Los investigadores de ciberseguridad han revelado dos fallas de seguridad en Wondershare Repárelo que expuso los datos privados de los usuarios y, potencialmente, expuso el sistema a la manipulación del modelo de inteligencia artificial (IA) y a los riesgos de la cadena de suministro.
Las vulnerabilidades con calificación crítica en cuestión, descubiertas por Trend Micro, se enumeran a continuación:
- CVE-2025-10643 (Puntuación CVSS: 9.1): una vulnerabilidad de elusión de la autenticación que existe en los permisos concedidos a un token de cuenta de almacenamiento
- CVE-2025-10644 (Puntuación CVSS: 9,4): una vulnerabilidad de elusión de la autenticación que existe en los permisos concedidos a un token SAS
La explotación exitosa de las dos fallas puede permitir a un atacante eludir la protección de autenticación en el sistema y lanzar un ataque a la cadena de suministro, lo que, en última instancia, resulta en la ejecución de código arbitrario en los puntos finales de los clientes.
Alfredo Oliveira y David Fiser, investigadores de Trend Micro dijo la aplicación de reparación de datos y edición de fotografías impulsada por IA «contradijo su política de privacidad al recopilar, almacenar y, debido a prácticas débiles de desarrollo, seguridad y operaciones (DevSecOps), filtrar inadvertidamente datos privados de los usuarios».
El malas prácticas de desarrollo incluyen la incrustación de tokens de acceso a la nube demasiado permisivos directamente en el código de la aplicación que permiten el acceso de lectura y escritura al almacenamiento confidencial en la nube. Además, se dice que los datos se almacenaron sin cifrar, lo que podría abrir la puerta a un mayor uso indebido de las imágenes y vídeos subidos por los usuarios.
Para empeorar las cosas, el almacenamiento en la nube expuesto no solo contiene datos de usuario, sino también modelos de IA, archivos binarios de software para varios productos desarrollados por Wondershare, imágenes de contenedores, scripts y código fuente de la empresa, lo que permite a un atacante manipular los modelos de IA o los ejecutables, lo que allana el camino para los ataques a la cadena de suministro dirigidos a sus clientes intermedios.
«Como el binario recupera y ejecuta automáticamente los modelos de IA del almacenamiento en la nube no seguro, los atacantes podrían modificar estos modelos o sus configuraciones e infectar a los usuarios sin saberlo», dijeron los investigadores. «Un ataque de este tipo podría distribuir cargas maliciosas entre usuarios legítimos mediante actualizaciones de software firmadas por el proveedor o descargas de modelos de IA».
Más allá de la exposición de los datos de los clientes y la manipulación de los modelos de IA, los problemas también pueden tener graves consecuencias, que van desde el robo de propiedad intelectual y las sanciones reglamentarias hasta la erosión de la confianza de los consumidores.
La empresa de ciberseguridad dijo que divulgó de manera responsable los dos problemas a través de su Iniciativa Zero Day (ZDI) en abril de 2025, pero no es que aún no haya recibido una respuesta del proveedor a pesar de los repetidos intentos. En ausencia de una solución, se recomienda a los usuarios que «restrinjan la interacción con el producto».
«La necesidad de innovaciones constantes alimenta la prisa de las organizaciones por lanzar nuevas funciones al mercado y mantener la competitividad, pero es posible que no prevean las nuevas y desconocidas formas en que estas funciones podrían usarse o cómo su funcionalidad podría cambiar en el futuro», afirma Trend Micro.
«Esto explica cómo se pueden pasar por alto las importantes implicaciones de seguridad. Por eso es crucial implementar un proceso de seguridad sólido en toda la organización, incluido el proceso de creación de CD/CI».
La necesidad de que la inteligencia artificial y la seguridad vayan de la mano
El desarrollo se produce cuando Trend Micro advirtió anteriormente contra la posibilidad de exponer Model Context Protocol ( MCP ) servidores sin autenticación o almacenamiento de credenciales confidenciales como las configuraciones de MCP en texto plano, que los actores de amenazas pueden aprovechar para acceder a los recursos de la nube, las bases de datos o inyectar código malintencionado.
Cada servidor MCP actúa como una puerta abierta a su fuente de datos: bases de datos, servicios en la nube, API internas o sistemas de gestión de proyectos», dijeron los investigadores. «Sin autenticación, los datos confidenciales, como los secretos comerciales y los registros de clientes, están al alcance de todos».
