Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Password Manager

Fecha de publicación 05/06/2026
Identificador
INCIBE-2026-400
Importancia
3 - Media
Recursos Afectados
  • Password Manager (testeado en versiones anteriores a fecha 06/08/2025).
Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media que afectan a Password Manager, una aplicación para la gestión de contraseñas de múltiples tipos de servicios. Las vulnerabilidades han sido descubiertas por Julen Garrido Estévez.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-10836: CVSS v4.0: 5.8 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N | CWE-644
  • CVE-2026-10837: CVSS v4.0: 5.8 | CVSS AV:N/AC:H/AT:N/PR:N/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-601
  • CVE-2026-10839: CVSS v4.0: 5.8 | CVSS AV:N/AC:H/AT:N/PR:N/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-601
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Password Manager el 07/08/2025. Se recomienda actualizar a la última versión disponible.

Detalle
  • CVE-2026-10836: vulnerabilidad de neutralización inadecuada de cabeceras HTTP que permite a un atacante remoto manipular el valor del encabezado Host mediante peticiones especialmente diseñadas. Una explotación exitosa podría provocar la generación de enlaces o respuestas manipuladas, facilitando la exposición limitada de información o afectando a la integridad de servicios dependientes.
  • CVE-2026-10837: vulnerabilidad de redirección abierta debido a una validación insuficiente del encabezado HTTP X-Forwarded-Host. Un atacante podría crear enlaces manipulados que, al ser abiertos por una víctima, provoquen su redirección a dominios controlados por el atacante, permitiendo acciones de phishing o engaño con impacto limitado en la confidencialidad e integridad.
  • CVE-2026-10839: vulnerabilidad de redirección abierta en el sistema de autenticación que permite utilizar valores manipulados del encabezado X-Forwarded-Host para alterar las URL generadas por la aplicación. Una explotación exitosa podría redirigir a usuarios autenticados a sitios maliciosos tras procesos de inicio de sesión o interacción con la interfaz, afectando de forma limitada a la confidencialidad e integridad.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-10836 Media No Password Manager
CVE-2026-10837 Media No Password Manager
CVE-2026-10839 Media No Password Manager
Listado de referencias
Github - eusonlito / Password Manager
CWE-644: Improper Neutralization of HTTP Headers for Scripting Syntax
CWE-601: URL Redirection to Untrusted Site ('Open Redirect')
Etiquetas