Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en PostgreSQL (CVE-2024-27289)
    Severidad: ALTA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 04/12/2025
    pgx es un controlador PostgreSQL y un conjunto de herramientas para Go. Antes de la versión 4.18.2, la inyección SQL puede ocurrir cuando se cumplen todas las condiciones siguientes: se utiliza el protocolo simple no predeterminado; un marcador de posición para un valor numérico debe ir precedido inmediatamente de un signo menos; debe haber un segundo marcador de posición para un valor de cadena después del primer marcador de posición; ambos deben estar en la misma línea; y ambos valores de parámetros deben ser controlados por el usuario. El problema se resuelve en v4.18.2. Como solución alternativa, no utilice el protocolo simple ni coloque un signo menos directamente antes de un marcador de posición.
  • Vulnerabilidad en RobotsAndPencils go-saml (CVE-2023-48703)
    Severidad: ALTA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 04/12/2025
    RobotsAndPencils go-saml, una librería cliente SAML escrita en Go, contiene una vulnerabilidad de omisión de autenticación en todas las versiones conocidas. Esto se debe a cómo se llama internamente a la herramienta de línea de comando `xmlsec1` para verificar la firma de las aserciones SAML. Cuando se utiliza `xmlsec1` sin definir los datos de la clave habilitada, desafortunadamente el origen de la clave pública para la verificación de la firma no está restringido. Eso significa que un atacante puede firmar las afirmaciones SAML por sí mismo y proporcionar la clave pública requerida (por ejemplo, una clave RSA) directamente integrada en el token SAML. Los proyectos que todavía usan RobotsAndPencils/go-saml deben trasladarse a otra librería SAML o, alternativamente, eliminar la compatibilidad con SAML de sus proyectos. Es probable que la vulnerabilidad pueda solucionarse temporalmente bifurcando el proyecto go-saml y agregando el argumento de línea de comando `--enabled-key-data` y especificando un valor como `x509` o `raw-x509-cert` al llamar al ` xmlsec1` binario en la función de verificación. Tenga en cuenta que esta workaround se debe probar cuidadosamente antes de poder utilizarla.
  • Vulnerabilidad en Go SDK (CVE-2024-28110)
    Severidad: ALTA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 04/12/2025
    Go SDK para CloudEvents es el SDK oficial de CloudEvents para integrar aplicaciones con CloudEvents. Antes de la versión 2.15.2, el uso de cloudevents.WithRoundTripper para crear un cloudevents.Client con un http.RoundTripper autenticado provocaba que go-sdk filtrara credenciales a endpoints arbitrarios. Cuando el transporte se completa con un transporte autenticado, http.DefaultClient se modifica con el transporte autenticado y comenzará a enviar tokens de autorización a cualquier endpoint con el que se utilice para contactar. La versión 2.15.2 soluciona este problema.
  • Vulnerabilidad en OpenZeppelin Contracts (CVE-2024-27094)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 04/12/2025
    OpenZeppelin Contracts es una librería para el desarrollo seguro de contratos inteligentes. La función `Base64.encode` codifica una entrada de `bytes` iterándola en fragmentos de 3 bytes. Cuando esta entrada no es múltiplo de 3, la última iteración puede leer partes de la memoria que están más allá del búfer de entrada. La vulnerabilidad se solucionó en 5.0.2 y 4.9.6.
