A vulnerability in the web-based management interface of Cisco Common Services Platform Collector (CSPC) could allow an authenticated, remote attacker to conduct cross-site scripting (XSS) attacks against a user of the interface.
This vulnerability is due to insufficient validation of user-supplied input by the web-based management interface of an affected system. An attacker could exploit this vulnerability by injecting malicious code into specific pages of the interface. A successful exploit could allow the attacker to execute arbitrary script code in the context of the affected interface or access sensitive, browser-based information. To exploit this vulnerability, the attacker must have at least a low-privileged account on an affected device.
Cisco has not released software updates that address this vulnerability. There are no workarounds that address this vulnerability.
08/01/2025
08/01/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
5.40
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
A vulnerability in the web-based management interface of Cisco Common Services Platform Collector (CSPC) could allow an authenticated, remote attacker to conduct cross-site scripting (XSS) attacks against a user of the interface.
This vulnerability is due to insufficient validation of user-supplied input by the web-based management interface of an affected system. An attacker could exploit this vulnerability by injecting malicious code into specific pages of the interface. A successful exploit could allow the attacker to execute arbitrary script code in the context of the affected interface or access sensitive, browser-based information. To exploit this vulnerability, the attacker must have at least a low-privileged account on an affected device.
Cisco has not released software updates that address this vulnerability. There are no workarounds that address this vulnerability.
08/01/2025
08/01/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
5.40
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
A vulnerability in the web-based management interface of Cisco Common Services Platform Collector (CSPC) could allow an authenticated, remote attacker to conduct cross-site scripting (XSS) attacks against a user of the interface.
This vulnerability is due to insufficient validation of user-supplied input by the web-based management interface of an affected system. An attacker could exploit this vulnerability by injecting malicious code into specific pages of the interface. A successful exploit could allow the attacker to execute arbitrary script code in the context of the affected interface or access sensitive, browser-based information. To exploit this vulnerability, the attacker must have at least a low-privileged account on an affected device.
Cisco has not released software updates that address this vulnerability. There are no workarounds that address this vulnerability.
08/01/2025
08/01/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
5.40
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
El Departamento de Policía Metropolitana de Las Vegas ha revelado que el sospechoso de la explosión de una Cybertruck ocurrida frente al hotel Trump International consultó a ChatGPT para obtener información sobre la adquisición y activación de materiales explosivos. La situación ha reavivado las preocupaciones acerca de la seguridad de los sistemas de inteligencia artificial (IA) y su posible uso en actividades ilícitas.
El hecho ocurrió el pasado 1 de enero. Un conductor en una camioneta eléctrica Tesla ingresó al área de valet del hotel, donde el vehículo explotó. Las autoridades identificaron al presunto responsable como Matthew Livelsberger, un soldado activo del Ejército de Estados Unidos, quien murió en el lugar. El caso está siendo investigado como un posible acto criminal y de terrorismo.
La ametralladora IA del futuro ya está aquí
El Pentágono está buscando todas las opciones disponibles para mantener a las tropas estadounidenses a salvo de la creciente oleada de drones adversarios, incluyendo un giro robótico en sus armas pequeñas de serie.
Los cuerpos de seguridad locales accedieron al smartphone y algunas cuentas digitales de Livelsberger. Encontraron que el militar accedió a ChatGPT el 27 de diciembre para obtener referencias generales de diferentes detonantes, mecanismos de activación y disponibilidad de ciertas armas de fuego.
Las conversaciones del sujeto con la IA de OpenAI se presentaron esta semana en una rueda de prensa, junto con algunos videos, fotografías y documentos relacionados. Entre los materiales, destacan un correo electrónico enviado a un podcaster no identificado y “posible manifiesto” en el que Matthew relaciona sus intenciones suicidas con el servicio que prestó en la guerra de Afganistán. Los agentes a cargo del caso no profundizaron sobre la posible influencia que tuvo la IA en lo sucedido.
Las causas de la explosión de la Cybertruck aún no se han determinado. En las primeras indagatorias, un funcionario con información sobre los hechos dijo que el vehículo transportaba una carga de explosivos similares a fuegos artificiales. Elon Musk, CEO de Tesla y aliado cercano de Trump, aseguró que el equipo directivo de la compañía está investigando. «Hemos confirmado que la explosión fue causada por fuegos artificiales de gran tamaño o una bomba transportada en la parte trasera de la Cybertruck alquilada y que no está relacionada con el vehículo en sí. Toda la telemetría de la camioneta dio positivo en el momento de la explosión», escribió en X (anteriormente conocida como Twitter).
Captura de las conversiones de Matthew Livelsberger con ChatGPT antes de la explosión de la Cybertruck en Las Vegas.Cortesía Departamento de Policía Metropolitana de Las Vegas
El uso seguro de la IA y ChatGPT está en duda
Liz Bourgeois, portavoz de OpenAI, lamentó el incidente y aseguró que la startup liderada por Sam Altman está comprometida con garantizar el uso responsable de su tecnología. “Nuestros modelos están diseñados para rechazar instrucciones dañinas y minimizar el contenido dañino. En esta ocasión, ChatGPT respondió con información que ya estaba disponible públicamente en internet y brindó advertencias contra actividades dañinas o ilegales. Estamos trabajando con las autoridades para respaldar su investigación”, afirma en una declaración retomada por The Verge.
