La Cybersecurity and Infrastructure Security Agency, conocida como CISA, añadió oficialmente dos nuevas vulnerabilidades críticas que afectan a Langflow y Trend Micro Apex One a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa en ataques reales.

La decisión refleja la creciente preocupación de las autoridades estadounidenses por el aumento de campañas de ciberataques dirigidas contra plataformas empresariales, entornos cloud y soluciones de inteligencia artificial que manejan información sensible.

Las vulnerabilidades identificadas son:

• CVE-2025-34291 – Vulnerabilidad crítica en Langflow con puntuación CVSS 9.4.
• CVE-2026-34926 – Vulnerabilidad de recorrido de directorios en Trend Micro Apex One con puntuación CVSS 6.7.

CISA ordenó a las agencias federales estadounidenses aplicar las mitigaciones y actualizaciones necesarias antes del 4 de junio de 2026 para reducir riesgos de compromiso.

¿Qué significa entrar en el catálogo KEV de CISA?

El catálogo KEV (Known Exploited Vulnerabilities) de la Cybersecurity and Infrastructure Security Agency reúne vulnerabilidades que están siendo explotadas activamente por actores maliciosos en el mundo real.

Cuando una vulnerabilidad es añadida al listado KEV, normalmente implica que:

• Existen ataques confirmados en curso.
• La explotación representa una amenaza significativa para organizaciones públicas y privadas.
• Las agencias federales deben aplicar parches de forma obligatoria dentro de plazos establecidos.

La inclusión de Langflow y Trend Micro Apex One en este catálogo evidencia el alto nivel de riesgo asociado a ambas fallas.

CVE-2025-34291: vulnerabilidad crítica en Langflow permite ejecución remota de código

La vulnerabilidad más grave del anuncio corresponde a CVE-2025-34291, una falla crítica en Langflow con una puntuación CVSS de 9.4.

Langflow es una plataforma utilizada para desarrollar aplicaciones basadas en modelos de lenguaje (LLM) e inteligencia artificial mediante interfaces visuales y automatización de flujos de trabajo.

Según investigaciones de Obsidian Security publicadas en diciembre de 2025, la vulnerabilidad combina tres debilidades críticas:

• Configuración CORS excesivamente permisiva.
• Ausencia de protección CSRF.
• Un endpoint que permite ejecución de código por diseño.

La combinación de estos factores posibilita que un atacante remoto ejecute código arbitrario y obtenga control completo del sistema comprometido.

El impacto de la vulnerabilidad en Langflow puede ser devastador

Los expertos de Obsidian Security advirtieron que el impacto potencial de CVE-2025-34291 va mucho más allá del compromiso de una sola instancia.

La explotación exitosa podría permitir el acceso a:

• Tokens de acceso cloud
• Claves API
• Credenciales SaaS
• Secretos empresariales
• Integraciones automatizadas
• Entornos DevOps conectados

CitarLa empresa explicó que:

"La explotación exitosa no solo compromete la instancia de Langflow, sino que también expone todos los tokens de acceso sensibles y las claves API almacenadas en el espacio de trabajo".

Esto podría desencadenar compromisos en cascada sobre múltiples servicios cloud integrados dentro de la infraestructura corporativa.

Grupo iraní MuddyWater explota activamente la vulnerabilidad

La situación se volvió aún más crítica después de que investigadores de Ctrl-Alt-Intel revelaran en marzo de 2026 que el grupo patrocinado por el Estado iraní MuddyWater estaba explotando activamente CVE-2025-34291.

Según el análisis, los atacantes utilizaron la vulnerabilidad como vector inicial de acceso para infiltrarse en redes objetivo.

MuddyWater es conocido por ejecutar operaciones avanzadas de ciberespionaje dirigidas contra:

• Gobiernos
• Infraestructura crítica
• Empresas tecnológicas
• Entidades financieras
• Organizaciones de telecomunicaciones

La explotación de plataformas de IA como Langflow demuestra cómo los actores estatales están ampliando rápidamente sus objetivos hacia tecnologías emergentes basadas en inteligencia artificial.