En diciembre de 2024, la empresa también encontrado que se podría abusar de los registros de contenedores expuestos para obtener acceso no autorizado y extraer imágenes de Docker objetivo para extraer el modelo de IA que contiene, modificar los parámetros del modelo para influir en sus predicciones y devolver la imagen manipulada al registro expuesto.
«El modelo manipulado podía comportarse con normalidad en condiciones normales y solo mostraba sus alteraciones maliciosas cuando se activaban mediante entradas específicas», afirma Trend Micro. «Esto hace que el ataque sea particularmente peligroso, ya que podría eludir las pruebas y los controles de seguridad básicos».
Kaspersky también ha destacado el riesgo para la cadena de suministro que representan los servidores MCP, que ideó un exploit de prueba de concepto (PoC) para poner de manifiesto cómo los servidores MCP instalados a partir de fuentes no confiables pueden ocultar las actividades de reconocimiento y exfiltración de datos bajo la apariencia de una herramienta de productividad impulsada por la inteligencia artificial.
«La instalación de un servidor MCP básicamente le da permiso para ejecutar código en una máquina de usuario con los privilegios del usuario», dijo el investigador de seguridad Mohamed Ghobashy dijo . «A menos que esté aislado, el código de terceros puede leer los mismos archivos a los que tiene acceso el usuario y realizar llamadas de red salientes, como cualquier otro programa».
Los hallazgos muestran que la rápida adopción de herramientas de MCP e IA en entornos empresariales para habilitar las capacidades de las agencias, particularmente sin políticas claras o barreras de seguridad, puede abrir nuevos vectores de ataque , incluyendo intoxicación por herramientas , tiradores de alfombras , el seguimiento, la inyección inmediata y la escalada de privilegios no autorizada.
En un informe publicado la semana pasada, la unidad 42 de Palo Alto Networks reveló que la función de adjuntar contexto utilizada en los asistentes de código de IA para cerrar la brecha de conocimiento de un modelo de IA puede ser susceptible de ser inyectada de forma indirecta, en la que los adversarios incrustan indicaciones dañinas en fuentes de datos externas para provocar un comportamiento no deseado en modelos lingüísticos grandes (LLM).
La inyección inmediata indirecta depende de la incapacidad del asistente para diferenciar entre las instrucciones emitidas por el usuario y las que el atacante ha incorporado subrepticiamente en fuentes de datos externas.
Por lo tanto, cuando un usuario proporciona inadvertidamente al asistente de codificación datos de terceros (por ejemplo, un archivo, un repositorio o una URL) que ya han sido contaminados por un atacante, el mensaje malicioso oculto podría utilizarse como arma para engañar a la herramienta y hacer que ejecute una puerta trasera, inyecte código arbitrario en una base de código existente e incluso filtre información confidencial.
«Agregar este contexto a las indicaciones permite al asistente de código proporcionar resultados más precisos y específicos», dijo Osher Jacob, investigador de la Unidad 42 dijo . «Sin embargo, esta función también podría crear una oportunidad para realizar ataques indirectos de inyección rápida si los usuarios proporcionan involuntariamente fuentes de contexto que los actores de amenazas hayan contaminado».
También se ha descubierto que los agentes de codificación de la IA son vulnerables a lo que se denomina un ataque de «mentiras sobre la marcha» (LiTL), cuyo objetivo es convencer al LLM de que las instrucciones que se le dan son mucho más seguras de lo que realmente son, anulando de manera efectiva las defensas humanas que se utilizan al realizar operaciones de alto riesgo.
«LitL abusa de la confianza entre un humano y el agente», dijo Ori Ron, investigador de Checkmarx dijo . «Después de todo, el ser humano solo puede responder a lo que el agente le indica, y lo que el agente le pide al usuario se deduce del contexto que se le da al agente. Es fácil mentirle al agente y hacer que éste proporcione un contexto falso y aparentemente seguro mediante comandos y un lenguaje explícito en algo parecido a un problema de GitHub».
«Y el agente se complace en repetir la mentira al usuario, ocultando las acciones maliciosas contra las que pretende protegerse el aviso, lo que hace que el agresor básicamente convierta al agente en cómplice de la obtención de las llaves del reino».