{"id":1691166,"date":"2025-04-28T07:59:19","date_gmt":"2025-04-28T07:59:19","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-explotan-fallas-de-cms-cma-cms-cientos-de-servidores-probablemente-comprometidos\/"},"modified":"2025-04-28T07:59:24","modified_gmt":"2025-04-28T07:59:24","slug":"los-piratas-informaticos-explotan-fallas-de-cms-cma-cms-cientos-de-servidores-probablemente-comprometidos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-piratas-informaticos-explotan-fallas-de-cms-cma-cms-cientos-de-servidores-probablemente-comprometidos\/","title":{"rendered":"Los piratas inform\u00e1ticos explotan fallas de CMS CMA CMS; Cientos de servidores probablemente comprometidos"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 de abril de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Seguridad \/ vulnerabilidad de aplicaciones web<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-piratas-informaticos-explotan-fallas-de-CMS-CMA-CMS-Cientos.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Se ha observado que los actores de amenazas explotan dos fallas de seguridad cr\u00edticas recientemente reveladas en CMS artesanales en ataques de d\u00eda cero para violar los servidores y obtener acceso no autorizado.<\/p>\n<p>Los ataques, primero <a rel=\"noopener nofollow\" href=\"https:\/\/sensepost.com\/blog\/2025\/investigating-an-in-the-wild-campaign-using-rce-in-craftcms\/\" target=\"_blank\">observado<\/a> por Orange CyberDefense SensePost el 14 de febrero de 2025 implica encadenar las vulnerabilidades a continuaci\u00f3n &#8211;<\/p>\n<ul>\n<li><strong><a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-58136\" target=\"_blank\">CVE-2024-58136<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 9.0) &#8211; Una protecci\u00f3n incorrecta de la falla de ruta alternativa en el <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/yiisoft\/yii2\" target=\"_blank\">Marco de yii php<\/a> utilizado por CMS artesanales que podr\u00edan explotarse para acceder a la funcionalidad o recursos restringidos (una regresi\u00f3n de <a rel=\"noopener nofollow\" href=\"https:\/\/github.com\/yiisoft\/yii2\/security\/advisories\/GHSA-cjcc-p67m-7qxm\" target=\"_blank\">CVE-2024-4990<\/a>)<\/li>\n<li><strong><a rel=\"noopener nofollow\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-32432\" target=\"_blank\">CVE-2025-32432<\/a><\/strong>  (Puntuaci\u00f3n CVSS: 10.0): una vulnerabilidad de ejecuci\u00f3n de c\u00f3digo remoto (RCE) en CMS de artesan\u00eda (parcheado en las versiones 3.9.15, 4.14.15 y 5.6.17)<\/li>\n<\/ul>\n<p>Seg\u00fan la compa\u00f1\u00eda de seguridad cibern\u00e9tica, CVE-2025-32432 reside en una funci\u00f3n de transformaci\u00f3n de im\u00e1genes incorporada que permite a los administradores del sitio mantener las im\u00e1genes a un determinado formato.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/drata-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;CVE-2025-32432 se basa en el hecho de que un usuario no autenticado podr\u00eda enviar una solicitud de publicaci\u00f3n al punto final responsable de la transformaci\u00f3n de la imagen y los datos dentro de la publicaci\u00f3n ser\u00edan interpretados por el servidor&#8221;, dijo el investigador de seguridad Nicolas Bourras.<\/p>\n<p>&#8220;En las versiones 3.x de CMS CMA, el ID de activo se verifica antes de la creaci\u00f3n del objeto de transformaci\u00f3n, mientras que en las versiones 4.x y 5.x, la ID de activo se verifica despu\u00e9s. Por lo tanto, para que la explotaci\u00f3n funcione con cada versi\u00f3n de CMACT CMS, el actor de amenaza debe encontrar una ID de activo v\u00e1lida&#8221;.<\/p>\n<p>La ID de activo, en el contexto de CMA CMS, se refiere a la forma en que se administran archivos de documentos y medios, con cada activo dado una ID \u00fanica.<\/p>\n<p>Se ha encontrado que los actores de amenaza detr\u00e1s de la campa\u00f1a ejecutan m\u00faltiples solicitudes de publicaci\u00f3n hasta que se descubre una ID de activo v\u00e1lida, despu\u00e9s de lo cual se ejecuta un script de Python para determinar si el servidor es vulnerable, y de ser as\u00ed, descargue un archivo PHP en el servidor desde un apositorio de GitHub.<\/p>\n<p>&#8220;Entre el 10 y el 11 de febrero, el actor de amenaza mejor\u00f3 sus scripts al probar la descarga de Filemanager.php al servidor web varias veces con un gui\u00f3n de Python&#8221;, dijo el investigador. &#8220;El archivo filemanager.php pas\u00f3 a llamarse autoload_classmap.php el 12 de febrero y se utiliz\u00f3 por primera vez el 14 de febrero&#8221;.