Trend Micro Apex One también bajo explotación activa

La segunda vulnerabilidad añadida por CISA corresponde a CVE-2026-34926, una falla de recorrido de directorios que afecta versiones locales de Trend Micro Apex One.

Según Trend Micro, la vulnerabilidad podría permitir que un atacante local preautenticado modifique una tabla de claves interna del servidor para desplegar código malicioso hacia agentes instalados en la red corporativa.

CitarLa compañía confirmó además que:

"Observó al menos un caso de intento de explotación activa en la naturaleza".

Aunque la explotación requiere acceso administrativo previo al servidor Apex One, el riesgo sigue siendo elevado debido a que estas plataformas poseen amplios privilegios dentro de entornos empresariales.

Plataformas EDR se convierten en objetivos prioritarios

Las soluciones EDR y plataformas de protección de endpoints como Trend Micro Apex One se han convertido en objetivos extremadamente atractivos para actores maliciosos.

Esto ocurre porque dichas herramientas:

• Poseen acceso privilegiado a endpoints corporativos.
• Controlan políticas de seguridad.
• Gestionan múltiples dispositivos simultáneamente.
• Pueden distribuir software dentro de redes empresariales.

Un compromiso exitoso permitiría a los atacantes desplegar malware, ransomware o puertas traseras a gran escala dentro de organizaciones afectadas.

CISA ordena mitigaciones inmediatas antes del 4 de junio

Debido al riesgo asociado a ambas vulnerabilidades, la Cybersecurity and Infrastructure Security Agency estableció como fecha límite el 4 de junio de 2026 para que las agencias del Poder Ejecutivo Civil Federal (FCEB) implementen las actualizaciones y mitigaciones necesarias.

Las autoridades recomiendan:

• Aplicar inmediatamente los parches disponibles.
• Restringir accesos administrativos.
• Supervisar logs y actividad sospechosa.
• Segmentar sistemas críticos.
• Rotar credenciales comprometidas.
• Implementar autenticación multifactor (MFA).

La explotación activa de vulnerabilidades críticas sigue siendo uno de los principales vectores utilizados por ciberdelincuentes y grupos patrocinados por Estados para comprometer infraestructuras corporativas.

Las plataformas de IA y seguridad están en la mira de los atacantes

El nuevo movimiento de CISA confirma una tendencia cada vez más evidente dentro del panorama de amenazas actual: los atacantes están enfocándose agresivamente en plataformas estratégicas utilizadas para automatización, inteligencia artificial y protección empresarial.

La explotación de fallos en Langflow y Trend Micro Apex One demuestra que los actores de amenazas buscan maximizar impacto atacando herramientas con acceso privilegiado a datos, pipelines cloud y redes corporativas.

A medida que las organizaciones aceleran la adopción de tecnologías IA y automatización DevOps, la superficie de ataque continúa expandiéndose, obligando a empresas y gobiernos a reforzar sus estrategias de ciberseguridad frente a campañas cada vez más sofisticadas y persistentes.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad han descubierto una sofisticada campaña automatizada denominada Megalodon, responsable de comprometer miles de repositorios en GitHub mediante commits maliciosos diseñados para robar secretos críticos de entornos CI/CD, credenciales cloud y claves privadas.

De acuerdo con un informe publicado por SafeDep, los atacantes enviaron 5.718 commits maliciosos contra 5.561 repositorios GitHub en apenas seis horas, marcando uno de los ataques automatizados de cadena de suministro más agresivos observados hasta la fecha.

La operación evidencia la creciente profesionalización de los ataques dirigidos a ecosistemas DevOps y plataformas de desarrollo modernas, donde los pipelines automatizados se han convertido en objetivos prioritarios para actores maliciosos avanzados.

Cómo funciona la campaña Megalodon

Según los investigadores, los atacantes utilizaron cuentas desechables de GitHub junto con identidades de autores falsificadas para hacer pasar los commits maliciosos como actualizaciones rutinarias de integración continua (CI).

