1. Principales Vulnerabilidades y Filtraciones de la semana

2. React2Shell: anatomía de una vulnerabilidad histórica en React Server Components

3. Nueva variante del phishing analizada

4. Grupo norcoreano fue pillado en vivo intentando infiltrarse como “trabajadores remotos”

💥Fallo crítico en el complemento de WordPress Elementor explotada en ataques (Noticia)

Los atacantes están aprovechando una vulnerabilidad crítica de escalada de privilegios (CVE-2025–8489) en el complemento King Addons for Elementor para WordPress, que les permite obtener permisos administrativos durante el proceso de registro.

💥Una nueva oleada de intentos de inicio de sesión en VPN tiene como objetivo los portales GlobalProtect de Palo Alto (Noticia)

Inicialmente, el actor se centró en los portales GlobalProtect con intentos de fuerza bruta y de inicio de sesión, y luego pasó a escanear los puntos finales de la API de SonicWall, según afirma la empresa de inteligencia sobre amenazas GreyNoise. GlobalProtect es el componente de VPN y acceso remoto de la plataforma de firewall de Palo Alto Networks, utilizado por grandes empresas, organismos gubernamentales y proveedores de servicios.

💥Cloudflare atribuye la nueva interrupción de esta semana a las medidas de mitigación de React2Shell (Noticia)

El problema no fue causado, directa o indirectamente, por un ciberataque a los sistemas de Cloudflare ni por ninguna actividad maliciosa. En cambio, se desencadenó por los cambios que se realizaron en nuestra lógica de análisis sintáctico al intentar detectar y mitigar una vulnerabilidad generalizada en el sector que se reveló esta semana en React Server Components, señaló Dane Knecht, director técnico de Cloudflare

💥ASUS confirma la filtración de datos por parte de terceros tras la publicación de archivos en darknets (Noticia)

“Un proveedor de ASUS fue hackeado”, afirmó ASUS en un comunicado. Esto afectó a parte del código fuente de la cámara de los teléfonos ASUS. Este incidente no ha afectado a los productos de ASUS, a los sistemas internos de la empresa ni a la privacidad de los usuarios. ASUS sigue reforzando la seguridad de la cadena de suministro de conformidad con las normas de ciberseguridad.

React2Shell: anatomía de una vulnerabilidad histórica en React Server Components

Vulnerabilidad crítica React2Shell (CVE-2025-55182), con una puntuación CVSS de 10.0, permite la ejecución remota de código (RCE) en servidores vulnerables mediante la manipulación del protocolo Flight utilizado en React Server Components. La vulnerabilidad se debe a una falta de validación en el decoder, que asume que los datos recibidos son legítimos, permitiendo la inyección de código malicioso a través de solicitudes HTTP especialmente diseñadas.

A comienzos de enero de 2025, el investigador independiente J. C. Tommasi inició una revisión sistemática del flujo interno que React emplea para transportar y reconstruir componentes del lado del servidor: el protocolo Flight, una pieza fundamental del motor de React Server Components (RSC). Lo que comenzó como una simple curiosidad terminó convirtiéndose en uno de los hallazgos más importantes en la historia reciente de React.

La investigación arrancó analizando tráfico entre cliente y servidor en entornos Next.js recientes. Allí apareció algo peculiar: el endpoint /_rsc devolvía estructuras que no se parecían a JSON ni a ningún formato estándar. Eran tuplas numeradas y símbolos internos, una especie de “lenguaje privado” que React utiliza para transmitir:

• referencias a módulos del servidor

• props serializadas

• instrucciones para reconstruir el árbol de RSC

• identificadores internos del runtime

El investigador encontró que este lenguaje —el protocolo Flight— se procesaba mediante un decoder que asumía algo crucial: “Todo lo que entra por este canal proviene exclusivamente del propio React”.

Ese supuesto, completamente invisible para el usuario final, era la llave del desastre. React aceptaba cualquier estructura que tuviera la forma aproximada de un paquete Flight, y la reinterpretaba como si fuera un nodo interno legítimo. No había validación estricta, no había control de origen, no había barreras entre el mundo externo y el corazón del runtime. 

¿Qué implicaba eso? Pues que un atacante podía fabricar una estructura “similar” a un objeto Flight real y entregarla al endpoint vulnerable. El decoder, engañado por la forma del paquete, intentaba reconstruir el árbol lógico a partir de esa información manipulada. Ese cruce entre input externo y mecanismos internos es el núcleo de React2Shell. No se trata de un “bug”. Se trata de una brecha conceptual en la frontera de confianza de una arquitectura completa.

El 3 de diciembre de 2025, el mundo de la ciberseguridad recibió la noticia de esta vulnerabilidad crítica en el ecosistema de React 19. Esta fallo, identificada como CVE-2025-55182 con una puntuación CVSS de 10.0 permite a atacantes no autenticados ejecutar código remoto (RCE) en servidores vulnerables mediante el envío de una solicitud HTTP especialmente diseñada.

Noticias THN | BC | Boletín de React

Nueva variante del phishing analizada

Esta semana hemos detectado una variante interesante de phishing, que utiliza alguna maniobra de distracción para confundir al usuario. Es importante que estemos siempre alerta y anticipemos este tipo de amenazas a usuarios finales.

Equipo de BlueTeam de BeeHackers

Grupo norcoreano fue pillado en vivo intentando infiltrarse como “trabajadores remotos”

Operadores del grupo norcoreano Lazarus (Famous Chollima) fueron captados meterse a empresas usando identidades robadas y procesos de reclutamiento remoto. Investigadores de BCA LTD, NorthScan y ANY RUN lograron verlo en tiempo real.

¿Cómo funciona el engaño? Un “reclutador” falso contacta a un supuesto candidato y le pide una videollamada. La identidad del candidato se usa para pasar entrevistas, recibir accesos y después entregar la laptop al operador real. Cuando los investigadores dieron acceso, Lazarus cayó en la trampa. Las “laptops” eran sandboxes controlados, no equipos reales.

¿Qué hicieron los operadores dentro? Usaron herramientas limpias, sin malware: IA para llenar aplicaciones y responder entrevistas. Generadores de códigos 2FA para controlar cuentas robadas. Google Remote Desktop configurado con un PIN fijo. Comandos básicos para revisar el sistema. Todo conectado a través de Astrill VPN, su sello clásico. En Notepad pidieron lo clave: ID, SSN y datos bancarios. El objetivo no era infectar, sino era apoderarse de la identidad y del puesto.

Lo que toda empresa debe entender El ataque llega por Recursos Humanos, no por un archivo malicioso. Los infiltradores buscan acceso legítimo usando procesos reales de contratación. Cualquier candidato que pida permisos inusuales o acceso total al equipo debe ser una alerta roja.

Ver historial de Publicaciones