Tu iPhone puede hacer más de lo que crees: incluso permitir que se ejecute código ajeno por un fallo de memoria
Detectan cinco nuevos puntos débiles en la seguridad de Apple y de servidores populares
La lista de vulnerabilidades que ya están siendo explotadas por hackers se ha vuelto a ampliar. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) añadió de inmediato cinco nuevos problemas al catálogo de vulnerabilidades explotadas activamente. Todas las brechas ya se usan en ataques, y algunas se han empleado en complejas cadenas de intrusión, incluso en ataques contra dispositivos Apple.
Una de ellas, CVE-2025-31277, está relacionada con el procesamiento de contenido web en productos de Apple. Una página especialmente diseñada puede corromper la memoria del dispositivo y conducir a la ejecución de código arbitrario. La vulnerabilidad fue corregida por actualizaciones de iOS, macOS y otros sistemas, pero en versiones antiguas sigue siendo peligrosa.
CVE-2025-43510 afecta al mecanismo de sincronización en el sistema de Apple. El fallo permite manipular la memoria y usar la vulnerabilidad como parte de una cadena de ataque con escape de aislamiento de procesos. CVE-2025-43520 también está relacionada con la corrupción de memoria en el núcleo y puede provocar fallos del sistema o la ejecución de operaciones arbitrarias.
Destaca por separado CVE-2025-32432 en Craft CMS. La vulnerabilidad permite a un atacante remoto no autenticado ejecutar código arbitrario en el servidor. Basta con enviar una solicitud especialmente formada, y el sistema ejecutará comandos maliciosos. El problema obtuvo la máxima puntuación de gravedad: 10 puntos.
Una situación similar ocurre con CVE-2025-54068 en Laravel Livewire. Un error en el procesamiento de componentes permite al atacante ejecutar comandos en el servidor sin autenticarse. En algunos escenarios basta con enviar una solicitud preparada a la aplicación.
Este tipo de vulnerabilidades hace tiempo que se han convertido en un punto de entrada cómodo para ataques. A través de ellas se comprometen servidores, se roban datos y se establece persistencia en la infraestructura. Precisamente esos casos entran en el catálogo KEV. La directiva BOD 22-01 obliga a las agencias federales de EE. UU. a corregir esas vulnerabilidades en los plazos establecidos. Formalmente, el requisito afecta solo a las entidades públicas, pero la agencia recomienda que todas las empresas se orienten por esta lista y solucionen estos problemas lo antes posible.