Entre los nombres utilizados por los atacantes se encuentran:

• build-bot
• auto-ci
• ci-bot
• pipeline-bot

Los commits incluían flujos de trabajo maliciosos de GitHub Actions que ejecutaban cargas útiles Bash codificadas en Base64.

Estas cargas útiles estaban diseñadas para recopilar y exfiltrar información sensible desde entornos CI/CD comprometidos hacia un servidor de comando y control (C2).

El servidor utilizado por los atacantes fue identificado en la dirección IP 216.126.225[.]129:8443.

Credenciales y secretos robados por Megalodon

El malware desplegado durante la campaña Megalodon posee capacidades extremadamente amplias para robar información crítica relacionada con infraestructuras cloud y pipelines DevOps.

Entre los datos objetivo identificados por SafeDep destacan:

• Variables de entorno CI/CD
• Credenciales de Amazon Web Services (AWS)
• Tokens de acceso de Google Cloud
• Credenciales de Microsoft Azure IMDS
• Tokens OIDC de GitHub Actions
• GITHUB_TOKEN
• Tokens CI/CD de GitLab y Bitbucket
• Claves privadas SSH
• Configuraciones Docker y Kubernetes
• Tokens HashiCorp Vault
• Credenciales Terraform
• JWTs y claves API
• Archivos .env
• service-account.json
• credentials.json
• Historiales de shell
• Claves privadas PEM
• Cadenas de conexión a bases de datos

El malware también extraía secretos utilizando más de 30 patrones de expresiones regulares capaces de detectar tokens cloud, credenciales empresariales y claves criptográficas sensibles.

GitHub Actions convertido en arma de ataque

Uno de los aspectos más peligrosos de la campaña es el abuso de GitHub Actions como mecanismo de propagación y ejecución de malware.

Los atacantes añadieron workflows maliciosos que se ejecutaban automáticamente durante procesos de integración continua, aprovechando la confianza existente dentro de los pipelines DevOps.

SafeDep identificó dos variantes principales utilizadas durante los ataques:

SysDiag

La variante SysDiag añadía un workflow automatizado que se ejecutaba con cada evento push o pull request.

Su objetivo era maximizar la propagación y comprometer la mayor cantidad posible de pipelines CI/CD.

Optimize-Build

La segunda variante, llamada Optimize-Build, utilizaba el disparador workflow_dispatch, permitiendo ejecutar manualmente el flujo malicioso bajo demanda.

Este enfoque era más sigiloso y estaba orientado a mantener persistencia operativa evitando detecciones automáticas.

Tiledesk entre los proyectos afectados

Uno de los paquetes comprometidos durante la campaña fue @tiledesk/tiledesk-server, donde los investigadores detectaron una carga útil Bash codificada en Base64 incrustada dentro de un workflow de GitHub Actions.

En este caso, el objetivo principal no era comprometer directamente a los usuarios finales del paquete npm, sino atacar específicamente los runners CI/CD asociados al proyecto.

Esto demuestra cómo los atacantes están priorizando cada vez más la infraestructura de desarrollo y automatización sobre los dispositivos tradicionales.

Los atacantes utilizaron cuentas desechables y credenciales robadas

La operación Megalodon fue altamente automatizada y utilizó múltiples técnicas para ocultar la identidad real de los operadores.

Los investigadores descubrieron que los atacantes:

• Crearon cuentas GitHub desechables con nombres aleatorios de ocho caracteres.
• Falsificaron identidades mediante git config.
• Utilizaron PATs comprometidos.
• Aprovecharon claves de despliegue robadas.

Los mensajes de commit imitaban tareas rutinarias de mantenimiento CI/CD para reducir sospechas y aumentar las probabilidades de que los cambios fueran fusionados por los mantenedores legítimos.

TeamPCP y la nueva era de ataques a la cadena de suministro

La campaña Megalodon surge en medio de una ola creciente de ataques asociados al grupo TeamPCP, el cual ha estado explotando ecosistemas de código abierto para propagar malware y comprometer desarrolladores.