  • Vulnerabilidad en Coder (CVE-2024-27918)
    Severidad: ALTA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 04/12/2025
    Coder permite a las organizaciones aprovisionar entornos de desarrollo remotos a través de Terraform. Antes de las versiones 2.6.1, 2.7.3 y 2.8.4, una vulnerabilidad en la autenticación OIDC de Coder podía permitir a un atacante eludir la verificación `CODER_OIDC_EMAIL_DOMAIN` y crear una cuenta con un correo electrónico que no estaba en la lista de permitidos. Las implementaciones solo se ven afectadas si el proveedor de OIDC permite a los usuarios crear cuentas en el proveedor. Durante el registro de OIDC, el correo electrónico del usuario se validó incorrectamente con los `CODER_OIDC_EMAIL_DOMAIN`s permitidos. Esto podría permitir que un usuario con un dominio que solo coincidiera parcialmente con un dominio permitido inicie sesión o se registre exitosamente. Un atacante podría registrar un nombre de dominio que explotara esta vulnerabilidad y registrarse en una instancia de Coder con un proveedor público de OIDC. Las instancias de Coder con OIDC habilitado y protegido por la configuración `CODER_OIDC_EMAIL_DOMAIN` se ven afectadas. Las instancias de Coder que utilizan un proveedor OIDC privado no se ven afectadas, ya que los usuarios arbitrarios no pueden registrarse a través de un proveedor OIDC privado sin tener primero una cuenta en el proveedor. Los proveedores públicos de OIDC se ven afectados. La autenticación de GitHub y la autenticación externa no se ven afectadas. Esta vulnerabilidad se soluciona en las versiones 2.8.4, 2.7.3 y 2.6.1. Todas las versiones anteriores a estos parches se ven afectadas por la vulnerabilidad. *Se recomienda que los clientes actualicen sus implementaciones lo antes posible si utilizan autenticación OIDC con la configuración `CODER_OIDC_EMAIL_DOMAIN`.
  • Vulnerabilidad en RSSHub (CVE-2024-27926)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 04/12/2025
    RSSHub es un generador de fuentes RSS de código abierto. A partir de la versión 1.0.0-master.cbbd829 y antes de la versión 1.0.0-master.d8ca915, cuando la imagen especialmente manipulada se suministra al proxy de medios interno, representa la imagen sin manejar vulnerabilidades XSS, lo que permite la ejecución de archivos arbitrarios. Código JavaScript. Los usuarios que acceden a la URL construida deliberadamente se ven afectados. Esta vulnerabilidad se solucionó en la versión 1.0.0-master.d8ca915. No hay workarounds disponibles.
  • Vulnerabilidad en RSSHub (CVE-2024-27927)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 04/12/2025
    RSSHub es un generador de fuentes RSS de código abierto. Antes de la versión 1.0.0-master.a429472, RSSHub permitía a atacantes remotos utilizar el servidor como proxy para enviar solicitudes HTTP GET a objetivos arbitrarios y recuperar información en la red interna o realizar ataques de Denegación de Servicio (DoS). El atacante puede enviar solicitudes maliciosas a un servidor RSSHub para hacer que el servidor envíe solicitudes HTTP GET a destinos arbitrarios y vea respuestas parciales. Esto puede provocar la filtración de la dirección IP del servidor, que podría estar oculta detrás de una CDN; recuperar información en la red interna, por ejemplo qué direcciones/puertos son accesibles, los títulos y meta descripciones de páginas HTML; y denegación de amplificación del servicio. El atacante podría solicitar al servidor que descargue algunos archivos grandes o encadenar varias solicitudes SSRF en una sola solicitud del atacante.
  • Vulnerabilidad en OpenSearch Data Prepper (CVE-2024-55886)
    Severidad: MEDIA
    Fecha de publicación: 12/12/2024
    Fecha de última actualización: 04/12/2025
    OpenSearch Data Prepper es un componente del proyecto OpenSearch que acepta, filtra, transforma, enriquece y enruta datos a escala. Existe una vulnerabilidad en la fuente de registros de OpenTelemetry en Data Prepper a partir de la versión 2.1.0 y anteriores a la versión 2.10.2, donde algunos complementos de autenticación personalizados no realizan la autenticación. Esto permite que usuarios no autorizados ingieran datos de registros de OpenTelemetry en determinadas condiciones. Esta vulnerabilidad no afecta al proveedor de autenticación `http_basic` integrado en Data Prepper. Las canalizaciones que utilizan el proveedor de autenticación `http_basic` siguen requiriendo autenticación. La vulnerabilidad existe solo para las implementaciones personalizadas del complemento de autenticación `GrpcAuthenticationProvider` de Data Prepper que implementan el método `getHttpAuthenticationService()` en lugar de `getAuthenticationInterceptor()`. Data Prepper 2.10.2 contiene una solución para este problema. Quienes no puedan actualizar pueden usar el proveedor de autenticación `http_basic` integrado en Data Prepper y/o agregar un proxy de autenticación frente a las instancias de Data Prepper que ejecutan la fuente de registros de OpenTelemetry.