"Si tú no trabajas por tus sueños, alguien te contratará para que trabajes por los suyos”

Steve Jobs

Afiliado
Dominios3Euros

Una al día

Una-al-día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Boletín de noticias de Seguridad Informática ofrecido por Hispasec
Una Al Día

  1. Fortinet corrige una vulnerabilidad crítica explotada activamente en FortiClient EMS (CVE-2026-35616)

    Fortinet ha publicado un hotfix fuera de banda para CVE-2026-35616, una vulnerabilidad crítica en FortiClient EMS que, según la compañía, ya está siendo explotada activamente. El fallo permite a un atacante no autenticado eludir controles de acceso del API y podría derivar en ejecución de comandos/código, por lo que se recomienda actualizar o aplicar el […]

    La entrada Fortinet corrige una vulnerabilidad crítica explotada activamente en FortiClient EMS (CVE-2026-35616) se publicó primero en Una Al Día.

  2. Google parchea un zero-day de Chrome en WebGPU (CVE-2026-5281) que ya se está explotando

    Google ha publicado una actualización de Chrome para corregir el zero-day CVE-2026-5281, un fallo use-after-free en Dawn/WebGPU que está siendo explotado activamente. La recomendación es actualizar cuanto antes a Chrome 146.0.7680.177/178 (según el sistema) y, en entornos gestionados, priorizar el despliegue por su inclusión en el catálogo KEV de CISA. Google ha lanzado una actualización […]

    La entrada Google parchea un zero-day de Chrome en WebGPU (CVE-2026-5281) que ya se está explotando se publicó primero en Una Al Día.

  3. Explotación activa de una inyección SQL crítica en Fortinet FortiClient EMS (CVE-2026-21643)

    Se está explotando activamente la vulnerabilidad crítica CVE-2026-21643 en Fortinet FortiClient EMS, una inyección SQL que podría permitir ataques sin autenticación y derivar en ejecución de comandos/código. La recomendación principal es actualizar de FortiClient EMS 7.4.4 a 7.4.5 o superior y reducir la exposición del GUI web a Internet. Una vulnerabilidad crítica identificada como CVE-2026-21643 […]

    La entrada Explotación activa de una inyección SQL crítica en Fortinet FortiClient EMS (CVE-2026-21643) se publicó primero en Una Al Día.

  4. Versiones maliciosas de Axios en npm distribuyen un RAT multiplataforma mediante una dependencia fraudulenta

    Atacantes comprometieron la publicación de Axios en npm y subieron dos versiones maliciosas (axios@1.14.1 y axios@0.30.4) durante una ventana de pocas horas. Esas versiones añadían una dependencia fraudulenta (plain-crypto-js) que ejecutaba un instalador con capacidad de descargar y desplegar un RAT en Windows, macOS y Linux. Un incidente de software supply chain ha afectado al […]

    La entrada Versiones maliciosas de Axios en npm distribuyen un RAT multiplataforma mediante una dependencia fraudulenta se publicó primero en Una Al Día.

  5. Cómo un fallo en una librería de Python puede comprometer sistemas de IA (CVE-2026-0848)

    En los últimos días se ha hecho pública una vulnerabilidad crítica en NLTK, una de las librerías más utilizadas en Python para procesamiento de lenguaje natural. Bajo el identificador CVE-2026-0848, este fallo introduce un riesgo serio en entornos donde se utilizan herramientas de análisis de texto o sistemas basados en inteligencia artificial. Esta vulnerabilidad permite […]

    La entrada Cómo un fallo en una librería de Python puede comprometer sistemas de IA (CVE-2026-0848) se publicó primero en Una Al Día.

  6. Nuevo skimmer con WebRTC evade controles de seguridad y roba datos de pago en e-commerce

    Investigadores de seguridad han descubierto un nuevo skimmer de pagos que utiliza canales de datos WebRTC para recibir payloads y exfiltrar información de tarjetas, logrando eludir los controles de seguridad tradicionales. A diferencia de los métodos habituales que emplean solicitudes HTTP o beacons de imágenes, este malware establece conexiones cifradas mediante el protocolo DTLS sobre […]

    La entrada Nuevo skimmer con WebRTC evade controles de seguridad y roba datos de pago en e-commerce se publicó primero en Una Al Día.

  7. CISA alerta de explotación activa de un fallo crítico en Langflow que permite secuestrar flujos de IA

    CISA ha incorporado CVE-2026-33017 al catálogo Known Exploited Vulnerabilities (KEV) y avisa de que ya se está explotando para lograr Remote Code Execution (RCE) sin autenticación en Langflow. La recomendación principal es actualizar a Langflow 1.9.0 o superior y evitar exponer el servicio a Internet. La agencia estadounidense CISA ha advertido de la explotación activa […]

    La entrada CISA alerta de explotación activa de un fallo crítico en Langflow que permite secuestrar flujos de IA se publicó primero en Una Al Día.

  8. CISA incluye fallos de Apple, Craft CMS y Laravel en KEV por explotación activa y fija parcheo antes del 3 de abril de 2026

    CISA ha añadido cinco vulnerabilidades de Apple, Craft CMS y Laravel Livewire a su catálogo KEV por evidencia de explotación activa y ha ordenado a las agencias federales aplicar parches antes del 3 de abril de 2026. La inclusión eleva la prioridad de mitigación también para organizaciones no federales, dado el riesgo de RCE y […]

    La entrada CISA incluye fallos de Apple, Craft CMS y Laravel en KEV por explotación activa y fija parcheo antes del 3 de abril de 2026 se publicó primero en Una Al Día.

  9. Ransomware Interlock explota Zero-Day crítico en Cisco FMC (CVE-2026-20131)

    El equipo de respuesta a incidentes de Cisco (PSIRT) ha emitido un parche de emergencia extraordinario para abordar una vulnerabilidad de severidad crítica (CVSS 10.0) en su plataforma Cisco Secure Firewall Management Center (FMC). El fallo, catalogado como CVE-2026-20131, permite a un atacante remoto no autenticado ejecutar comandos arbitrarios con privilegios de root en el […]

    La entrada Ransomware Interlock explota Zero-Day crítico en Cisco FMC (CVE-2026-20131) se publicó primero en Una Al Día.

  10. Crunchyroll investiga un presunto robo de datos tras la filtración de millones de tickets de soporte

    Crunchyroll está investigando las afirmaciones de un atacante que asegura haber exfiltrado cerca de 8 millones de tickets de soporte con unos 6,8 millones de correos únicos. La compañía sostiene que, por ahora, cree que el alcance se limitaría principalmente a información de atención al cliente y dice no haber visto indicios de acceso persistente […]

    La entrada Crunchyroll investiga un presunto robo de datos tras la filtración de millones de tickets de soporte se publicó primero en Una Al Día.

¿Quien nos patrocina?

Nadie :-( , de vez en cuando tú haces clic en algún banner de publicidad. :-)

Acceso

¿ Quienes participan ?

Somos un grupos amantes de la tecnología y sobretodo de la programación de Vigo (Galicia).

Te gustaría participar , encantados contar con contigo y nuevas ideas.

Registrarte aquí y envía un formulario alguno de los contactos indicandole en que quieres participar y que ideas tienes.

Mas info

Sobre Nosotros