Según expertos de OX Security, estos ataques representan una nueva etapa en la evolución de las amenazas supply chain.

• El investigador Moshe Siman Tov Bustan afirmó:
• "Hemos entrado en una nueva era de ataques a la cadena de suministro".

El grupo TeamPCP ya ha sido vinculado a incidentes que afectaron organizaciones y proyectos conocidos como:

• OpenAI
• Mistral AI
• Grafana Labs
• TanStack

Ataques similares a gusanos se propagan entre proyectos open source

Los expertos advierten que los ataques modernos de cadena de suministro funcionan de manera similar a gusanos informáticos.

Cada repositorio comprometido se convierte en una nueva plataforma para atacar otros proyectos relacionados, creando una propagación cíclica extremadamente difícil de contener.

Además, TeamPCP aparentemente mantiene vínculos con grupos de extorsión y ciberdelincuencia como:

• LAPSUS$
• BreachForums
• VECT

Los investigadores también detectaron motivaciones geopolíticas dentro de algunas campañas, incluyendo despliegue de malware destructivo en sistemas ubicados en Irán e Israel.

npm invalida tokens para frenar ataques

Como respuesta a la creciente oleada de ataques supply chain, npm invalidó tokens granulares con permisos de escritura que podían eludir mecanismos de autenticación multifactor (2FA).

La plataforma también recomendó migrar hacia Trusted Publishing para reducir riesgos asociados al robo de credenciales.

Sin embargo, expertos de Socket advirtieron que la medida solo proporciona un alivio temporal.

CitarSegún la compañía:

"El reinicio da margen de respiro. No cierra el agujero subyacente".

Paquetes npm maliciosos roban claves privadas de criptomonedas

Paralelamente, investigadores descubrieron otra campaña maliciosa operada por una cuenta desechable llamada "polymarketdev".

El atacante publicó nueve paquetes npm fraudulentos que imitaban herramientas CLI relacionadas con Polymarket para robar claves privadas Ethereum y Polygon.

Los paquetes incluían scripts postinstall que mostraban falsas solicitudes de configuración de wallets y enviaban las claves privadas capturadas hacia un servidor controlado por los atacantes.

Entre los paquetes identificados destacan:

• polymarket-trading-cli
• polymarket-bot
• Polymarket-terminal
• Polymarket-AI-agent

El ecosistema open source enfrenta una crisis de seguridad

La campaña Megalodon confirma que el ecosistema de software open source atraviesa una de las crisis de seguridad más complejas de los últimos años.

Los atacantes ya no buscan únicamente comprometer usuarios finales, sino infiltrarse directamente en pipelines de desarrollo, repositorios GitHub y cadenas de suministro de software para maximizar el impacto de sus operaciones.

La automatización masiva de commits maliciosos, el robo de secretos cloud y la explotación de GitHub Actions reflejan cómo los actores de amenazas están evolucionando rápidamente sus tácticas para atacar infraestructuras críticas de desarrollo moderno.

Ante este panorama, los expertos recomiendan fortalecer controles de acceso, implementar revisiones estrictas de commits, proteger secretos CI/CD y adoptar modelos Zero Trust dentro de entornos DevOps y pipelines de automatización.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Trend Micro ha publicado actualizaciones de seguridad urgentes para corregir una vulnerabilidad zero-day crítica en Trend Micro Apex One que ya está siendo explotada activamente en ataques dirigidos contra sistemas Windows.

La falla, identificada como CVE-2026-34926, afecta específicamente a la versión local (on-premise) de Apex One y podría permitir a atacantes con privilegios administrativos inyectar código malicioso en servidores comprometidos y distribuirlo posteriormente a múltiples agentes de seguridad desplegados dentro de la infraestructura empresarial.

El incidente vuelve a poner en el centro de atención los riesgos asociados a las plataformas de protección de endpoints y demuestra cómo incluso soluciones de seguridad corporativa pueden convertirse en objetivos prioritarios para actores de amenazas avanzadas.

¿Qué es Trend Micro Apex One y por qué es importante?

