{"id":1591509,"date":"2025-02-22T00:27:13","date_gmt":"2025-02-22T00:27:13","guid":{"rendered":"https:\/\/teknomers.com\/es\/cisa-flags-craft-cms-vulnerabilidad-cve-2025-23209-en-medio-de-ataques-activos\/"},"modified":"2025-02-22T00:27:18","modified_gmt":"2025-02-22T00:27:18","slug":"cisa-flags-craft-cms-vulnerabilidad-cve-2025-23209-en-medio-de-ataques-activos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cisa-flags-craft-cms-vulnerabilidad-cve-2025-23209-en-medio-de-ataques-activos\/","title":{"rendered":"CISA Flags Craft CMS Vulnerabilidad CVE-2025-23209 En medio de ataques activos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">21 de febrero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad web \/ vulnerabilidad<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/CISA-Flags-Craft-CMS-Vulnerabilidad-CVE-2025-23209-En-medio-de-ataques.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha sido una falla de seguridad de alta severidad que afecta el sistema de gesti\u00f3n de contenido de artesan\u00eda (CMS) <a rel=\"noopener nofollow\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2025\/02\/20\/cisa-adds-two-known-exploited-vulnerabilities-catalog\" target=\"_blank\">agregado<\/a> por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a sus conocidas vulnerabilidades explotadas (<a rel=\"noopener nofollow\" href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\" target=\"_blank\">Kev<\/a>) cat\u00e1logo, basado en evidencia de explotaci\u00f3n activa.<\/p>\n<p>La vulnerabilidad en cuesti\u00f3n es <a rel=\"noopener nofollow\" href=\"https:\/\/www.cve.org\/CVERecord?id=CVE-2025-23209\" target=\"_blank\">CVE-2025-23209<\/a> (Puntuaci\u00f3n CVSS: 8.1), que impacta las versiones de CMS CMS 4 y 5. Fue abordado por los mantenedores del proyecto a fines de diciembre de 2024 en las versiones 4.13.8 y 5.5.8.<\/p>\n<p>&#8220;CMA CMS contiene una vulnerabilidad de inyecci\u00f3n de c\u00f3digo que permite la ejecuci\u00f3n de c\u00f3digo remoto, ya que las versiones vulnerables han comprometido las claves de seguridad de los usuarios&#8221;, dijo la agencia.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/saas-security-v1-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/1738386538_999_La-estafa-malvada-utiliza-anuncios-falsos-de-Google-para-secuestrar.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La vulnerabilidad afecta la siguiente versi\u00f3n del software &#8211;<\/p>\n<ul>\n<li>> = 5.0.0-rc1,\n<\/li>\n<li>> = 4.0.0-rc1,\n<\/li>\n<\/ul>\n<p>En un aviso <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/craftcms\/cms\/security\/advisories\/GHSA-x684-96hh-833x\" target=\"_blank\">liberado<\/a> En GitHub, CMA CMS se\u00f1al\u00f3 que todas las versiones sin parpadear de Craft con una clave de seguridad comprometida se ven afectadas por el defecto de seguridad.<\/p>\n<p>&#8220;Si no puede actualizar una versi\u00f3n parcheada, girar su clave de seguridad y garantizar que su privacidad ayude a mitigar el problema&#8221;, se\u00f1al\u00f3.<\/p>\n<p>Actualmente no est\u00e1 claro c\u00f3mo se comprometieron las claves de seguridad del usuario y en qu\u00e9 contexto. Para aliviar el riesgo que plantea la vulnerabilidad, se recomienda que las agencias federales de rama ejecutiva civil (FCEB) apliquen las soluciones necesarias antes del 13 de marzo de 2025.<\/p>\n<p>En diciembre de 2024, CMS CMS <a rel=\"nofollow noopener\" href=\"https:\/\/craftcms.com\/knowledge-base\/craft-cms-argc-and-argv\" target=\"_blank\">prevenido<\/a> de explotaci\u00f3n activa de otro <a rel=\"nofollow noopener\" href=\"https:\/\/www.assetnote.io\/resources\/research\/how-an-obscure-php-footgun-led-to-rce-in-craft-cms\" target=\"_blank\">falla de seguridad<\/a> (<a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/craftcms\/cms\/security\/advisories\/GHSA-2p6p-9rc9-62j9\" target=\"_blank\">CVE-2024-56145<\/a>) que podr\u00eda dar lugar a la ejecuci\u00f3n del c\u00f3digo remoto cuando la configuraci\u00f3n de configuraci\u00f3n PHP `Register_ARGC_ARGV` est\u00e1 habilitado. La vulnerabilidad a\u00fan no se ha agregado al cat\u00e1logo KEV de CISA.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/02\/cisa-flags-craft-cms-vulnerability-cve.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80221 de febrero de 2025\ue804Ravie LakshmananSeguridad web \/ vulnerabilidad Se ha sido una falla de seguridad de alta<\/p>\n","protected":false},"author":1,"featured_media":1591510,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[6016,4657,4656,2346,4661,5275,23296,4664,29883,281661,100205,273784,273783,2508,4654,273782,4659,4653,4655,246983,4665,246984,455,4014,239484],"class_list":["post-1591509","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-activos","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-cisa","tag-cms","tag-como-hackear","tag-craft","tag-cve202523209","tag-flags","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-medio","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-violacion","tag-vulnerabilidad","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1591509","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1591509"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1591509\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1591510"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1591509"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1591509"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1591509"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}