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-piratas-informaticos-explotan-fallas-de-CMS-CMA-CMS-Cientos.png\" style=\"clear: left; display: block; margin-left: auto; margin-right: auto;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Los-piratas-informaticos-explotan-fallas-de-CMS-CMA-CMS-Cientos.png\" alt=\"Los piratas inform\u00e1ticos explotan fallas de CMS CMS\" border=\"0\" data-original-height=\"837\" data-original-width=\"1224\" title=\"Los piratas inform\u00e1ticos explotan fallas de CMS CMS\"\/><\/a><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">\n<p data-pm-slice=\"0 0 []\">Instancias vulnerables de CMS CMS por pa\u00eds<\/p>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>A partir del 18 de abril de 2025, se han identificado 13,000 instancias vulnerables de CMS CMS, de las cuales casi 300 se han comprometido supuestamente.<\/p>\n<p>&#8220;Si verifica los registros de sus firewall o los registros de servidor web y encuentra solicitudes de publicaci\u00f3n sospechosas a las acciones\/activos\/generar el punto final del controlador de artesan\u00eda de transformaci\u00f3n, espec\u00edficamente con la cadena __class en el cuerpo, entonces su sitio ha sido escaneado al menos para esta vulnerabilidad,&#8221; CMS CMS <a rel=\"noopener nofollow\" href=\"https:\/\/craftcms.com\/knowledge-base\/craft-cms-cve-2025-32432\" target=\"_blank\">dicho<\/a> en un aviso. &#8220;Esta no es una confirmaci\u00f3n de que su sitio se haya visto comprometido; solo se ha sondeado&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zscaler-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1743488507_401_Apple-multo-a-150-millones-de-euros-por-el-regulador.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Si hay evidencia de compromiso, se aconseja a los usuarios que actualicen las claves de seguridad, gire las credenciales de la base de datos, restablezcan las contrase\u00f1as de los usuarios de una gran precauci\u00f3n y bloqueen las solicitudes maliciosas a nivel de firewall.<\/p>\n<p>\u00a1La divulgaci\u00f3n viene como una activa! Env\u00ede la vulnerabilidad de desbordamiento de b\u00fafer a base de pila de d\u00eda cero (<a rel=\"noopener nofollow\" href=\"https:\/\/jvn.jp\/jp\/JVN22348866\/\" target=\"_blank\">CVE-2025-42599<\/a>Puntaje CVSS: 9.8) ha sido de explotaci\u00f3n activa en ataques cibern\u00e9ticos dirigidos a organizaciones en Jap\u00f3n para lograr la ejecuci\u00f3n de c\u00f3digo remoto. Se ha solucionado en la versi\u00f3n 6.60.06008562.<\/p>\n<p>&#8220;Si un tercero remoto env\u00eda una solicitud elaborada, puede ser posible ejecutar c\u00f3digo arbitrario o causar una denegaci\u00f3n de servicio (DOS)&#8221;, Qualitia <a rel=\"noopener nofollow\" href=\"https:\/\/www.qualitia.com\/jp\/news\/2025\/04\/18_1030.html\" target=\"_blank\">dicho<\/a> en un bolet\u00edn.<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/hackers-exploit-critical-craft-cms.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 de abril de 2025\ue804Ravie LakshmananSeguridad \/ vulnerabilidad de aplicaciones web Se ha observado que los actores de<\/p>\n","protected":false},"author":1,"featured_media":1691167,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,1475,66536,23296,4664,13086,8513,3233,6214,273784,36,273783,4654,273782,4659,4653,4655,6213,643,246983,4665,246984,7982,455,239484],"class_list":["post-1691166","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-cientos","tag-cma","tag-cms","tag-como-hackear","tag-comprometidos","tag-explotan","tag-fallas","tag-informaticos","tag-las-noticias-del-hacker","tag-los","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-piratas","tag-probablemente","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-servidores","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1691166","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1691166"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1691166\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1691167"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1691166"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1691166"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1691166"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}