Una falla de Gitea con sondeo activo desde hoy, tres fallas corregidas en el paquete tar de npm, dos vulnerabilidades críticas de Joomla en el plazo de parche que fijó CISA y una campaña de cuentas fantasma que mapea organizaciones en GitHub marcan la agenda de desarrollo del 13 de julio.
El proyecto de código abierto Gitea confirmó el 13 de julio de 2026 que Sysdig detectó los primeros intentos de explotación de CVE-2026-20896, una falla de suplantación de identidad con puntaje CVSS de 9.8 en la imagen oficial de Docker del sistema de control de versiones, según reportó The Hacker News. La imagen de Docker de Gitea trae por defecto el valor REVERSE_PROXY_TRUSTED_PROXIES = "*" en su archivo de configuración app.ini, lo que hace que el servidor confíe en el encabezado HTTP X-WEBAUTH-USER enviado desde cualquier dirección IP, en lugar de limitarlo al proxy inverso legítimo. Cualquier cliente que llegue directamente al puerto del contenedor puede escribir ese encabezado con el nombre de un usuario administrador, y el servidor lo acepta como si la autenticación ya se hubiera verificado, sin pedir contraseña ni token. La falla afecta a las imágenes oficiales de Docker hasta la versión 1.26.2 en configuración por defecto; Gitea la corrigió en las versiones 1.26.3 y 1.26.4, publicadas el 21 de junio de 2026, según el blog oficial del proyecto. Michael Clark, director sénior de investigación de amenazas de Sysdig, escribió que el reconocimiento detectado hasta ahora «se ha limitado a una investigación inicial por parte del atacante» y que «no ha avanzado todavía hacia explotación o progreso de ataque» —una lectura que matiza la alarma del puntaje CVSS de 9.8: nadie ha confirmado todavía una intrusión completa, solo sondeos cuyo origen inicial se rastreó hasta un nodo de salida de ProtonVPN. El riesgo real depende de cuántas instalaciones sigan expuestas: BleepingComputer contabilizó cerca de 6.200 instancias de Gitea accesibles directamente desde internet al cierre de su cobertura, la mayoría corriendo la imagen de Docker con la configuración de fábrica. Quien controle una cuenta administrador en Gitea puede leer y escribir en cualquier repositorio, incluidos los privados, y con ellos el código fuente, las llaves de despliegue y las credenciales que algún desarrollador haya subido por error. Gitea es una alternativa gratuita y autoalojada a GitHub y GitLab, común entre universidades, comunidades de software libre y estudios pequeños que prefieren no pagar licencias ni depender de un proveedor externo —un perfil que coincide con el de varias comunidades de desarrollo costarricenses que migran proyectos académicos o de código abierto a servidores propios. Ningún medio confirmó instancias ticas comprometidas al cierre de esta edición, pero cualquier administrador que exponga Gitea a internet sin actualizar a la versión 1.26.4 corre el mismo riesgo documentado por Sysdig.
cat /feed/cadenadesuministronpm.md
Las tres vulnerabilidades, publicadas el 12 de julio, incluyen un bombardeo de compresión con puntaje CVSS de 9.2 capaz de agotar el disco y el procesador de cualquier máquina que descomprima un archivo malicioso.
> El mantenedor de tar —el paquete de npm que casi todo proyecto de Node.js usa para empaquetar y descomprimir archivos .tar.gz, con 106.384.433 descargas semanales según su propia página en npmjs.com— publicó el 12 de julio de 2026 las versiones 7.5.18 y 7.5.19, que corrigen tres vulnerabilidades de denegación de servicio, según documentaron por separado los rastreadores de vulnerabilidades ThreatINT y TheWindowsUpdate.com. La más grave, CVE-2026-59873, tiene puntaje CVSS de 9.2: el paquete no imponía ningún límite al tamaño de los datos descomprimidos, a la cantidad de archivos ni a la proporción de compresión al extraer un archivo .tar.gz, lo que permite que un archivo comprimido de pocos kilobytes —un «bombardeo de compresión»— agote el disco y el procesador de la máquina que lo procesa. Las otras dos fallas, CVE-2026-59874 (CVSS 8.7) y CVE-2026-59871 (CVSS 5.3), permiten provocar un bucle infinito con un encabezado de tamaño negativo en la función tar.replace y un cierre inesperado del proceso al convertir de forma incorrecta una ruta numérica del formato PAX en un número de JavaScript, respectivamente.
