CVSS v4.0 Score: 8.5 / High   Los dispositivos de audio de Samsung son emparejables vía Bluetooth por defecto, sin necesidad de interacción del usuario ni opción para desactivar este modo. Vendor: SamsungProducts: Galaxy Buds, Galaxy Buds 2Discovered by: Antonio Vázquez Blanco (@antonvblanco), Jesús María Gómez MorenoPublic fix: NoProof of Concept: https://github.com/TarlogicSecurity/BlueSpy   Resumen: Los auriculares Samsung Galaxy Buds y Galaxy Buds 2 son dispositivos que, por defecto, se pueden emparejar sin requerir interacción del usuario ni disponer de un mecanismo para evitarlo.   Detalles: Los dispositivos no cumplen con los siguientes controles BSAM: BSAM-PA-01 - Modo emparejable por defecto BSAM-PA-02 - Capacidades de entrada y salida BSAM-PA-04 - Rechazo del emparejamiento heredado BSAM-PA-05 - Emparejamiento sin interacción del usuario Impacto: Esto permite el emparejamiento del dispositivo sin el ...

Este artículo documenta la línea de investigación sobre Bluetooth impulsada por Tarlogic Security así como datos sobre el chip ESP32

En los últimos días, se ha descubierto una vulnerabilidad crítica en PostgreSQL (CVE-2025-1094) que podría comprometer la integridad de bases de datos en entornos empresariales y de producción. Este fallo permite a un atacante remoto ejecutar inyecciones SQL aprovechando funciones fundamentales del sistema, como PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() y PQescapeStringConn(). PostgreSQL es un sistema de gestión de bases de datos relacional de código abierto ampliamente utilizado. La vulnerabilidad CVE-2025-1094 se debe a una neutralización incorrecta de la sintaxis de comillas en varias funciones y programas de línea de comandos de PostgreSQL. Una brecha de seguridad que permitiría a un proveedor de entrada de base de datos lograr inyección SQL en ciertos patrones de uso. Las versiones antes de PostgreSQL 17.3, 16.7, ...

Liferay es una plataforma lanzada a principios del año 2000 que proporciona un Sistema de Gestión de Contenidos (Content Management System o CMS en inglés) y que, actualmente, ofrece servicios a miles de sitios web de grandes empresas y entidades gubernamentales. Como profesionales de la seguridad ofensiva, es muy común encontrar instancias de Liferay en la infraestructura de una organización. Sin embargo, dada la poca documentación disponible en Internet y la poca investigación en materia de seguridad realizada sobre la plataforma, puede resultar un verdadero reto encontrar ejemplos de vulnerabilidades conocidas o configuraciones erróneas en Liferay. Este hecho destaca además si lo comparamos con otros CMS como Wordpress o Drupal, cuya seguridad ha sido objeto de investigación en numerosas ocasiones. ...

Recientemente se ha descubierto una vulnerabilidad alta que afecta a la funcionalidad de Common Log File System (CLFS) en sistemas Windows. Esta vulnerabilidad, identificada con el CVE-2024-49138, permite a atacantes ejecutar código de manera remota aprovechando una validación insuficiente en el manejo de entradas de los logs. Características Principales de la CVE-2024-49138 Identificador CVE: CVE-2024-49138. Fecha de Publicación: 11/12/2024. Software Afectado: Función Common Log File System (CLFS) en sistemas Windows. CVSS Score: 7.8 (Alta). Requisitos de Explotación: Se necesita acceso local al sistema, pero no se requiere privilegios elevados inicialmente. La vulnerabilidad surge debido a una validación insuficiente en la funcionalidad de CLFS, utilizada para gestionar logs en entornos Windows. Mediante una explotación adecuada, un atacante podría escalar privilegios o ...

Se ha revelado información acerca de una nueva vulnerabilidad crítica que afecta al popular framework Apache Struts. La vulnerabilidad CVE-2024-53677 permitiría a un atacante remoto ejecutar código de manera remota Apache Struts es un framework de desarrollo web de código abierto basado en Java, diseñado para construir aplicaciones web robustas y escalables. Es particularmente conocido por implementar el patrón de diseño Model-View-Controller (MVC), que separa la lógica de negocio, la presentación y el control de flujo en aplicaciones web. Características principales de la CVE-2024-53677 A continuación, se detallan las características principales de esta vulnerabilidad. Identificador CVE: CVE-2024-53677. Fecha de publicación: 11/12/2024. Software afectado: Apache Struts. CVSS Score: CVSS:3.1 /AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8 Critical). Versiones afectadas: Desde la versión 2.0.0 hasta la 2.5.33. ...

La vulnerabilidad crítica CVE-2024-52316 que afecta a Apache Tomcat permite la evasión de autenticación cuando se utiliza la API de autenticación de Jakarta Recientemente se ha identificado una vulnerabilidad crítica en Apache Tomcat, ampliamente utilizado en entornos empresariales para servir aplicaciones web. Esta vulnerabilidad, registrada como CVE-2024-52316, permite a atacantes remotos no autenticados eludir el proceso de autenticación bajo ciertas configuraciones específicas, comprometiendo potencialmente la seguridad de los sistemas afectados. La vulnerabilidad reside en la integración de Apache Tomcat con Jakarta Authentication (anteriormente conocido como JASPIC). Si Tomcat está configurado para utilizar un componente personalizado de ServerAuthContext de Jakarta Authentication que pudiese lanzar una excepción durante el proceso de autenticación sin establecer explícitamente un estado HTTP que indique fallo, la ...