Trend Micro Apex One es una plataforma de seguridad de endpoints ampliamente utilizada en entornos corporativos y gubernamentales.

La solución ofrece protección avanzada contra múltiples amenazas cibernéticas, incluyendo:

• Malware avanzado
• Ransomware
• Ataques sin archivos (fileless attacks)
• Amenazas web
• Explotación de vulnerabilidades
• Ataques dirigidos

Debido a su integración profunda dentro de redes empresariales, cualquier vulnerabilidad crítica en Apex One representa un riesgo significativo para organizaciones que dependen de esta tecnología para proteger activos críticos.

CVE-2026-34926: vulnerabilidad zero-day de recorrido de directorios

La vulnerabilidad zero-day rastreada como CVE-2026-34926 corresponde a un fallo de Path Traversal o recorrido de directorios dentro del servidor Apex One local.

Según explicó Trend Micro, un atacante con acceso administrativo al servidor puede modificar una tabla de claves interna para inyectar código malicioso que posteriormente será desplegado hacia los agentes instalados en sistemas afectados.

La compañía detalló que:

Citar"Una vulnerabilidad de recorrido de directorios en el servidor Apex One (local) podría permitir que un atacante local preautenticado modifique una tabla de claves en el servidor para inyectar código malicioso que se despliegue a agentes en las instalaciones afectadas".

Aunque la explotación requiere acceso previo y privilegios administrativos, la naturaleza centralizada de Apex One convierte esta falla en una amenaza extremadamente peligrosa para entornos empresariales.

Ataques reales ya explotan la vulnerabilidad zero-day

Uno de los aspectos más alarmantes del incidente es que la vulnerabilidad ya fue utilizada en ataques reales antes de la publicación de los parches.

Trend Micro confirmó que sus sistemas de inteligencia de amenazas TrendAI detectaron al menos un intento activo de explotación en la naturaleza.

Esto convierte oficialmente a CVE-2026-34926 en una vulnerabilidad zero-day explotada activamente, elevando significativamente el nivel de riesgo para organizaciones que aún no han aplicado las actualizaciones de seguridad.

Las vulnerabilidades de este tipo suelen ser utilizadas por grupos APT, operadores de ransomware y actores patrocinados por Estados para comprometer infraestructuras corporativas críticas.

CISA ordena a agencias federales actualizar antes del 4 de junio

La gravedad de la vulnerabilidad llevó a la Cybersecurity and Infrastructure Security Agency a añadir CVE-2026-34926 a su catálogo de Vulnerabilidades Explotadas Activamente (KEV).

Como parte de la directiva federal, CISA ordenó a las agencias gubernamentales estadounidenses aplicar los parches de seguridad antes del próximo 4 de junio.

CitarLa agencia advirtió que:

"Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y suponen riesgos significativos para la empresa federal".

Además, recomendó seguir las mitigaciones proporcionadas por el fabricante o suspender temporalmente el uso del producto en caso de no poder implementar correcciones de seguridad inmediatas.

La inclusión en el catálogo KEV suele considerarse un fuerte indicador de explotación activa y alta peligrosidad.

Trend Micro también corrige siete fallos de escalada de privilegios

Además del zero-day principal, Trend Micro lanzó actualizaciones adicionales para solucionar siete vulnerabilidades locales de escalada de privilegios en el agente Apex One Standard Endpoint Protection (SEP).

Estas fallas podrían permitir a atacantes ejecutar operaciones privilegiadas si previamente logran ejecutar código de bajo privilegio en sistemas objetivo.

Aunque estas vulnerabilidades requieren acceso inicial al dispositivo, siguen representando un riesgo importante en escenarios posteriores a la intrusión, especialmente en ataques avanzados de movimiento lateral dentro de redes corporativas.

Trend Micro Apex One ha sido objetivo recurrente de ataques

Los productos Apex One de Trend Micro han sido atacados repetidamente en los últimos años mediante campañas que explotan vulnerabilidades críticas y zero-days.