> Las tres fallas comparten un mismo patrón: ninguna permite ejecutar código arbitrario, pero todas bastan para tumbar un proceso de compilación o un servidor que procese archivos .tar.gz de origen no confiable, un escenario común en canalizaciones de integración continua que descargan artefactos de terceros. tar no es un paquete cualquiera: se descarga más de cien millones de veces por semana como dependencia de herramientas tan comunes como el propio npm, node-gyp y prácticamente cualquier proyecto que empaquete binarios nativos, lo que vuelve cualquier bucle infinito o agotamiento de memoria en su código un riesgo que se propaga a una porción enorme del ecosistema de JavaScript sin que la mayoría de los equipos sepa que dependen de él.
> Ningún medio reportó explotación activa de estas tres fallas al cierre de esta edición —a diferencia de la falla de Gitea que esta misma edición documenta, aquí no hay indicios de ataques en curso—, pero cualquier equipo que use tar como dependencia transitiva debería forzar la actualización a 7.5.19 en su archivo de bloqueo de dependencias. La combinación de Node.js y npm es la base de la mayoría de los equipos de desarrollo web costarricenses, desde estudios pequeños hasta los centros de servicios compartidos de multinacionales instaladas en Heredia y Belén, por lo que la actualización de tar debería llegar de forma automática la próxima vez que esos equipos corran npm install con una versión reciente del gestor de paquetes.
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) sumó el 13 de julio de 2026 dos fallas de severidad máxima a su catálogo de vulnerabilidades explotadas activamente, ambas en extensiones del gestor de contenidos Joomla, según reportó The Hacker News. CVE-2026-48939 afecta a iCagenda, un componente para gestionar eventos y calendarios, y permite subir archivos arbitrarios a través de su función de adjuntos —incluido un archivo PHP disfrazado con otra extensión— que el servidor termina ejecutando como código; según documentó la firma mySites.guru, que descubrió la falla al investigar un ataque real contra uno de sus clientes, el fallo se explota como día cero desde el 15 de junio de 2026. CVE-2026-56291 afecta a Balbooa Forms, un generador de formularios, con el mismo patrón de carga de archivos sin restricción. Ambas fallas tienen puntaje CVSS de 10.0, el máximo posible en esa escala. CISA fijó el 13 de julio de 2026 —la fecha de esta edición— como plazo para que las agencias civiles del gobierno federal estadounidense apliquen los parches, según su catálogo de vulnerabilidades explotadas conocidas. iCagenda corrigió la falla en la versión 4.0.8 y Balbooa Forms en la 2.4.1; cualquier sitio de Joomla con una versión anterior de cualquiera de las dos extensiones sigue expuesto a que un atacante sin credenciales suba y ejecute código en el servidor. Joomla es, después de WordPress, uno de los gestores de contenido más usados del mundo para portales institucionales y sitios de pequeñas y medianas empresas, precisamente el tipo de organización con menos probabilidad de tener un proceso formal de actualización de extensiones de terceros. Ningún medio confirmó sitios costarricenses afectados al cierre de esta edición. Joomla sigue siendo una opción común entre municipalidades, cooperativas y pequeñas empresas ticas que administran su sitio institucional con recursos de desarrollo limitados y rara vez auditan qué extensiones de terceros tienen instaladas; cualquier administrador de un sitio en Joomla debería revisar si usa iCagenda o Balbooa Forms y actualizar de inmediato, sin esperar a que CISA lo obligue.
