Oracle E-Business Suite bajo presión por un zero-day explotado y parches de emergencia
La semana comenzó con un foco único: CVE-2025-61882 en Oracle E-Business Suite, que habilita RCE sin autenticación y fue vinculado a campañas de extorsión del grupo Cl0p. Oracle publicó un parche fuera de ciclo y CISA incorporó el fallo en su catálogo de vulnerabilidades explotadas, lo que elevó el sentido de urgencia en equipos corporativos con portales EBS expuestos. El ángulo operativo es claro: inventariar instancias, cerrar exposición innecesaria, aplicar parches y revisar telemetría por indicios de exfiltración, porque los adversarios van por ERP y BI donde duele.
Fuente: The Hacker News · CSO Online · Tenable.
Segundo golpe a Oracle: nueva vulnerabilidad de alto impacto en EBS
Cuando aún se desplegaban mitigaciones para CVE-2025-61882, Oracle advirtió otra debilidad en E-Business Suite, CVE-2025-61884, que permitiría acceso no autorizado a datos sensibles en ciertas configuraciones. El mensaje para los equipos fue pragmático: no alcanza con “parchar y seguir”, hay que validar superficie y endurecer módulos satélite como BI Publisher y Concurrent Processing, que suelen encadenar riesgos.
Fuente: The Hacker News.
GoAnywhere MFT otra vez en la mira, con explotación activa asociada a ransomware
Microsoft y varios laboratorios de respuesta alertaron por CVE-2025-10035 en GoAnywhere MFT, con explotación activa por parte de un grupo de ransomware. El fallo permite manipular la validación de licencias para deserializar objetos maliciosos y llegar a ejecución de comandos. Hay parche disponible desde el 18 de septiembre, pero el inventario expuesto sigue siendo amplio, por lo que la recomendación fue aislar del perímetro, actualizar a 7.8.4 o 7.6.3 SR y buscar trazas específicas en logs.
Fuente: TechRadar Pro.
Redis arrastra un fallo de 13 años que permite escapar la sandbox de Lua
Investigadores documentaron CVE-2025-49844, un bug que afecta años de versiones de Redis y abre la puerta a escape de sandbox y ejecución de código en el host. El escenario más riesgoso aparece en instancias mal aisladas o con módulos terceros que amplían capacidades. Para entornos cloud y contenedores, el consejo fue rápido: actualizar a versiones corregidas, revisar límites de red y asegurarse de que el servicio no esté expuesto sin controles estrictos.
Fuente: Risky Business News.
Zimbra ZCS bajo zero-day XSS con explotación real
Zimbra Collaboration Suite sumó un zero-day XSS etiquetado como CVE-2025-27915 con explotación en curso. Aun cuando el impacto suene “menor” frente a RCEs puros, en servidores de correo el XSS se convierte en llave para robar sesiones, pivotear a cuentas con privilegios y preparar movimientos posteriores. La guía práctica pasa por deshabilitar extensiones vulnerables, filtrar adjuntos peligrosos, reforzar encabezados CSP y aplicar fixes tan pronto lleguen.
Fuente: Cyber Security News.
OpenAI DevDay marca agenda con apps dentro de ChatGPT y agentes listos para producción
En paralelo al pulso defensivo, la industria empujó fuerte en IA aplicada: OpenAI mostró Apps en ChatGPT y AgentKit en su DevDay, con una hoja de ruta que convierte el chat en interfaz donde “corren” servicios completos. Las demos incluyeron integraciones con plataformas populares y un paquete de infraestructura que busca quitar fricción a desarrolladores. Para empresas, el subtexto es claro: más productividad, pero también más superficie de riesgo en permisos y flujos de datos.
Fuente: Wired · OpenAI DevDay · InfoQ.
Nvidia obtiene luz verde de EE. UU. para exportar chips de IA a Emiratos y el mercado lo celebra
Bloomberg y Reuters reportaron la aprobación de exportaciones de chips de IA de Nvidia hacia Emiratos Árabes Unidos bajo un marco bilateral. Los títulos reaccionaron con máximos y analistas ven el gesto como acelerador de centros de datos regionales. La foto de la semana combina diplomacia tecnológica, cadenas de suministro tensas y una carrera por la capacidad de cómputo que no baja la velocidad.
Fuente: Reuters.
Biblioteca JavaScript ejecuta modelos de machine learning directamente en el navegador
Un nuevo proyecto llamado AsterMind-ELM está llamando la atención: se trata de una biblioteca open-source escrita en JavaScript/TypeScript que permite entrenar y ejecutar modelos de aprendizaje automático en el propio navegador, sin necesidad de servidores o GPUs especializadas.
El autor explica que la idea era “llevar ML al frontend” sin depender de infraestructuras masivas, y que el modelo funciona con pocos parámetros, memoria ligera y latencia mínima. Esto abre posibilidades para clasificaciones, detección de spam, análisis de voz o gestos, todo “on-device”.
Para equipos de producto y seguridad esto significa que nuevas superficies ya no están sólo en la nube: el cliente (navegador) también es plataforma de ML y, por tanto, también debe incluirse en el inventario de riesgos (privacidad, entrenamiento local, gestión de modelos, cadena de suministro de librerías).
Fuente: The New Stack.
Discord confirma filtración de 70.000 identificaciones oficiales de sus usuarios
La plataforma reveló que aproximadamente 70.000 usuarios podrían haber tenido sus documentos gubernamentales (como pasaportes o carnés de identidad) comprometidos por una brecha en un proveedor externo que gestiona su sistema de verificación de edad. La compañía indicó que no hubo acceso a contraseñas o mensajes privados, pero el incidente empieza a plantear preguntas sobre la seguridad de los procesos de KYC (Know Your Customer) y la gestión de datos sensibles en apps sociales.
Fuente: Times of India · The Guardian.
Pixel recibe el parche de octubre y Google publica su boletín de seguridad
Google liberó el Android Security Bulletin de octubre y el Pixel Update Bulletin, con correcciones que apuntan a fallos en visualización y estabilidad en las familias Pixel 7 a 10, además de cierres de vulnerabilidades del ecosistema. Más allá de la lista, el mensaje operativo para flotas móviles es sencillo: activar despliegues graduales, vigilar regresiones y no demorar la ventana de actualización, porque los exploits siguen la pista del changelog.
Fuente: Android Security Bulletin · Pixel Update Bulletin · Android Central.