Los expertos sugieren que la información que el bot entregó a Livelsberger no parece estar restringida y podría obtenerse a través de la mayoría de los servicios de búsqueda en la red. Pese a ello, los acontecimientos han avivado las inquietudes sobre el uso de la IA generativa para el desarrollo de armamento con fines fuera de la ley.
OpenAI prohíbe el uso de sus algoritmos para desarrollar armas, vigilar comunicaciones, destruir propiedad y crear cualquier clase de herramienta que produzca algún daño. No obstante, a principios del año pasado, actualizó su política de uso para suprimir la norma que impedía utilizar su tecnología en tareas “militares y de guerra”.
Algunos expertos señalan que la implementación de la IA en el sector militar carece de salvaguardas y políticas que garanticen su adecuada utilización. La creación de armas biológicas con este tipo de sistemas han ocupado un lugar de especial interés en las discusiones. En noviembre de 2023, el Gobierno de Reino Unido publicó un informe en el que enlistó el desarrollo de armas biológicas mortales, ataques automatizados a la ciberseguridad y el diseño de potentes modelos de inteligencia artificial autónomos como principales riesgos del uso de la IA con fines bélicos y de defensa. Por su parte, en febrero del año pasado, OpenAI reconoció que su modelo GPT-4 tiene “un ligero potencial” para ser utilizado como un habilitador en el desarrollo de armas biológicas.
Dell VxRail, versions 7.0.000 through 7.0.532, contain(s) a Plaintext Storage of a Password vulnerability. A high privileged attacker with local access could potentially exploit this vulnerability, leading to Information exposure.
08/01/2025
08/01/2025
Vector CVSS:3.1
CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
7.50
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
El complemento WordPress File Upload para WordPress es vulnerable a Path Traversal en todas las versiones hasta la 4.24.13 incluida a través de wfu_file_downloader.php. Esto permite que atacantes no autenticados lean archivos fuera del directorio previsto originalmente.
Descripción en
The WordPress File Upload plugin for WordPress is vulnerable to Path Traversal in all versions up to, and including, 4.24.13 via wfu_file_downloader.php. This makes it possible for unauthenticated attackers to read files outside of the originally intended directory.
08/01/2025
08/01/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
7.50
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Proveedor: The Apache Software Foundation Versiones afectadas: Apache OpenMeetings desde la versión 2.1.0 hasta la 8.0.0 Descripción: Las instrucciones de agrupamiento predeterminadas en https://openmeetings.apache.org/Clustering.html no especifican listas blancas/negras para OpenJPA, lo que lleva a una posible deserialización de datos no confiables. Se recomienda a los usuarios actualizar a la versión 8.0.0 y actualizar sus scripts de inicio para incluir las configuraciones 'openjpa.serialization.class.blacklist' y 'openjpa.serialization.class.whitelist' relevantes como se muestra en la documentación.
Descripción en
Vendor: The Apache Software Foundation
Versions Affected: Apache OpenMeetings from 2.1.0 before 8.0.0
Description: Default clustering instructions at https://openmeetings.apache.org/Clustering.html doesn't specify white/black lists for OpenJPA this leads to possible deserialisation of untrusted data.
Users are recommended to upgrade to version 8.0.0 and update their startup scripts to include the relevant 'openjpa.serialization.class.blacklist' and 'openjpa.serialization.class.whitelist' configurations as shown in the documentation.
08/01/2025
08/01/2025
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Vulnerabilidad de caducidad insuficiente de sesión en Apache Airflow Fab Provider. Este problema afecta a Apache Airflow Fab Provider: antes de 1.5.2. Cuando se ha cambiado la contraseña de usuario con la CLI de administrador, las sesiones de ese usuario no se han borrado, lo que provoca una caducidad insuficiente de la sesión, por lo que los usuarios registrados pueden seguir conectados incluso después de cambiar la contraseña. Esto solo ocurre cuando se cambia la contraseña con la CLI. El problema no ocurre en caso de que el cambio se haya realizado con el servidor web, por lo que es diferente de CVE-2023-40273 https://github.com/advisories/GHSA-pm87-24wq-r8w9 que se abordó en Apache-Airflow 2.7.0 Se recomienda a los usuarios que actualicen a la versión 1.5.2, que soluciona el problema.
Descripción en
Insufficient Session Expiration vulnerability in Apache Airflow Fab Provider.
This issue affects Apache Airflow Fab Provider: before 1.5.2.
When user password has been changed with admin CLI, the sessions for that user have not been cleared, leading to insufficient session expiration, thus logged users could continue to be logged in even after the password was changed. This only happened when the password was changed with CLI. The problem does not happen in case change was done with webserver thus this is different from CVE-2023-40273 https://github.com/advisories/GHSA-pm87-24wq-r8w9 which was addressed in Apache-Airflow 2.7.0
Users are recommended to upgrade to version 1.5.2, which fixes the issue.
08/01/2025
08/01/2025
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
The Modula Image Gallery plugin for WordPress is vulnerable to arbitrary file uploads due to missing file type validation in the zip upload functionality in all versions up to, and including, 2.11.10. This makes it possible for authenticated attackers, with Author-level access and above, to upload arbitrary files on the affected site's server which may make remote code execution possible.
08/01/2025
08/01/2025
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
8.80
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
.jpg)
