Buenos días. Hoy tenemos un repaso cargado de noticias de ciberseguridad, con vulnerabilidades críticas que afectan a GitHub, a la plataforma de robótica de Hugging Face y a Windows. También hay novedades importantes para desarrolladores en torno a GitHub Copilot, y Motorola presenta su esperada familia de plegables Razr 2026.
Vulnerabilidad crítica en GitHub permite ejecución remota de código con un solo git push (CVE-2026-3854)
Investigadores de seguridad han descubierto una vulnerabilidad crítica en GitHub.com y GitHub Enterprise Server, identificada como CVE-2026-3854 con una puntuación CVSS de 8.7, que permitía a usuarios autenticados ejecutar código de forma remota en los servidores de GitHub mediante un simple comando git push. El fallo, que ya ha sido parcheado, representaba un riesgo de acceso cross-tenant, es decir, que un atacante podría haber accedido a repositorios de otros usuarios u organizaciones.
La gravedad de esta vulnerabilidad radica en lo sencillo que era explotarla: bastaba con una única operación de push a un repositorio para desencadenar la ejecución de código en la infraestructura de GitHub. Se recomienda a las organizaciones que utilicen GitHub Enterprise Server verificar que están ejecutando la última versión parcheada.
Fuente: The Hacker News
Vulnerabilidad crítica sin parche en Hugging Face LeRobot permite ejecución remota de código
Se ha descubierto una vulnerabilidad de gravedad crítica (CVE-2026-25874, CVSS 9.3) en LeRobot, la plataforma open source de robótica de Hugging Face que cuenta con casi 24.000 estrellas en GitHub. El fallo permite a atacantes no autenticados ejecutar código arbitrario en sistemas que utilicen esta herramienta, aprovechando una deserialización insegura mediante pickle.loads() en los canales gRPC sin cifrado TLS del servidor de políticas.
Lo más preocupante es que la vulnerabilidad aún no tiene parche, con una corrección prevista para la versión 0.6.0. Mientras tanto, se recomienda a los equipos de investigación y empresas que utilicen LeRobot sustituir pickle por alternativas seguras como JSON o safetensors, habilitar cifrado TLS y añadir autenticación a los canales gRPC. Este fallo pone de relieve los riesgos de seguridad de las herramientas de IA open source cuando se despliegan en entornos de producción.
Fuente: The Hacker News
Microsoft parchea fallo en Entra ID que permitía a agentes de IA escalar privilegios
Microsoft ha corregido una vulnerabilidad en Entra ID, su plataforma de identidades en la nube, que afectaba al rol «Agent ID Administrator», un rol diseñado para gestionar las identidades de agentes de IA dentro de las organizaciones. El problema, descubierto por los investigadores de Silverfort, permitía que cualquier usuario con este rol tomase el control de cualquier service principal (identidad de aplicación) de la organización, no solo de los relacionados con agentes de IA.
En la práctica, un atacante con este rol podía inyectar credenciales en aplicaciones con permisos elevados —como las que tienen acceso total al directorio— y obtener así privilegios equivalentes a los de un Administrador Global. Microsoft aplicó el parche el 9 de abril tras la divulgación responsable en marzo. Este incidente subraya la importancia de revisar los permisos de los nuevos roles que surgen con la adopción de la IA en entornos corporativos.
Fuente: The Hacker News
Microsoft confirma explotación activa de vulnerabilidad en Windows Shell
Microsoft ha actualizado su aviso de seguridad para confirmar que la vulnerabilidad CVE-2026-32202, un fallo de spoofing (suplantación) en Windows Shell con una puntuación CVSS de 4.3, está siendo explotada activamente por atacantes. Aunque su puntuación no es alta, el fallo permite que un atacante envíe un archivo malicioso a la víctima que, al ejecutarse, puede facilitar la suplantación de identidad y el acceso a información sensible. La vulnerabilidad fue añadida por CISA al catálogo KEV (Known Exploited Vulnerabilities) el 28 de abril.
Se recomienda a todos los usuarios y administradores de Windows aplicar las actualizaciones del Patch Tuesday de abril lo antes posible, ya que este mes Microsoft ha corregido un total de 167 vulnerabilidades, incluyendo dos zero-days y ocho fallos críticos de ejecución remota de código.
