una clave API virtual, LiteLLM almacena el campo allowed_routes proporcionado por el llamador sin verificarlo contra el rol del usuario.
Se supone que el campo debe restringir lo que una clave puede hacer. En su lugar, el proxy también lo trata como una concesión de respaldo, por lo que un no administrador puede crear una clave con allowed_routes: ["/*"], un comodín que llega a todas las rutas, incluidas las exclusivas de administrador. Esta misma escritura sin verificar aparece en otros endpoints de gestión de claves, razón por la cual la corrección requirió tres pull requests para implementarse.
Con la puerta de rutas saltada, los controladores detrás de ella se vuelven accesibles. Varios de ellos asumen que la puerta ya ha realizado el filtrado, lo que abre dos caminos.
Uno es CVE-2026-47102, escalada de privilegios. El endpoint /user/update permite que un usuario edite su propio registro, pero no restringe qué campos puede escribir. Se acepta y guarda una auto-actualización con user_role: "proxy_admin", promoviendo al llamador a administrador total del proxy. Un org_admin puede acceder a este endpoint a través de una ruta de código legítima e intencionada sin necesidad de bypass; un internal_user predeterminado llega a él después de CVE-2026-47101.
VulnCheck, que asignó el CVE, lo califica con 8.7 bajo CVSS 4.0 y 8.8 bajo 3.1.
El otro es CVE-2026-40217, un escape de sandbox en el Custom Code Guardrail, que compila y ejecuta Python proporcionado por el administrador. Los endpoints de producción ejecutaban el código a través de exec() sin filtrado a nivel de fuente. Cuando exec() recibe un diccionario de globales sin __builtins__, Python inyecta silenciosamente el módulo builtins completo, lo que otorga al código __import__, open y eval. Una carga útil simple llamando a os.system fue entonces suficiente para obtener una reverse shell.
Una ruta separada en el endpoint de patio de juegos /guardrails/test_custom_code, encontrada independientemente por X41 D-Sec, derrotó una lista de denegación regex mediante la reescritura de bytecode en tiempo de ejecución. Ambas terminaron en la ejecución de código en el lado del servidor.
LiteLLM se encuentra en un punto crítico, por lo que el alcance es amplio. Una cadena completa expone la clave maestra, la clave de sal que descifra las credenciales almacenadas y la URL de la base de datos. También expone cada clave de proveedor configurada, para OpenAI, Anthropic, Gemini, Bedrock, Azure y el resto.
Las claves en la configuración o el entorno están en texto plano; las claves en la base de datos están cifradas pero son recuperables con la clave de sal. Todo lo enviado a través de la pasarela, prompts y respuestas, se vuelve legible, que en despliegues reales es donde terminan los PII, código fuente, tickets internos y secretos pegados.
Si el proxy también funciona como una pasarela de Model Context Protocol (MCP) o de agentes, los tokens OAuth y las credenciales de herramientas también están en el alcance.
El riesgo más agudo no es lo que un atacante lee, sino lo que puede reescribir. La pasarela se sitúa en la línea entre un agente de IA y el modelo, por lo que un compromiso permite alterar las respuestas en tránsito.
Obsidian demostró esto contra Claude Code enrutado a través de un proxy comprometido. Esto no es una inyección de prompts. En lugar de persuadir al modelo para que se comporte mal, el atacante utiliza el mecanismo de callback integrado de LiteLLM, un punto de extensión que se dispara en cada solicitud y que nunca aparece en la interfaz de administrador. El callback intercambia la respuesta del modelo por una llamada a herramienta falsificada y reescribe el contexto de verificación de seguridad para que la acción parezca aprobada.
En la demo, el desarrollador escribe una palabra, "hello", y el atacante lanza una reverse shell en la máquina del desarrollador.
Independientemente de la cadena, LiteLLM ofrece a un proxy_admin una ruta de ejecución de código intencionada: su soporte de MCP permite a un administrador registrar servidores MCP stdio que el proxy lanza como subprocesos locales. Esto es una decisión de diseño más que un error, y los parches no lo cambian, por lo que llegar a ser administrador es efectivamente llegar a la ejecución de código.
Obsidian reprodujo una reverse shell de esta manera en v1.88.0. Un error genuino en la misma maquinaria stdio-MCP, CVE-2026-42271, permitió a los llamadores generar subprocesos a través de los endpoints de vista previa de MCP de LiteLLM; fue explotado en entornos reales y añadido al catálogo KEV de CISA a principios de este mes.
