CVE
7 artículos con esta etiqueta
Corregir CVE de dependencias de verdad: escanear, corregir, aislar y seguir vigilando
El trabajo de vulnerabilidades no termina cuando «lo corriges». Hecho = 1) escanear, 2) corregir, 3) aislar/delegar, 4) monitorear. Hasta que el monitoreo (detección diaria de cambios) esté en marcha, está incompleto — las dependencias vuelven a ser vulnerables mañana. Una corrección perfecta que el siguiente despliegue sobrescribe vale cero. Los equipos pequeños se mantienen seguros con dos disciplinas: detección automatizada de cambios y «local→push→deploy».
Instalar y usar osv-scanner: encuentra CVE en tus dependencias
osv-scanner escanea lockfiles y contenedores para sacar a la luz CVE en tus dependencias, gratis. Esto recorre la instalación, la ejecución y la integración en CI, además de cuándo usarlo frente a npm/pnpm audit y Dependabot. La visión de este sitio: la herramienta correcta la decide TU configuración — recurre a osv-scanner en proyectos multiecosistema o sin GitHub, y al pnpm audit incluido para un único árbol npm.
Qué es un CVE: el 'dorsal' compartido de las vulnerabilidades
Un CVE es un identificador compartido a nivel global para una vulnerabilidad (p. ej. CVE-2025-12345). CVE = el nombre, CVSS = la gravedad, KEV = si se explota. Es el ancla del monitoreo. Síguelo con máquinas, no a mano.
Qué es la RCE (ejecución remota de código): por qué es la peor clase de fallo
La RCE permite a un atacante ejecutar código arbitrario en tu servidor: directo a la toma de control, la peor clase. El radio de impacto lo determinan los privilegios del proceso en ejecución. Las defensas centrales son el parcheo rápido, la monitorización de CVE y los privilegios mínimos.
Filtración de Equifax (2017) — cómo un fallo de Apache Struts sin parchear expuso a 147M de personas
La causa fue un CVE conocido y ya parcheado (CVSS 10.0) dejado sin aplicar en un sistema público. Un certificado de monitorización caducado ocultó la exfiltración durante 76 días. En tu entorno: inventario de activos, un SLA de parcheo, monitorización automática y detección saludable.
Log4Shell (CVE-2021-44228) — la noche en que el mundo temió un fallo que ni siquiera podía confirmar tener
El fallo de CVSS 10.0 de Log4j. El verdadero miedo era la dependencia transitiva: estar afectado a través de una librería que no sabías que usabas. Un camino pasivo de registro de logs se convirtió en vector de ataque. SBOM, monitorización automática, parcheo rápido y seguir los CVE de seguimiento son las lecciones.
Ejecutar Next.js de forma segura: no quedarse atrás con los CVE publicados
El mayor riesgo del framework son los CVE publicados descuidados. Defiende con cuatro pilares: juzgar por la versión en ejecución, monitorear con Dependabot/osv-scanner, actualizar rápido, y operar con mínimo privilegio. La visión de este sitio: los desarrolladores indie no pierden por conocimiento sino por continuidad operativa — gana con un sistema que no falla, no con velocidad.