Los investigadores de ciberseguridad han revelado dos fallas de seguridad en Reparación de Wondershare que expusieron datos privados de los usuarios y potencialmente expuso el sistema a la manipulación del modelo de inteligencia artificial (IA) y los riesgos de la cadena de suministro.
Las vulnerabilidades con calificación crítica en cuestión, descubiertas por Trend Micro, se enumeran a continuación –
- CVE-2025-10643 (Puntuación CVSS: 9.1) – Una vulnerabilidad de derivación de autenticación que existe dentro de los permisos otorgados a un token de cuenta de almacenamiento
- CVE-2025-10644 (Puntuación CVSS: 9.4) – Una vulnerabilidad de derivación de autenticación que existe dentro de los permisos otorgados a un token SAS
La explotación exitosa de los dos defectos puede permitir que un atacante elude la protección de la autenticación en el sistema y lance un ataque de la cadena de suministro, lo que finalmente resulta en la ejecución del código arbitrario en los puntos finales de los clientes.
Micro investigadores Alfredo Oliveira y David Fiser dicho La aplicación de reparación de datos y edición de fotos con AI «contradecía su política de privacidad mediante la recopilación, el almacenamiento y, debido a las prácticas débiles de desarrollo, seguridad y operaciones (DevSecops), fugando inadvertidamente los datos de los usuarios privados».
El Malas prácticas de desarrollo Incluya incrustar tokens de acceso a la nube excesivamente permisivos directamente en el código de la aplicación que permite el acceso de lectura y escritura al almacenamiento confidencial en la nube. Además, se dice que los datos se almacenaron sin cifrado, lo que podría abrir la puerta a un abuso más amplio de las imágenes y videos cargados de los usuarios.
Para empeorar las cosas, el almacenamiento en la nube expuesto contiene no solo datos de usuario sino también modelos de IA, binarios de software para varios productos desarrollados por Wondershare, imágenes de contenedores, scripts y código fuente de la compañía, lo que permite a un atacante manipular los modelos de IA o los ejecutables, allanando el camino para los ataques de la cadena de suministro que apuntan a sus clientes posteriores.
«Debido a que el binario recupera automáticamente y ejecuta modelos AI del almacenamiento no seguro de la nube, los atacantes podrían modificar estos modelos o sus configuraciones e infectar a los usuarios sin saberlo», dijeron los investigadores. «Tal ataque podría distribuir cargas útiles maliciosas a usuarios legítimos a través de actualizaciones de software firmadas por proveedores o descargas de modelos de IA».
Más allá de la exposición a los datos del cliente y la manipulación del modelo de IA, los problemas también pueden plantear graves consecuencias, que van desde robo de propiedad intelectual y sanciones regulatorias hasta la erosión de la confianza del consumidor.
La compañía de ciberseguridad dijo que reveló responsablemente los dos problemas a través de su iniciativa de día cero (ZDI) en abril de 2025, pero no que aún no haya recibido una respuesta del proveedor a pesar de los repetidos intentos. En ausencia de una solución, se recomienda a los usuarios «restringir la interacción con el producto».
«La necesidad de innovaciones constantes alimenta la apuro de una organización para obtener nuevas características para el mercado y mantener la competitividad, pero es posible que no prevén las nuevas y desconocidas formas en que estas características podrían usarse o cómo su funcionalidad puede cambiar en el futuro», dijo Trend Micro.
«Esto explica cuán importantes se pueden pasar por alto las implicaciones de seguridad. Por eso es crucial implementar un proceso de seguridad sólido en toda la organización, incluida la tubería CD/CI».
La necesidad de que la IA y la seguridad vayan de la mano
El desarrollo se produce cuando Trend Micro advirtió previamente contra la exposición del protocolo de contexto del modelo (MCP) servidores sin autenticación o almacenamiento de credenciales sensibles como las configuraciones de MCP en TextExt, que los actores de amenaza pueden explotar para obtener acceso a recursos en la nube, bases de datos o inyectar código malicioso.
Cada servidor MCP actúa como una puerta abierta a su fuente de datos: bases de datos, servicios en la nube, API internas o sistemas de gestión de proyectos «, dijeron los investigadores.» Sin autenticación, datos confidenciales como secretos comerciales y registros de clientes se vuelven accesibles para todos «.