Nada de esto es el primer tropiezo de LiteLLM este año. En marzo, un compromiso de la cadena de suministro instaló un backdoor en dos versiones de LiteLLM en PyPI, y en abril, una inyección SQL crítica fue explotada a las 36 horas de su divulgación.
Obsidian presenta la cadena aquí como un fallo divulgado con una demo funcional, no como una explotación vista en la naturaleza, pero la posición del proxy sigue convirtiéndolo en un objetivo.
Actualiza a v1.83.14-stable o posterior, la primera versión con el conjunto completo de correcciones. Luego audita. Vuelve a verificar cada cuenta que tenga el rol de proxy_admin y trata ese rol como acceso a nivel de host. Revisa cada Custom Code Guardrail en el proxy.
Comprueba los callbacks cargados desde config.yaml bajo litellm_settings.callbacks, ya que esos nunca aparecen en la consola y son exactamente donde un atacante post-RCE se escondería. Verifica la integridad del código desplegado, no solo la configuración. Si sospechas de una exposición, rota las claves de proveedor, las credenciales de la base de datos y cualquier token MCP almacenado.
Un proxy comprometido no solo filtra datos. Se sitúa entre el agente y el modelo y puede falsificar las respuestas sobre las que el agente actúa. La cadena que lleva a un atacante hasta allí es la confianza mal depositada en cada capa: la puerta de rutas confió en el campo proporcionado por el llamador, los controladores confiaron en la puerta de rutas, y nadie verificó realmente nada.
Fuente:
THN
Una cuenta predeterminada de bajos privilegios en un proxy de LiteLLM puede escalar a administrador total y ejecutar código en el servidor encadenando tres vulnerabilidades, según revelaron investigadores de Obsidian Security.
LiteLLM es una pasarela de IA de código abierto ampliamente desplegada que gestiona llamadas a más de 100 proveedores de modelos detrás de una interfaz compatible con OpenAI.
La toma de control de un servidor expone cada clave de proveedor que posea, los secretos que descifran sus credenciales almacenadas y cada prompt y respuesta que pase a través de él.
Obsidian califica la cadena completa con un CVSS 9.9, en el rango Crítico. BerriAI, el mantenedor, incluyó el conjunto completo de correcciones en LiteLLM v1.83.14-stable, que GitHub lista como lanzada el 2 de mayo. Actualiza a esa versión o posterior para cerrar la cadena de tres CVE.
Los tres errores
El primer enlace es CVE-2026-47101, un bypass de autorización. Cuando un usuario regular (internal_user) genera una clave API virtual, LiteLLM almacena el campo allowed_routes proporcionado por el llamador sin verificarlo contra el rol del usuario.
Se supone que el campo debe restringir lo que una clave puede hacer. En su lugar, el proxy también lo trata como una concesión de respaldo, por lo que un no administrador puede crear una clave con allowed_routes: ["/*"], un comodín que llega a todas las rutas, incluidas las exclusivas de administrador. Esta misma escritura sin verificar aparece en otros endpoints de gestión de claves, razón por la cual la corrección requirió tres pull requests para implementarse.
Con la puerta de rutas saltada, los controladores detrás de ella se vuelven accesibles. Varios de ellos asumen que la puerta ya ha realizado el filtrado, lo que abre dos caminos.
Uno es CVE-2026-47102, escalada de privilegios. El endpoint /user/update permite que un usuario edite su propio registro, pero no restringe qué campos puede escribir. Se acepta y guarda una auto-actualización con user_role: "proxy_admin", promoviendo al llamador a administrador total del proxy. Un org_admin puede acceder a este endpoint a través de una ruta de código legítima e intencionada sin necesidad de bypass; un internal_user predeterminado llega a él después de CVE-2026-47101.
VulnCheck, que asignó el CVE, lo califica con 8.7 bajo CVSS 4.0 y 8.8 bajo 3.1.
El otro es CVE-2026-40217, un escape de sandbox en el Custom Code Guardrail, que compila y ejecuta Python proporcionado por el administrador. Los endpoints de producción ejecutaban el código a través de exec() sin filtrado a nivel de fuente. Cuando exec() recibe un diccionario de globales sin __builtins__, Python inyecta silenciosamente el módulo builtins completo, lo que otorga al código __import__, open y eval. Una carga útil simple llamando a os.system fue entonces suficiente para obtener una reverse shell.
