¡Protege Google Drive! Hoy reportamos una vulnerabilidad importante

React, Google Drive y Apache Tika bajo ataque: tres fallas que no puedes ignorar

Author

LUIS CARREON
8 de diciembre de 2025

Ciber Conciencia Digital
🔒

Ciber Conciencia Digital

Tu resumen diario de ciberseguridad

📅 08 de diciembre de 2025
Google Drive, React Server Components y Apache Tika bajo fuego: tres fallas críticas redefinen el riesgo para equipos de TI
📋

📋 Resumen del Día

La semana dejó una triple alerta para equipos de TI: React2Shell permitió RCE crítico en React y Next.js, ya con explotación activa. Perplexity Comet abrió la puerta a un ataque zero-click capaz de borrar Google Drive sin interacción del usuario. Apache Tika sumó una vulnerabilidad XXE CVSS 10 que permite leer archivos, lanzar SSRF y ejecutar código mediante PDFs maliciosos. El panorama confirma una ofensiva simultánea contra frameworks web, agentes de IA y pipelines de análisis documental, exigiendo parches inmediatos.

📰 Noticias Destacadas

1

Vulnerabilidad Crítica React2Shell entra al catálogo KEV de CISA: alerta máxima para equipos de desarrollo

Vulnerabilidad Crítica React2Shell entra al catálogo KEV de CISA: alerta máxima para equipos de desarrollo

La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) incorporó el CVE-2025-55182, apodado React2Shell, a su catálogo de Known Exploited Vulnerabilities (KEV) el 5 de diciembre de 2025, confirmando que la falla ya está siendo utilizada en ataques reales. La vulnerabilidad, con puntaje CVSS de 10.0, permite ejecución remota de código (RCE) sin autenticación en aplicaciones que utilizan React Server Components (RSC), afectando de forma directa a proyectos modernos basados en React y Next.js.

Cómo funciona React2Shell: un vector RCE que compromete toda la cadena de ejecución

La falla explota un mecanismo de deserialización insegura dentro del protocolo

Fuente: https://news.backbox.org/2025/12/06/critical-react2shell-flaw-added-to-cisa-kev-after-confirmed-active-exploitation/
2

Nuevo ataque zero-click en navegadores agénticos permite borrar Google Drive sin interacción del usuario

Nuevo ataque zero-click en navegadores agénticos permite borrar Google Drive sin interacción del usuario

Apache Tika enfrenta una vulnerabilidad crítica de tipo XML External Entity (XXE) identificada como CVE-2025-66516, con una puntuación CVSS de 10.0. El fallo permite a atacantes leer archivos del servidor, realizar ataques SSRF, exfiltrar información o incluso ejecutar código de forma remota mediante PDFs que contienen formularios XFA maliciosos. La vulnerabilidad fue divulgada el 4 de diciembre de 2025 y amplía el alcance del CVE-2025-54988. Afecta componentes como tika-core (versiones 1.13 a 3.2.1), tika-pdf-module (2.0.0 a 3.2.1) y tika-parsers (1.13 a 1.28.5), sin importar la plataforma donde estén desplegados. Aunque no se han reportado ataques activos, la severidad máxima exige aplicar parches de forma urgente, especialmente en sistemas que procesan documentos cargados por usuarios.

El problema surge del manejo inseguro de entidades XML externas dentro de PDFs c...

Fuente: https://galileosg.com/2025/12/05/zero-click-agentic-browser-attack-can-delete-entire-google-drive-using-crafted-emails/
📺

📺 Video del Día

🎧 Podcast del Día en Spotify

🛡️

¡Mantente seguro en el mundo digital!

Ciber Conciencia Digital • Tu fuente confiable de noticias de ciberseguridad

© 2025 Ciber Conciencia Digital. Todos los derechos reservados.