Alerta de Masiva de Ciberseguridad por Boletín de seguridad de Android septiembre de 2025 y Cross-Frame Scripting XFS en BoomCMS

  • 03/09/2025
  • 111
Alerta de Masiva de Ciberseguridad por Boletín de seguridad de Android septiembre de 2025 y Cross-Frame Scripting XFS en BoomCMS

Boletín de seguridad de Android: septiembre de 2025

Importancia 5 - Crítica

Recursos Afectados

  • System: referencia A-406785684, versión anterior a la 15, 16.
  • Qualcomm: referencias A-388047924, A-400449682 y A-400449915.  

Descripción

El boletín de seguridad de Android de septiembre de 2025, soluciona una vulnerabilidad de severidad crítica y múltiples altas que afectan a su sistema, así como el kernel y múltiples componentes, que podrían provocar ejecución remota de código y escalada local de privilegios sin necesidad de privilegios de ejecución adicionales.  

Solución

Actualizar el sistema a la última versión.

Detalle

  • CVE-2025-48539 : la vulnerabilidad que afecta al sistema podría provocar la ejecución remota de código (proximal/adyacente) sin necesidad de privilegios de ejecución adicionales. No se requiere la interacción del usuario para su explotación.
  • CVE-2025-21450 : se produce un problema criptográfico debido al uso de un método de conexión inseguro durante la descarga.
  • CVE-2025-21483 : la vulnerabilidad reside en el reensamblaje de paquetes del Protocolo de transporte en tiempo real (RTP) de Qualcomm dentro del módulo Pila y conectividad de red de datos.
  • CVE-2025-27034 : la vulnerabilidad se deriva de una validación incorrecta de un índice de matriz en el procesador de llamadas multimodo.  

________________________________________

Cross-Frame Scripting (XFS) en BoomCMS

Importancia 2 - Baja

Recursos Afectados

BoomCMS, versión 9.1.4.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad baja que afecta a BoomCMS de UXB London, un gestor de contenido de uso sencillo. La vulnerabilidad ha sido descubierta por Sergio Corchado Lucero.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2025-41000: CVSS v4.0: 2.1 | CVSS AV:N/AC:L/AT:P/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-1021

Solución

No hay solución reportada por el momento.

Detalle

CVE-2025-41000 : vulnerabilidad de Cross-Frame Scripting (XFS) en BoomCMS v9.1.4 de UXB London. XFS es una técnica de ataque web que explota errores específicos del navegador para espiar al usuario a través de JavaScript. Este tipo de ataque se basa en la ingeniería social y depende totalmente del navegador elegido por el usuario, por lo que se percibe como una amenaza menor para la seguridad de las aplicaciones web. Esta vulnerabilidad sólo funciona en navegadores antiguos.