Una ruta separada en el endpoint de patio de juegos /guardrails/test_custom_code, encontrada independientemente por X41 D-Sec, derrotó una lista de denegación regex mediante la reescritura de bytecode en tiempo de ejecución. Ambas terminaron en la ejecución de código en el lado del servidor.
Qué obtiene un atacante
LiteLLM se encuentra en un punto crítico, por lo que el alcance es amplio. Una cadena completa expone la clave maestra, la clave de sal que descifra las credenciales almacenadas y la URL de la base de datos. También expone cada clave de proveedor configurada, para OpenAI, Anthropic, Gemini, Bedrock, Azure y el resto.
Las claves en la configuración o el entorno están en texto plano; las claves en la base de datos están cifradas pero son recuperables con la clave de sal. Todo lo enviado a través de la pasarela, prompts y respuestas, se vuelve legible, que en despliegues reales es donde terminan los PII, código fuente, tickets internos y secretos pegados.
Si el proxy también funciona como una pasarela de Model Context Protocol (MCP) o de agentes, los tokens OAuth y las credenciales de herramientas también están en el alcance.
El riesgo más agudo no es lo que un atacante lee, sino lo que puede reescribir. La pasarela se sitúa en la línea entre un agente de IA y el modelo, por lo que un compromiso permite alterar las respuestas en tránsito.
Obsidian demostró esto contra Claude Code enrutado a través de un proxy comprometido. Esto no es una inyección de prompts. En lugar de persuadir al modelo para que se comporte mal, el atacante utiliza el mecanismo de callback integrado de LiteLLM, un punto de extensión que se dispara en cada solicitud y que nunca aparece en la interfaz de administrador. El callback intercambia la respuesta del modelo por una llamada a herramienta falsificada y reescribe el contexto de verificación de seguridad para que la acción parezca aprobada.
En la demo, el desarrollador escribe una palabra, "hello", y el atacante lanza una reverse shell en la máquina del desarrollador.
Independientemente de la cadena, LiteLLM ofrece a un proxy_admin una ruta de ejecución de código intencionada: su soporte de MCP permite a un administrador registrar servidores MCP stdio que el proxy lanza como subprocesos locales. Esto es una decisión de diseño más que un error, y los parches no lo cambian, por lo que llegar a ser administrador es efectivamente llegar a la ejecución de código.
Obsidian reprodujo una reverse shell de esta manera en v1.88.0. Un error genuino en la misma maquinaria stdio-MCP, CVE-2026-42271, permitió a los llamadores generar subprocesos a través de los endpoints de vista previa de MCP de LiteLLM; fue explotado en entornos reales y añadido al catálogo KEV de CISA a principios de este mes.
Nada de esto es el primer tropiezo de LiteLLM este año. En marzo, un compromiso de la cadena de suministro instaló un backdoor en dos versiones de LiteLLM en PyPI, y en abril, una inyección SQL crítica fue explotada a las 36 horas de su divulgación.
Obsidian presenta la cadena aquí como un fallo divulgado con una demo funcional, no como una explotación vista en la naturaleza, pero la posición del proxy sigue convirtiéndolo en un objetivo.
qué hacer
Actualiza a v1.83.14-stable o posterior, la primera versión con el conjunto completo de correcciones. Luego audita. Vuelve a verificar cada cuenta que tenga el rol de proxy_admin y trata ese rol como acceso a nivel de host. Revisa cada Custom Code Guardrail en el proxy.
Comprueba los callbacks cargados desde config.yaml bajo litellm_settings.callbacks, ya que esos nunca aparecen en la consola y son exactamente donde un atacante post-RCE se escondería. Verifica la integridad del código desplegado, no solo la configuración. Si sospechas de una exposición, rota las claves de proveedor, las credenciales de la base de datos y cualquier token MCP almacenado.
Un proxy comprometido no solo filtra datos. Se sitúa entre el agente y el modelo y puede falsificar las respuestas sobre las que el agente actúa. La cadena que lleva a un atacante hasta allí es la confianza mal depositada en cada capa: la puerta de rutas confió en el campo proporcionado por el llamador, los controladores confiaron en la puerta de rutas, y nadie verificó realmente nada.
Fuente:
THN
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.