Dos nuevos avisos de seguridad y una actualización
Índice
- Aviso de seguridad de F5 de octubre 2025 [Actualización 30/03/2026]
- Múltiples vulnerabilidades en productos de IBM
- Omisión de autorización en el chat Q&A de ON24
Aviso de seguridad de F5 de octubre 2025 [Actualización 30/03/2026]
- BIG-IP, todos los módulos;
- F5OS-A;
- F5OS-C;
- BIG-IP Next SPK;
- BIG-IP Next CNF;
- BIG-IP SSL Orchestrator;
- BIG-IP PEM;
- BIG-IP Next for Kubernetes;
- BIG-IP AFM;
- BIG-IP Advanced WAF/ASM;
- F5 Silverline, todos los servicios;
- BIG-IP APM, APM con SWG, SSL Orchestrator, SSL Orchestrator con SWG;
- NGINX App Protect WAF.
Ver las versiones vulnerables en el enlace oficial de la sección de referencias.
F5, en su comunicado trimestral de parches de seguridad ha publicado un total de 43 vulnerabilidades que afectan a sus productos, 27 de severidad alta, 15 media y 1 baja. En caso de ser explotadas podrían permitir a un atacante, escalar privilegios, finalizar procesos o incrementar el uso de memoria, entre otros.
Actualizar el producto a la última versión. Para confirmar la última versión en cada caso y si hay alguna consideración con la actualización, se recomienda consultar el enlace de las referencias.
A continuación se muestran las vulnerabilidades de severidad alta y su tipo:
- CVE-2025-53868: neutralización incorrecta de elementos especiales empleados en un comando del SO;
- CVE-2025-61955: neutralización incorrecta de directivas en código evaluado dinámicamente;
- CVE-2025-57780: ejecución con privilegios no necesarios;
- CVE-2025-60016: restricción inadecuada de operaciones dentro de los límites de la memoria del búfer;
- CVE-2025-48008: uso después de la liberación;
- CVE-2025-59781: limpieza incompleta;
- CVE-2025-41430, CVE-2025-46706, CVE-2025-53521 y CVE-2025-59778: asignación de recursos sin límites ni restricciones;
- CVE-2025-55669: uso de un recurso después de que haya expirado o haya sido liberado;
- CVE-2025-61951 y CVE-2025-54854: lectura fuera de límites;
- CVE-2025-55036, CVE-2025-54479 y CVE-2025-58096: escritura fuera de límites;
- CVE-2025-59478: acceso a un puntero no inicializado;
- CVE-2025-61938: validación incorrecta de la cantidad especificada en la entrada;
- CVE-2025-54858: recursión no controlada;
- CVE-2025-58120 y CVE-2025-61960: desreferencia a puntero nulo;
- CVE-2025-53856: alcance incorrecto del flujo de control;
- CVE-2025-61974: falta la liberación de memoria tras el tiempo de vida efectivo;
- CVE-2025-58071: uso de una variable no inicializada;
- CVE-2025-53474: copia del búfer sin comprobar el tamaño de la entrada (desbordamiento clásico del búfer);
- CVE-2025-61990: doble liberación;
- CVE-2025-61935: valor de retorno no comprobado.
[Actualización 30/03/2026]
F5 ha informado que la vulnerabilidad CVE-2025-53521 está siendo explotada activamente. Esta vulnerabilidad afecta a los sistemas BIG-IP y permite la ejecución de código en remoto. La vulnerabilidad ha sido reclasificada pasando de nivel alto a crítico.
Múltiples vulnerabilidades en productos de IBM
- IBM Sterling Connect:Direct para UNIX: versiones comprendidas entre 6.4.0.0 - 6.4.0.4.iFix016;
- IBM Sterling Connect:Direct para UNIX: versiones comprendidas entre 6.3.0.3 - 6.3.0.6.iFix032;
- IBM Security QRadar Log Management AQL Plugin: versiones comprendidas entre 1.0.0 - 1.1.3;
- IBM WebSphere Application Server - Liberty: versiones comprendidas entre 17.0.0.3-26.0.0.3.
IBM ha informado de 7 vulnerabilidades; 2 críticas, 3 altas y 2 medias que, en caso de ser explotadas, podrían permitir a un atacante realizar un desbordamiento del búfer y contaminar los parámetros HTTP (HPP), entre otras acciones.
Se recomienda actualizar los productos a una de estas respectivas versiones:
- IBM Sterling Connect:Direct para Unix versión 6.4.0.4.iFix017 o 6.4.0.5;
- IBM Sterling Connect:Direct para Unix versión 6.3.0.6.iFix033 o 6.3.0.7;
- IBM Security QRadar Log Management AQL Plugin versión 1.1.4;
Para el producto IBM WebSphere Application Server - Liberty se recomienda actualizar a los niveles mínimos del paquete de correcciones según lo requiera la corrección provisional y luego aplicar la corrección provisional que resuelve PH70510 o aplicar Liberty Fix Pack 26.0.0.4 o posterior.
CVE-2026-1188: vulnerabilidad en el componente de biblioteca del puerto Eclipse OMR, desde la versión 0.2.0. Una función API que devuelve los nombres textuales de las características de procesador compatibles no considera el separador entre las características al determinar si el búfer de salida era lo suficientemente grande. Esto puede permitir a un atacante causar un desbordamiento de búfer.
CVE-2025-7783: vulnerabilidad en el uso de valores insuficientemente aleatorios en 'form-data' que permite la contaminación de parámetros HTTP (HPP). Esta vulnerabilidad está asociada con los archivos de programa 'lib/form_data.Js'.
Omisión de autorización en el chat Q&A de ON24
El chat Q&A de ON24.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta al chat Q&A de ON24, una plataforma de interacción. La vulnerabilidad ha sido descubierta por Samuel de Lucas Maroto.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-3321: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:N/SA:N | CWE-639
No hay solución reportada por el momento.
CVE-2026-3321: vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario en el endpoint 'console-survey/api/v1/answer/{EVENTID}/{TIMESTAMP}/'. La explotación de esta vulnerabilidad podría permitir a un atacante no autenticado enumerar los ID de eventos y obtener el historial completo de preguntas y respuestas. Estos datos expuestos públicamente pueden incluir ID, URL privadas, mensajes privados, referencias internas u otra información confidencial que solo debería estar expuesta a usuarios autenticados. Además, el contenido filtrado podría explotarse para facilitar otras actividades maliciosas, como el reconocimiento para el movimiento lateral, la explotación de sistemas relacionados o el acceso no autorizado a aplicaciones internas a las que se hace referencia en el contenido de los mensajes de chat.