En agosto de 2025, la empresa corrigió la vulnerabilidad crítica CVE-2025-54948, una falla de ejecución remota de código (RCE) explotada activamente en ataques reales.

Asimismo, en septiembre de 2022 y septiembre de 2023, la compañía abordó otros dos zero-days de Apex One identificados como:

• CVE-2022-40139
• CVE-2023-41179

Ambas vulnerabilidades también fueron explotadas antes de la disponibilidad de parches.

Actualmente, la Cybersecurity and Infrastructure Security Agency rastrea al menos 12 vulnerabilidades relacionadas con productos Trend Micro Apex que han sido utilizadas en ataques activos.

Riesgos para empresas y organizaciones

Las plataformas EDR y de protección de endpoints como Apex One poseen acceso privilegiado dentro de infraestructuras empresariales, lo que las convierte en objetivos extremadamente valiosos para ciberdelincuentes.

Si un atacante logra comprometer el servidor central de administración, puede obtener capacidades para:

• Distribuir malware a múltiples dispositivos
• Desactivar protecciones de seguridad
• Robar información sensible
• Ejecutar ransomware a gran escala
• Mantener persistencia dentro de la red

Precisamente por ello, las vulnerabilidades en soluciones de seguridad suelen recibir máxima prioridad por parte de agencias gubernamentales y equipos de respuesta ante incidentes.

Recomendaciones urgentes para administradores de TI

Los expertos en ciberseguridad recomiendan a las organizaciones afectadas tomar medidas inmediatas para minimizar riesgos asociados a CVE-2026-34926.

Entre las principales acciones recomendadas destacan:

• Aplicar inmediatamente los parches publicados por Trend Micro.
• Restringir accesos administrativos al servidor Apex One.
• Supervisar actividad sospechosa y logs del sistema.
• Implementar segmentación de red para servidores críticos.
• Revisar credenciales administrativas comprometidas.
• Habilitar autenticación multifactor (MFA).
• Realizar análisis forenses si existen indicios de intrusión.

La explotación activa de vulnerabilidades zero-day continúa representando una de las amenazas más críticas para organizaciones modernas, especialmente cuando afecta plataformas de seguridad con amplios privilegios dentro de redes corporativas.

El nuevo incidente de Trend Micro confirma que los productos de ciberseguridad siguen siendo un objetivo prioritario para actores maliciosos avanzados que buscan maximizar el impacto de sus operaciones ofensivas.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Ubiquiti ha publicado actualizaciones de seguridad urgentes para corregir múltiples vulnerabilidades críticas en UniFi OS, una plataforma ampliamente utilizada para administrar redes empresariales, dispositivos de seguridad, videovigilancia y comunicaciones unificadas.

Las fallas, identificadas como CVE-2026-34908, CVE-2026-34909 y CVE-2026-34910, fueron clasificadas con la máxima gravedad debido a que podrían ser explotadas remotamente por atacantes sin privilegios previos. La situación genera preocupación en el sector de la ciberseguridad, especialmente porque actualmente existen cerca de 100.000 endpoints UniFi OS expuestos directamente a Internet, según datos de inteligencia recopilados por Censys.

Vulnerabilidades críticas en UniFi OS ponen en riesgo redes empresariales

UniFi OS es el núcleo operativo que impulsa las Consolas UniFi y coordina diversas aplicaciones empresariales como:

• UniFi Network
• UniFi Protect
• UniFi Access
• UniFi Talk
• UniFi Connect

Estas herramientas son utilizadas por organizaciones de todos los tamaños para gestionar redes corporativas, sistemas de videovigilancia, control de acceso físico y servicios de comunicación empresarial.

Sin embargo, las nuevas vulnerabilidades descubiertas podrían permitir a ciberdelincuentes comprometer completamente dispositivos vulnerables y obtener acceso a infraestructura crítica.

CVE-2026-34908: fallo crítico de control de acceso incorrecto

La primera vulnerabilidad crítica, rastreada como CVE-2026-34908, se origina por un problema de control de acceso incorrecto dentro de UniFi OS.

