(https://i.postimg.cc/j58p6s12/Brave-Browser.png) (https://postimg.cc/WFkYTPTc)
Se ha descubierto una vulnerabilidad de seguridad crítica en el popular navegador Brave, que permite que sitios web maliciosos engañen a los usuarios haciéndoles creer que están interactuando con fuentes confiables. Esta falla, identificada como CVE-2025-23086 (clasificada bajo CWE-60), afecta a las versiones de escritorio de Brave desde la versión 1.70.x hasta la 1.73.x.
El problema radica en una característica diseñada para mejorar la seguridad del usuario: mostrar el origen de un sitio web en el diálogo del selector de archivos del sistema operativo durante la carga o descarga de archivos. Esto tiene como objetivo proporcionar una pista visual que confirme la legitimidad del sitio involucrado en la transferencia de archivos. Sin embargo, en escenarios específicos, esta información crucial sobre el origen no se dedujo con precisión, lo que dejó una brecha crítica en la protección del usuario.
Esta tergiversación del origen se vuelve particularmente peligrosa cuando se combina con una vulnerabilidad de "redireccionamiento abierto" en un sitio web legítimo. Los redireccionamientos abiertos significan que un sitio web confiable permite que la entrada controlada por el usuario redirija a los usuarios a URL externas y no la valida correctamente. Al explotar esta combinación, los actores maliciosos pueden crear escenarios en los que un sitio web malicioso, a través de la redirección abierta, aparece como una fuente confiable en el diálogo del selector de archivos, engañando a los usuarios para que interactúen con él.
En mayo de 2024, Hackread.com informó sobre los resultados de la serie trimestral Wolf Security Threat Insights de HP, que reveló un aumento en los ciberdelincuentes que emplean tácticas de "cat-phishing", explotando vulnerabilidades de redirección abierta y otras técnicas de Living-off-the-Land para eludir las medidas de seguridad tradicionales.
La vulnerabilidad tiene una puntuación base de 6,1, clasificada como de gravedad media, con un vector de ataque de RED y una complejidad de ataque baja y requisitos de interacción del usuario bajos. Las consecuencias de esta vulnerabilidad podrían ser drásticas. Los usuarios podrían ser engañados sin saberlo para que descarguen malware, compartan información confidencial con actores maliciosos o sean víctimas de sofisticados ataques de phishing. Esto socava el principio básico de confianza y seguridad del usuario que los navegadores están diseñados para mantener.
Para mitigar CVE-2025-23086, actualice a la versión 1.74.48 o posterior del navegador Brave Desktop, compruebe si hay vulnerabilidades de redireccionamiento abierto y asegúrese de verificar las fuentes de descarga de archivos y reconocer los mensajes sospechosos.
Además, utilice herramientas de seguridad y extensiones de navegador para protegerse contra redireccionamientos abiertos y tácticas de phishing. Las actualizaciones periódicas y la concienciación de los usuarios pueden reducir significativamente los riesgos de explotación. Los administradores de sitios de confianza también deben revisar sus plataformas para eliminar o reparar vulnerabilidades de redireccionamiento abierto.
Fuente:
HackRead
https://hackread.com/brave-desktop-browser-vulnerability-malicious-sites-trusted/