AWS CodeBuild, WordPress Modular DS y Microsoft Copilot: fallos críticos habilitan supply chain attacks, acceso admin y exfiltración de datos con un clic
Resumen del día
Investigadores expusieron fallos críticos en AWS CodeBuild, el plugin Modular DS de WordPress y Microsoft Copilot que permiten desde ataques a la cadena de suministro hasta accesos administrativos sin autenticación.
Las vulnerabilidades habilitan ejecución de código no autorizado, escalada de privilegios y exfiltración de datos sensibles en entornos cloud y empresariales.
Los incidentes evidencian debilidades estructurales en CI/CD, plugins y agentes de IA, reforzando la urgencia de parches y controles de seguridad estrictos.
Investigadores de seguridad de Wiz identificaron una vulnerabilidad crítica en AWS CodeBuild, bautizada como CodeBreach, que habría permitido a atacantes tomar control de repositorios clave de GitHub asociados a Amazon Web Services. Entre los activos en riesgo se encontraba el SDK de JavaScript utilizado por la consola de AWS, lo que elevaba el impacto potencial a gran escala.La falla se originó en una configuración incorrecta de filtros de seguridad dentro de CodeBuild: expresiones regulares no ancladas permitían eludir la validación de actores en pull requests no confiables. Aunque no se observaron explotaciones masivas, el riesgo teórico alcanzaba a cerca del 66 % de los entornos en la nube que dependen del SDK, con consecuencias posibles sobre aplicaciones de clientes y la...
Vulnerabilidad crítica en plugin Modular DS de WordPress habilita acceso administrativo sin autenticación
Una vulnerabilidad crítica en el plugin Modular DS para WordPress está siendo explotada activamente para otorgar acceso administrativo remoto sin autenticación. El fallo, identificado como CVE-2026-23550 y con puntuación CVSS 10.0, afecta a más de 40.000 instalaciones activas del plugin en versiones hasta la 2.5.1, permitiendo el compromiso total de sitios web.Los primeros intentos de explotación se detectaron el 13 de enero de 2026 e involucran peticiones HTTP GET simples contra rutas expuestas como /login/ y /api/modular-connector/login/, utilizadas para crear usuarios con privilegios de administrador sin credenciales válidas.Detalles técnicosLa vulnerabilidad es consecuencia de múltiples fallos de diseño en el plugin:
Coincidencia de rutas basada únicamente en URL, sin...
Investigadores de seguridad dieron a conocer un nuevo vector de ataque denominado Reprompt, capaz de exfiltrar datos sensibles de Microsoft Copilot con un solo clic. La técnica explota debilidades en el manejo de prompts dentro de agentes de IA generativa y permite evadir salvaguardas internas mediante la reformulación de instrucciones del modelo.El ataque afecta a entornos empresariales de Microsoft 365, exponiendo información como correos electrónicos, documentos internos y potencialmente credenciales, todo sin generar alertas visibles para el usuario final. Los ataques se inician desde interfaces web maliciosas: basta con que la víctima haga clic en un enlace o botón para que el contexto de Copilot sea reescrito y ejecute comandos no autorizados.Detalles técnicosEl Reprompt...