En diciembre de 2024, la compañía también encontró que los registros de contenedores expuestos podrían ser abusados para obtener acceso no autorizado y extraer imágenes de Docker objetivo para extraer el modelo AI dentro de él, modificar los parámetros del modelo para influir en sus predicciones y empujar la imagen modificada al registro expuesto.
«El modelo manipulado podría comportarse normalmente en condiciones típicas, solo mostrando sus alteraciones maliciosas cuando se activan por entradas específicas», dijo Trend Micro. «Esto hace que el ataque sea particularmente peligroso, ya que podría evitar las pruebas básicas y las verificaciones de seguridad».
Kaspersky también ha resaltado el riesgo de la cadena de suministro que representa los servidores MCP, que ideó una exploit de prueba de concepto (POC) para resaltar cómo los servidores MCP instalados de fuentes no confiables pueden ocultar actividades de reconocimiento y exfiltración de datos bajo la guía de una herramienta de productividad con AI.
«Instalar un servidor MCP básicamente le da permiso para ejecutar código en una máquina de usuario con los privilegios del usuario», el investigador de seguridad Mohamed Ghobashy dicho. «A menos que esté en arena, el código de terceros puede leer los mismos archivos a los que el usuario tiene acceso y hacer llamadas de red de salida, al igual que cualquier otro programa».
Los resultados muestran que la rápida adopción de las herramientas MCP y AI en la configuración empresarial para habilitar las capacidades de agente, particularmente sin políticas claras o barandillas de seguridad, puede abrir nuevos vectores de ataqueincluido envenenamiento por herramientas, alfombrasombreado, inyección rápida y escalada de privilegios no autorizadas.
En un informe publicado la semana pasada, la Unidad 42 de Palo Alto Networks reveló que la característica de archivo adjunto de contexto utilizada en los asistentes de código de IA para cerrar la brecha de conocimiento de un modelo de IA puede ser susceptible a la inyección indirecta de inmediato, donde los adversarios incrustan las indicaciones dañinas dentro de las fuentes de datos externas para desencadenar un comportamiento no intencionado en modelos de lenguaje grande (LLM).
La inyección indirecta de inyección depende de la incapacidad del asistente para diferenciar entre las instrucciones emitidas por el usuario y aquellos subrepticiamente integrados por el atacante en fuentes de datos externas.
Por lo tanto, cuando un usuario suministra inadvertidamente a los datos de terceros del asistente de codificación (por ejemplo, un archivo, repositorio o URL) que ya ha sido contaminado por un atacante, el aviso malicioso oculto podría ser armado para engañar a la herramienta en la ejecución de una puerta trasera, inyectar un código arbitrario en una código de código existente e incluso filtrar información sensible.
«Agregar este contexto a las indicaciones permite al asistente de código proporcionar una salida más precisa y específica», la unidad 42 investigador Osher Jacob dicho. «Sin embargo, esta característica también podría crear una oportunidad para ataques de inyección indirecta si los usuarios proporcionan involuntariamente fuentes de contexto que los actores de amenaza han contaminado».
Los agentes de codificación de IA también se han encontrado vulnerables a lo que se llama un ataque de «mentiras en el bucle» (LITL) que tiene como objetivo convencer a la LLM de que las instrucciones que ha sido alimentadas son mucho más seguras de lo que realmente son, anulando efectivamente los defensas humanas en el circuito (HITL) implementadas cuando realizan operaciones de alto riesgo.
«Litl abusa de la confianza entre un humano y el agente», investigador de checkmarx Ori Ron dicho. «Después de todo, el humano solo puede responder a lo que el agente les indica, y lo que el agente indica que el usuario se infiere del contexto que se le da el agente. Es fácil mentirle al agente, lo que hace que proporcione un contexto falso y aparentemente seguro a través del lenguaje de comando y explícito en algo como un problema de Github».
«Y el agente está feliz de repetir la mentira al usuario, oscureciendo las acciones maliciosas con las que el mensaje está destinado a protegerse, lo que resulta en un atacante que esencialmente convirtiendo al agente en un cómplice para obtener las claves del reino».
Fuente