Un atacante remoto podría aprovechar esta debilidad para realizar cambios no autorizados en sistemas afectados, alterando configuraciones sensibles y comprometiendo la integridad de la plataforma.

Este tipo de vulnerabilidad es especialmente peligrosa en entornos corporativos debido a que puede abrir la puerta a modificaciones persistentes en dispositivos de red y sistemas de seguridad.

CVE-2026-34909: vulnerabilidad Path Traversal expone archivos internos

La segunda falla crítica, CVE-2026-34909, corresponde a una vulnerabilidad de Path Traversal.

Mediante su explotación, un atacante podría acceder a archivos internos del sistema operativo subyacente, incluyendo información sensible relacionada con cuentas del sistema.

Las vulnerabilidades de recorrido de directorios continúan siendo una de las técnicas favoritas de los atacantes debido a que permiten acceder a archivos restringidos sin necesidad de autenticación avanzada.

En escenarios más agresivos, este tipo de acceso podría utilizarse para extraer credenciales, configuraciones internas o preparar movimientos laterales dentro de una red empresarial.

CVE-2026-34910 permite inyección remota de comandos

La tercera vulnerabilidad de máxima gravedad identificada por Ubiquiti es CVE-2026-34910, una falla de validación incorrecta de entrada que puede derivar en ataques de inyección de comandos.

Según la compañía, un atacante con acceso a la red podría ejecutar comandos arbitrarios sobre dispositivos afectados, obteniendo potencialmente control total del sistema comprometido.

Las vulnerabilidades de ejecución remota de comandos representan uno de los escenarios más críticos dentro de la ciberseguridad moderna debido a que permiten desplegar malware, crear puertas traseras, instalar botnets o robar información sensible.

Ubiquiti también corrige otros dos fallos graves

Además de las tres vulnerabilidades críticas principales, Ubiquiti corrigió otros dos problemas importantes que afectan dispositivos UniFi OS:

• CVE-2026-33000: vulnerabilidad crítica de inyección de comandos.
• CVE-2026-34911: falla de divulgación de información clasificada como de alta severidad.

La empresa indicó que todas las vulnerabilidades fueron reportadas a través de su programa de recompensas de errores en HackerOne.

Aunque Ubiquiti no confirmó si estas fallas fueron explotadas activamente antes de la publicación de los parches, reconoció que los ataques requieren baja complejidad, aumentando significativamente el riesgo de explotación masiva.

Cerca de 100.000 dispositivos UniFi OS permanecen expuestos a Internet

Uno de los aspectos más preocupantes del incidente es la enorme superficie de exposición existente.

La firma de inteligencia de amenazas Censys actualmente rastrea aproximadamente 100.000 endpoints UniFi OS accesibles desde Internet, con casi 50.000 direcciones IP ubicadas en Estados Unidos.

Hasta el momento, no existe información pública que confirme cuántos dispositivos ya fueron actualizados y protegidos contra estas vulnerabilidades.

Los expertos en seguridad recomiendan aplicar inmediatamente las actualizaciones publicadas por Ubiquiti, restringir accesos administrativos desde Internet y segmentar adecuadamente las redes empresariales para minimizar riesgos.

Historial de vulnerabilidades críticas en productos Ubiquiti

Los productos de Ubiquiti han sido objetivo recurrente tanto de ciberdelincuentes como de grupos de amenazas patrocinados por Estados.

En marzo de este año, la compañía corrigió otra vulnerabilidad crítica en la aplicación UniFi Network, identificada como CVE-2026-22557, que podía permitir la toma de control de cuentas de usuario.

Simultáneamente, también solucionó CVE-2026-22558, una falla que posibilitaba la escalada de privilegios en dispositivos afectados.

Este patrón continuo de descubrimiento de vulnerabilidades demuestra el creciente interés de los actores maliciosos en infraestructuras de red empresariales y dispositivos IoT corporativos.

El FBI y CISA ya habían advertido sobre ataques a dispositivos Ubiquiti

Los antecedentes relacionados con dispositivos Ubiquiti reflejan un historial preocupante de explotación en campañas reales.

