Noticias

Vulnerabilidades críticas en la última actualización de Prisma Access Browser de Palo Alto

Fecha de publicación: 

Resumen ejecutivo

En las últimas versiones de Google Chrome se han identificado múltiples vulnerabilidades críticas y altas, con puntuaciones CVSS que varían entre 9.8 y 8.8. Estas pueden permitir a un atacante remoto explotar una corrupción de pila o realizar escaladas de privilegio mediante páginas HTML manipuladas, representando una amenaza inmediata que requiere acción urgente. También se ha identificado una serie de vulnerabilidades de gravedad media (puntuaciones CVSS de 6.5, 6.3 y varias de 5.4), que podrían permitir a los atacantes evadir controles de acceso o suplantar la interfaz de usuario. Se recomienda encarecidamente la aplicación inmediata de parches y actualizaciones para mitigar estos problemas de seguridad.

Recursos afectados

  • Prisma Access Browser (versiones <135.16.8.96)
  • Prisma Access Browser (versiones >= 136.11.9.93)

Análisis técnico

  • CVE-2025-4052: Una implementación incorrecta en DevTools de Google Chrome anterior a la versión 136.0.7103.59 permitía que un atacante remoto, al convencer a un usuario para que realizara gestos específicos de la interfaz de usuario, eludiera el control de acceso discrecional mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
    • CWE-838
    • CVSS: 9.8 (crítica)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-4050: Un acceso a memoria fuera de límites en DevTools de Google Chrome anterior a la versión 136.0.7103.59 permitía que un atacante remoto, que conviniera a un usuario a realizar gestos específicos de la interfaz de usuario, explotara potencialmente la corrupción de heap a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
    • CWE-787
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-3068: Una implementación incorrecta de Intents en Google Chrome para Android previa a la versión 135.0.7049.52 permitió que un atacante remoto incrementara privilegios mediante una página HTML manipulada. (Severidad de seguridad de Chromium: Media)
    • CWE-20
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-3069: Una implementación incorrecta en las extensiones de Google Chrome anteriores a la versión 135.0.7049.52 permitía a un atacante remoto aumentar privilegios mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
    • CWE-358
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-4096: Un desbordamiento del búfer de pila en HTML en Google Chrome previo a la versión 136.0.7103.59 permitía a un atacante remoto explotar la corrupción de pila a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
    • CWE-122
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-3066: El use-after-free en las navegaciones de Google Chrome previas a la versión 135.0.7049.52 permitía a un atacante remoto explotar la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
    • CWE-416
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-3067: Una implementación incorrecta de las pestañas personalizadas de Google Chrome en Android, antes de la versión 135.0.7049.52, permitió que un atacante remoto, que convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario, realizara una escalada de privilegios mediante una aplicación manipulada. (Gravedad de seguridad de Chromium: Media)
    • CWE no encontrado
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-3619: Un desbordamiento del búfer de pila en los códecs de Google Chrome en Windows anterior a la versión 135.0.7049.95 permitía a un atacante remoto explotar la corrupción de pila mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Crítica)
    • CWE-122
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-3620: El uso después de liberar en USB en Google Chrome anterior a la versión 135.0.7049.95 permitía a un atacante remoto explotar la corrupción del montón mediante una página HTML manipulada. (Severidad de seguridad de Chromium: Alta)
    • CWE-416
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2025-4372: El uso posterior a la liberación en WebAudio en Google Chrome anterior a la versión 136.0.7103.92 permitía a un atacante remoto explotar la corrupción del montón mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
    • CWE-416
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • Explotación: No detectada

Mitigación / Solución

Palo Alto Networks recomienda actualizar la versión vulnerable del Prisma Access Browser afectada por estas cuestiones de seguridad. Las versiones afectadas son las anteriores a la 135.16.8.96 y 136.11.9.93 con respecto a las diversas vulnerabilidades mencionadas (CVE-2025-3066 hasta CVE-2025-4372). Los usuarios deben actualizar a la versión 135.16.8.96 para mitigar las vulnerabilidades listadas del CVE-2025-3066 al CVE-2025-3620 y a la versión 136.11.9.93 para los problemas de seguridad del CVE-2025-4050 al CVE-2025-4372. No se requiere ninguna configuración especial para estar expuesto a este problema y hasta el momento, Palo Alto Networks no está al tanto de ninguna explotación maliciosa de este problema. No se disponen de soluciones alternativas o de mitigación.

Referencias adicionales