Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Boletín de seguridad de Android: septiembre de 2025
  • Cross-Frame Scripting (XFS) en BoomCMS

Boletín de seguridad de Android: septiembre de 2025

Fecha03/09/2025
Importancia5 - Crítica
Recursos Afectados
  • System: referencia A-406785684, versión anterior a la 15, 16.
  • Qualcomm: referencias A-388047924, A-400449682 y A-400449915. 
Descripción

El boletín de seguridad de Android de septiembre de 2025, soluciona una vulnerabilidad de severidad crítica y múltiples altas que afectan a su sistema, así como el kernel y múltiples componentes, que podrían provocar ejecución remota de código y escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. 

Solución

Actualizar el sistema a la ultima versión.

Detalle
  • CVE-2025-48539: la vulnerabilidad que afecta al sistema podría provocar la ejecución remota de código (proximal/adyacente) sin necesidad de privilegios de ejecución adicionales. No se requiere la interacción del usuario para su explotación.
  • CVE-2025-21450: se produce un problema criptográfico debido al uso de un método de conexión inseguro durante la descarga.
  • CVE-2025-21483: la vulnerabilidad reside en el reensamblaje de paquetes del Protocolo de transporte en tiempo real (RTP) de Qualcomm dentro del módulo Pila y conectividad de red de datos.
  • CVE-2025-27034: la vulnerabilidad se deriva de una validación incorrecta de un índice de matriz en el procesador de llamadas multimodo. 

Cross-Frame Scripting (XFS) en BoomCMS

Fecha03/09/2025
Importancia2 - Baja
Recursos Afectados

BoomCMS, versión 9.1.4.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad baja que afecta a BoomCMS de UXB London, un gestor de contenido de uso sencillo. La vulnerabilidad ha sido descubierta por Sergio Corchado Lucero.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41000: CVSS v4.0: 2.1 | CVSS AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-1021
Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-41000: vulnerabilidad de Cross-Frame Scripting (XFS) en BoomCMS v9.1.4 de UXB London. XFS es una técnica de ataque web que explota errores específicos del navegador para espiar al usuario a través de JavaScript. Este tipo de ataque se basa en la ingeniería social y depende totalmente del navegador elegido por el usuario, por lo que se percibe como una amenaza menor para la seguridad de las aplicaciones web. Esta vulnerabilidad sólo funciona en navegadores antiguos.