Datadog Security Labs publicó el 8 de julio de 2026 un informe que documenta campañas superpuestas de reconocimiento contra organizaciones corporativas en GitHub, activas desde al menos octubre de 2025 y con cobertura adicional de SecurityWeek y The Hacker News esta semana. Los investigadores identificaron más de 50 «cuentas fantasma» —perfiles creados entre dos y cinco años atrás, dejados inactivos y luego reactivados— que envían tráfico de API a docenas de empresas a la vez, agrupadas en familias con patrones de nombre como user432023 o los sufijos -orb, según el informe. La mayoría de las consultas apuntan al endpoint /graphql, que permite extraer en bloque datos de organizaciones, usuarios y repositorios, combinadas con nombres de agente de usuario que imitan herramientas legítimas —como «GitHub-Company-Scraper» o «GitHubAnalytics/1.5»— y con tokens de acceso personal y OAuth robados de cuentas reales. La propia Datadog matiza el nivel de alarma: gran parte de la actividad, escribieron los investigadores, «se ve normal por sí sola» —peticiones a APIs públicas, autenticación limpia o inexistente, respuestas exitosas— y la mayoría de las consultas solo tocan datos que cualquier persona podría ver desde un navegador. Pero al menos un caso cruzó esa línea: una herramienta identificada por su agente de usuario como «repo-dumper» ejecutó acciones de clonación (git clone) contra un repositorio privado, según los registros de auditoría que Datadog documentó, la primera confirmación de que estas campañas no se limitan a mirar información pública. GitHub no había publicado un comunicado propio sobre el informe al cierre de esta edición. Ninguna organización costarricense apareció nombrada en el informe de Datadog al cierre de esta edición, y el impacto directo sobre empresas ticas es difícil de medir porque buena parte del reconocimiento descrito es indistinguible del tráfico normal de la API; aun así, cualquier empresa o banco con sede en Costa Rica que mantenga repositorios privados en GitHub debería revisar sus registros de auditoría en busca de los patrones de agente de usuario que Datadog publicó, en particular accesos exitosos a rutas privadas desde cuentas con años de inactividad.
La semana pasada esta sección documentó cómo npm 12 bloqueó por defecto los scripts de instalación mientras el paquete jscrambler demostraba, en cuestión de días, que ese blindaje no alcanza cuando un atacante mueve la carga maliciosa a otro punto del ciclo de vida del paquete. Esta edición muestra que el problema no es exclusivo de npm: Gitea, la alternativa autoalojada a GitHub, tiene una falla de suplantación de identidad con puntaje CVSS de 9.8 bajo sondeo activo desde el 13 de julio; dos extensiones de Joomla con puntaje CVSS de 10.0 llevaron a Estados Unidos a fijar ese mismo día como plazo de parche obligatorio para sus agencias; y el paquete tar de npm, con 106 millones de descargas semanales, corrigió tres fallas de denegación de servicio el 12 de julio, una de ellas con puntaje CVSS de 9.2. El patrón común es estructural, no de una sola herramienta: cada pieza de infraestructura de desarrollo —un gestor de paquetes, una plataforma de control de versiones, un gestor de contenidos, un componente de terceros— acumula código sin revisar durante años hasta que alguien, con intención maliciosa o de buena fe, encuentra el punto donde la validación falló. Datadog documentó en paralelo cómo más de 50 cuentas inactivas de GitHub llevan desde octubre de 2025 mapeando organizaciones empresariales completas a través de la propia API pública de la plataforma, sin que la mayoría de esa actividad dispare ninguna alarma automática. Para los equipos de desarrollo en Costa Rica, la lista de esta edición es concreta: actualizar cualquier imagen de Docker de Gitea a la versión 1.26.4, revisar si algún sitio institucional corre iCagenda o Balbooa Forms sobre Joomla, forzar la versión de tar a 7.5.19 en los archivos de bloqueo de dependencias, y auditar los registros de acceso de GitHub en busca de cuentas con años de inactividad que de pronto empiezan a consultar la API. Ninguna de las cuatro tareas depende de un presupuesto grande; todas dependen de que alguien las revise antes de que lo haga un atacante.