En febrero de 2024, el Federal Bureau of Investigation desmanteló la botnet Moobot, compuesta por routers Ubiquiti Edge OS comprometidos que eran utilizados por la inteligencia militar rusa GRU para ocultar tráfico malicioso en operaciones de ciberespionaje dirigidas contra Estados Unidos y aliados occidentales.

Asimismo, en abril de 2022, la Cybersecurity and Infrastructure Security Agency añadió la vulnerabilidad crítica CVE-2010-5330 de Ubiquiti AirOS a su catálogo de vulnerabilidades explotadas activamente.

En aquel momento, la agencia ordenó a las entidades federales proteger sus dispositivos en un plazo máximo de tres semanas debido al alto riesgo de explotación.

Administradores deben actualizar inmediatamente UniFi OS

Ante la gravedad de las vulnerabilidades recientemente descubiertas, los administradores de sistemas y equipos de seguridad deben actuar con rapidez para reducir la superficie de ataque.

Las principales recomendaciones incluyen:

• Actualizar inmediatamente UniFi OS a las versiones corregidas.
• Restringir el acceso remoto administrativo.
• Implementar autenticación multifactor (MFA).
• Segmentar dispositivos de red críticos.
• Supervisar logs y actividad sospechosa.
• Deshabilitar servicios innecesarios expuestos a Internet.

La explotación exitosa de estas vulnerabilidades podría derivar en robo de información, despliegue de malware, espionaje corporativo o incorporación de dispositivos a botnets utilizadas en campañas de ciberataques globales.

La nueva ola de fallos críticos en UniFi OS confirma nuevamente que los dispositivos de infraestructura de red continúan siendo uno de los objetivos prioritarios para actores maliciosos avanzados y grupos de ciberdelincuencia organizada.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

PC Pro – Issue 382, July 2026



Language: English | Format: pdf |2026| Size: 68 MB

https://www.up-4ever.net/vah7wkk27s3k
https://mega4upload.net/xgpqdh4wfx2o
https://www.file-upload.org/081abx41m5jz
https://rg.to/file/01f3708d9424a2053334d9c9756587cd

Que vuelva HxH 🥺

Debes mirar en YouTube videos relacionados a QA, o mirar en la plataforma de Qarmy

Coding and Programming Tricks and Tips – 22 Ed 2026



Language: English | Format: pdf |2026| Size: 46 MB

https://www.up-4ever.net/bsdvh6kzi71q
https://mega4upload.net/5c61l54cp871
https://www.file-upload.org/a1vw7xpjcsaf
https://rg.to/file/feb835fff38428bbf61b8d0964d45e14

The New York Times Best Sellers Non-Fiction – May 24, 2026



Language: English | Format: epub |2026| Size: 146 MB

List:

01. STRANGERS by Belle Burden
02. THE CASE FOR AMERICA by Bret Baier
03. THE U.S. CONSTITUTION by Melissa Murray
04. TRUE CRIME by Patricia Cornwell
05. FAMESICK by Lena Dunham
06. LONDON FALLING by Patrick Radden Keefe
07. DOGS, BOYS, AND OTHER THINGS I'VE CRIED ABOUT by Isabel Klee
08. INSIDE THE BOX by David Epstein
09. THE BODY KEEPS THE SCORE by Bessel van der Kolk
10. MAKE BELIEVE by Mac Barnett
11.ROOKIE by Joshua Taylor Bassett - N/a
12. WHEN WE SEE YOU AGAIN by Rachel Goldberg-Polin
13. THIS VAST ENTERPRISE by Craig Fehrman
14. BACKTALKER by Kimberlé Williams Crenshaw
15. STRIPPED DOWN by Bunnie Xo

https://www.up-4ever.net/of9v0utpr0ed
https://mega4upload.net/yfxwz0i4ukni
https://www.file-upload.org/t0265pi1ksp8
https://rg.to/file/41999f7fe4c79ef5aed17a65ad30eb92