Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Fides (CVE-2024-35189)
    Severidad: MEDIA
    Fecha de publicación: 30/05/2024
    Fecha de última actualización: 20/10/2025
    Fides es una plataforma de ingeniería de privacidad de código abierto. El servidor web de Fides tiene una serie de endpoints que recuperan registros de "Configuración de conexión" y sus "secretos" asociados que _pueden_ contener datos confidenciales (por ejemplo, contraseñas, claves privadas, etc.). Estos "secretos" se almacenan cifrados en reposo (en la base de datos de la aplicación) y los endpoints asociados no están destinados a exponer esos datos confidenciales en texto sin formato a los clientes API, ya que podrían ser comprometedores. Los desarrolladores de Fides tienen a su disposición un atributo de campo Pydantic ("sensible") que pueden anotar como "Verdadero" para indicar que un campo secreto determinado no debe exponerse a través de la API. La aplicación tiene una función interna que utiliza anotaciones "sensibles" para enmascarar los campos sensibles con un valor de marcador de posición "**********". Esta vulnerabilidad se debe a un error en esa función, que impedía que los campos del modelo API "sensibles" que estaban _anidados_ debajo del nivel raíz de un objeto "secreto" se enmascararan adecuadamente. Solo los secretos de configuración de conexión de "BigQuery" cumplen estos criterios: el esquema de secretos tiene una propiedad sensible anidada "keyfile_creds.private_key" que se expone en texto sin formato a través de las API. Los tipos de conexión distintos de "BigQuery" con campos confidenciales en el nivel raíz que no están anidados se enmascaran correctamente con el marcador de posición y no se ven afectados por esta vulnerabilidad. Esta vulnerabilidad ha sido parcheada en la versión 2.37.0 de Fides. Se recomienda a los usuarios que actualicen a esta versión o posterior para proteger sus sistemas contra esta amenaza. También se recomienda a los usuarios que roten los secretos de Google Cloud utilizados para las integraciones de BigQuery en sus implementaciones de Fides. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Emlog (CVE-2025-47784)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 20/10/2025
    Emlog es un sistema de creación de sitios web de código abierto. Las versiones 2.5.13 y anteriores presentan una vulnerabilidad de deserialización. Un usuario que crea un apodo cuidadosamente diseñado puede provocar que `str_replace` reemplace el valor de `name_orig` por uno vacío, lo que provoca un error en la deserialización y devuelve `false`. El commit 9643250802188b791419e3c2188577073256a8a2 corrige el problema.