Fuente: The Hacker News
Motorola presenta hoy la familia Razr 2026 con cuatro modelos plegables
Motorola celebra hoy su evento de presentación de la nueva familia Razr 2026, que incluye cuatro dispositivos: el Razr estándar, el Razr+, el Razr Ultra y el esperado Razr Fold, el primer plegable tipo libro de la marca. El modelo base parte de 799 dólares (unos 740 euros) con un chip MediaTek Dimensity 7450X, pantalla interior AMOLED de 6,9 pulgadas a 120 Hz, batería de 4.800 mAh y doble cámara trasera de 50 MP. El Razr+ se sitúa en 1.099 dólares y el Ultra alcanza los 1.499 dólares.
La gama estará disponible en Estados Unidos a partir del 21 de mayo, aunque de momento no hay fechas confirmadas para España o Europa. El Razr Fold, con formato tipo libro similar al Galaxy Z Fold, se posiciona como la apuesta más ambiciosa de Motorola para competir directamente con Samsung y el futuro iPhone plegable de Apple.
Fuente: Android Authority
GitHub Copilot code review consumirá minutos de Actions a partir de junio
GitHub ha anunciado que, a partir del 1 de junio de 2026, las revisiones de código de Copilot comenzarán a consumir minutos de GitHub Actions en repositorios privados, además de los créditos de IA del nuevo modelo de facturación basado en uso. Hasta ahora, las revisiones de código de Copilot eran «gratuitas» en cuanto a minutos de Actions, pero el cambio a una arquitectura agéntica (donde Copilot usa herramientas para explorar el contexto del repositorio) hace que cada revisión ejecute workflows reales.
Para los repositorios públicos no cambia nada: los minutos de Actions siguen siendo gratuitos. Sin embargo, los equipos con repositorios privados deberían revisar sus límites de minutos y ajustar sus presupuestos antes de junio. Este cambio se suma al nuevo modelo de facturación por créditos que GitHub Copilot implementará también el 1 de junio.
Fuente: GitHub Blog
GitHub reconoce problemas de disponibilidad tras caídas que afectaron a pull requests y búsqueda
GitHub ha publicado un comunicado reconociendo los problemas de disponibilidad que afectaron a la plataforma recientemente, con caídas que impactaron las pull requests, la búsqueda de código y los issues durante varias horas. El origen del problema fue una sobrecarga en el subsistema de Elasticsearch que potencia la búsqueda en GitHub, provocada aparentemente por un ataque tipo botnet. Aunque no hubo pérdida de datos y las operaciones de Git y las APIs no se vieron afectadas, las partes de la interfaz que dependen de la búsqueda dejaron de funcionar correctamente.
GitHub se ha comprometido a mejorar la resiliencia de su infraestructura, escalar sus sistemas para el futuro y comunicar de forma más transparente los incidentes. La disponibilidad de las pull requests cayó al 96,4% en los últimos 30 días, con 12 incidentes reportados, cifras preocupantes para una plataforma de la que dependen millones de desarrolladores en todo el mundo.
Fuente: GitHub Blog
¿Qué noticia te ha parecido más interesante? ¡Déjanos tu opinión en los comentarios!
Últimos lanzamientos de ReviApps
Doodle Road Fury: Adictivo juego de carreras arcade con estética dibujada a mano.
ClipMason: Gestor inteligente de portapapeles para macOS con acciones contextuales y más de 20 operaciones.
Encripta: Herramienta de cifrado de archivos para macOS con encriptación AES-256.
FileMason: Organizador automático de archivos para macOS mediante reglas personalizables.
Descubre todas mis aplicaciones
Mis últimos libros
OpenClaw: Tu Asistente Personal con IA: Guía práctica para instalar, configurar y automatizar tareas diarias con tu propio agente de IA.
Tauri 2.0: Aplicaciones de Escritorio con React y Rust: Aprende a crear aplicaciones de escritorio modernas, ligeras y seguras con Tauri, React y Rust.
Crea tu propia tienda online con WordPress y WooCommerce desde cero y sin saber programar: Todo lo que necesitas para montar tu tienda online paso a paso.
Un saludo, y si aún no lo has hecho no olvides suscribirte a mi blog para no perderte los próximos posts :-),También puedes seguirme en Twitter en @revi_apps y no olvides que me ayudas mucho si compartes este post en las redes sociales.