Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Xerox FreeFlow Core de FUJIFILM
  • Múltiples vulnerabilidades en productos de Apple
  • Vulnerabilidad de modificación de propiedades en Spring Cloud Gateway

Múltiples vulnerabilidades en Xerox FreeFlow Core de FUJIFILM

Fecha17/09/2025
Importancia5 - Crítica
Recursos Afectados
  • Xerox FreeFlow Core, versiones desde 7.0.0 hasta 7.0.11.
Descripción

Jimi Sebree junto con Horizon3.ai han descubierto 2 vulnerabilidades, una de severidad crítica y otra alta que, en caso de ser explotadas, podrían permitir a un atacante obtener información del dispositivo y ejecutar código arbitrario.

Solución

Actualizar a la versión 8.0.5 o posterior.

Por otro lado, la vulnerabilidad no es explotable en caso de que el dispositivo esté ubicado en una red debidamente protegida por un cortafuegos. Adicionalmente y en caso de que no pueda actualizar el producto, ni configurar debidamente el cortafuegos, también puede bloquear el acceso al puerto 4004.

Detalle

La vulnerabilidad de severidad crítica consiste en un salto de directorio que permite a un atacante acceder a archivos no autorizados en el servidor. Esto puede provocar la ejecución remota de código (RCE),  es decir, que un atacante ejecute comandos arbitrarios en el sistema.

Se ha asignado el identificador CVE-2025-8356 a esta vulnerabilidad.

La vulnerabilidad de severidad media tiene asignado el identificador CVE-2025-8355 y es de tipo restricción incorrecta de referencia a entidad externa XXL (XXE), lo que puede permitir a un atacante provocar una falsificación de solicitudes del lado del servidor (SSFR, Server-Side Request Forgery).

Múltiples vulnerabilidades en productos de Apple

Fecha17/09/2025
Importancia5 - Crítica
Recursos Afectados

Versiones anteriores a:

  • iOS 26 e iPadOS 26;
  • iOS 18.7 e iPadOS 18.7;
  • iOS 16.7.12 e iPadOS 16.7.12;
  • iOS 15.8.5 e iPadOS 15.8.5;
  • macOS Tahoe 26;
  • watchOS 26;
  • macOS Sequoia 15.7;
  • macOS Sonoma 14.8;
  • tvOS 26;
  • visionOS 26;
  • Safari 26;
  • Xcode 26.
Descripción

Apple ha publicado 12 notas de seguridad informando de varias vulnerabilidades en sus productos. Entre ellas, una vulnerabilidad de severidad crítica en el kernel de algunos productos y otra de severidad alta que podría estar siendo explotada.

Solución

Actualizar los dispositivos a las últimas versiones disponibles:

  • iOS 26 e iPadOS 26;
  • iOS 18.7 e iPadOS 18.7;
  • iOS 16.7.12 e iPadOS 16.7.12;
  • iOS 15.8.5 e iPadOS 15.8.5;
  • macOS Tahoe 26;
  • watchOS 26;
  • macOS Sequoia 15.7;
  • macOS Sonoma 14.8;
  • tvOS 26;
  • visionOS 26;
  • Safari 26;
  • Xcode 26.
Detalle

La vulnerabilidad de severidad crítica, CVE-2025-43359, afecta al kernel de tvOS 26, macOS Sonoma 14.8, macOS Sequoia 15.7, iOS 18.7 y iPadOS 18.7, visionOS 26, watchOS 26, macOS Tahoe 26, iOS 26 y iPadOS 26. Un socket de servidor UDP vinculado a una interfaz local puede vincularse a todas las interfaces.

La vulnerabilidad de severidad alta CVE-2025-43300 en combinación con la vulnerabilidad CVE-2025-55177, que afecta al aplicativo ImageIO, podría haber sido explotada de forma activa para las versiones anteriores a iOS 18.6.2 e iPadOS 18.6.2, iPadOS 17.7.10, macOS Ventura 13.7.8, macOS Sonoma 14.7.8, macOS Sequoia 15.6.1.

Vulnerabilidad de modificación de propiedades en Spring Cloud Gateway

Fecha17/09/2025
Importancia5 - Crítica
Recursos Afectados

Las siguientes versiones de Spring Cloud Gateway están afectadas:

  • 4.3.0 - 4.3.x;
  • 4.2.0 - 4.2.x;
  • 4.1.0 - 4.1.x;
  • 4.0.0 - 4.0.x;
  • 3.1.0 - 3.1.x;
  • las versiones anteriores que ya no reciben soporte técnico también se ven afectadas.
Descripción

Ezzer17 ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante modificar las propiedades del entorno Spring.

Solución

Se recomienda a los usuarios de las versiones afectadas actualizar a la versión corregida correspondiente:

  • 4.3.1;
  • 4.2.5;
  • 4.1.11;
  • 4.1.11;
  • 3.1.11.
Detalle

Spring Cloud Gateway Server Webflux puede ser vulnerable a la modificación de propiedades del entorno Spring. Para poder explotar la vulnerabilidad, es necesario que se cumplan todas las siguientes condiciones:

  • La aplicación utiliza Spring Cloud Gateway Server Webflux (Spring Cloud Gateway Server WebMVC no es vulnerable).
  • Spring Boot actuator es una dependencia.
  • El enpoint web del actuador Spring Cloud Gateway Server Webflux está habilitado a través de 'management.endpoints.web.exposure.include=gateway'.
  • Los endpoint del actuador están disponibles para los atacantes y desprotegidos.

Se ha asignado el identificador CVE-2025-41243 para esta vulnerabilidad.