La ejecución remota de código (RCE) vulnerabilidades representan amenazas significativas para la seguridad, incluyendo filtraciones de datos, interrupciones de servicio, despliegue de ransomware y movimiento lateral no autorizado. Tras la reciente divulgación de CVE-2025-11001 y CVE-2025-11002, un par de fallos en 7-Zip que podrían permitir a atacantes remotos ejecutar código arbitrario y potencialmente obtener control total del sistema, ha surgido ahora otra vulnerabilidad crítica con potencial similar de RCE. Identificada como CVE-2025-12036, la vulnerabilidad proviene de una implementación inadecuada dentro de V8, el motor de JavaScript y WebAssembly de código abierto de Google utilizado por Chrome y otros navegadores basados en Chromium.

A medida que V8 ejecuta código JavaScript en los navegadores, desempeña un papel vital en la funcionalidad web diaria, procesando millones de ejecuciones de código cada día. Las vulnerabilidades en un componente tan fundamental pueden abrir la puerta a atacantes para robar datos sensibles, desplegar malware o tomar control de los sistemas afectados. Hace apenas un mes, otro fallo crítico en el motor de JavaScript y WebAssembly V8 de Chrome, rastreado como CVE-2025-10585, atrajo una atención significativa en el panorama de la ciberseguridad. El fallo descubierto anteriormente permitió a los atacantes ejecutar código malicioso en los sistemas de las víctimas incitándolos a visitar un sitio web comprometido que contenía JavaScript manipulado. La aparición de otra vulnerabilidad crítica en el mismo software ampliamente utilizado incrementa significativamente el riesgo de exposición para los usuarios y subraya la necesidad de medidas defensivas rápidas.

Regístrese en la Plataforma SOC Prime para desbloquear el acceso a la fuente global de amenazas activas que selecciona contenido de detección enriquecido con contexto CTI nativo de IA para anticipar amenazas críticas. Todas las detecciones son compatibles con las plataformas líderes de SIEM, EDR y Data Lake y están alineadas con MITRE ATT&CK®. Además, cada pieza de contenido proporciona un contexto de amenaza en profundidad para una investigación de amenazas optimizada, incluyendo CTI enlaces, cronologías de ataques, configuraciones de auditoría, recomendaciones de triaje y otros metadatos relevantes. Haga clic en el Explorar Detecciones botón para acceder a la colección completa de algoritmos de detección para defender proactivamente contra vulnerabilidades emergentes y conocidas filtradas por la etiqueta “CVE”.

Explorar Detecciones

Los equipos de seguridad también pueden aprovechar Uncoder AI para realizar tareas de ingeniería de detección de extremo a extremo. La solución permite a los defensores convertir IOCs en consultas de búsqueda personalizadas en tiempo real, generar sin problemas código de detección a partir de informes de amenazas en bruto, visualizar diagramas de flujo de ataque, aplicar optimización de consultas impulsada por IA y traducir detecciones en diversos formatos de lenguaje, todo desde un solo lugar.

Análisis de CVE-2025-12036

Google ha lanzado recientemente una actualización de seguridad de emergencia para su navegador Chrome para corregir una nueva vulnerabilidad en el motor JavaScript V8 de Chrome que podría permitir RCE en sistemas vulnerables. La vulnerabilidad, identificada como CVE-2025-12036, ha sido abordada en la versión 141.0.7390.122/.123 de Chrome para Windows y macOS, y la versión 141.0.7390.122 para Linux.

El fallo fue identificado el 15 de octubre de 2025 por el proyecto Big Sleep de Google, la iniciativa de investigación en ciberseguridad impulsada por IA de la compañía. Este descubrimiento marca otra importante contribución de los sistemas de inteligencia artificial de Google a los esfuerzos de detección de vulnerabilidades. El problema se describió como una implementación inadecuada en V8, el motor de JavaScript y WebAssembly de código abierto que impulsa a Chrome y otros navegadores basados en Chromium. Dado el impacto potencial, CVE-2025-12036 se evaluó como crítico, subrayando los serios riesgos de su explotación exitosa.

Como medida de mitigación rápida de CVE-2025-12036, Google respondió rápidamente, emitiendo la corrección solo seis días después de su descubrimiento. El parche se está distribuyendo actualmente a los usuarios a través del mecanismo de actualización automática de Chrome, y se espera que el despliegue llegue a todos los usuarios en las próximas semanas. Se recomienda encarecidamente a los usuarios que verifiquen la versión de su navegador navegando a Configuración > Acerca de Chrome, donde el navegador comprueba automáticamente e instala cualquier actualización pendiente. El proveedor también enfatizó que muchas vulnerabilidades de Chrome se detectan usando avanzados marcos de pruebas de seguridad automatizadas, como AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer y AFL. Estas herramientas permiten la detección temprana de fallos de seguridad antes de que sean explotados en el campo.

La última actualización del proveedor es el único parche de seguridad incluido en el lanzamiento actual del canal estable, destacando la urgencia con la que Google priorizó el problema. Siguiendo su política estándar de divulgación de vulnerabilidades, Google retendrá la información técnica detallada y el acceso a los informes de errores relacionados hasta que la mayoría de los usuarios hayan recibido la actualización de seguridad.

A medida que la amenaza de explotación de vulnerabilidades continúa creciendo, implementar estrategias de defensa proactivas es esencial para mejorar la resiliencia general de ciberseguridad de una organización. Al aprovechar el conjunto completo de productos de SOC Prime respaldado por capacidades automáticas, impulsadas por IA e inteligencia de amenazas en tiempo real, las organizaciones globales pueden fortalecer sus defensas a escala y minimizar los riesgos de exposición a amenazas críticas.