Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Background CMS 1.30 (CVE-2025-44141)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2025
    Fecha de última actualización: 04/03/2026
    Existe una vulnerabilidad de cross site scripting (XSS) en el formulario de creación de nodos de Background CMS 1.30.
  • Vulnerabilidad en eopkg (CVE-2026-21436)
    Severidad: MEDIA
    Fecha de publicación: 01/01/2026
    Fecha de última actualización: 04/03/2026
    eopkg es un gestor de paquetes de Solus implementado en python3. En versiones anteriores a la 4.4.0, un paquete malicioso podría escapar del directorio establecido por `--destdir`. Esto requiere la instalación de un paquete de una fuente maliciosa o comprometida. Los archivos en dichos paquetes no se instalarían en la ruta especificada por `--destdir`, sino en una ubicación diferente en el host. El problema ha sido solucionado en la v4.4.0. Los usuarios que solo instalan paquetes de los repositorios de Solus no se ven afectados.
  • Vulnerabilidad en eopkg (CVE-2026-21437)
    Severidad: BAJA
    Fecha de publicación: 01/01/2026
    Fecha de última actualización: 04/03/2026
    eopkg es un gestor de paquetes de Solus implementado en python3. En versiones anteriores a la 4.4.0, un paquete malicioso podría incluir archivos que no son rastreados por 'eopkg'. Esto requiere la instalación de un paquete de una fuente maliciosa o comprometida. Los archivos en dichos paquetes no serían mostrados por 'lseopkg' y herramientas relacionadas. El problema ha sido solucionado en la v4.4.0. Los usuarios que solo instalan paquetes de los repositorios de Solus no se ven afectados.
  • Vulnerabilidad en TerriaJS-Server (CVE-2026-27818)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 04/03/2026
    TerriaJS-Server es un servidor NodeJS Express para TerriaJS, una biblioteca para construir exploradores de datos geoespaciales basados en la web. Un error de validación en versiones anteriores a la 4.0.3 permite a un atacante hacer proxy de dominios no permitidos explícitamente en la configuración 'proxyableDomains'. La versión 4.0.3 soluciona el problema.
  • Vulnerabilidad en Vim (CVE-2026-28419)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 04/03/2026
    Vim es un editor de texto de código abierto y de línea de comandos. Antes de la versión 9.2.0075, hay un desbordamiento negativo de búfer basado en el montón en la lógica de análisis de archivos de etiquetas estilo Emacs de Vim. Al procesar un archivo de etiquetas malformado donde un delimitador aparece al inicio de una línea, Vim intenta leer memoria inmediatamente anterior al búfer asignado. La versión 9.2.0075 corrige el problema.
  • Vulnerabilidad en Vim (CVE-2026-28420)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 04/03/2026
    Vim es un editor de texto de código abierto y de línea de comandos. Antes de la versión 9.2.0076, hay una escritura de desbordamiento de búfer basado en montículo y una lectura fuera de límites en el emulador de terminal de Vim al procesar caracteres combinatorios máximos de planos suplementarios de Unicode. La versión 9.2.0076 corrige el problema.
  • Vulnerabilidad en Vim (CVE-2026-28421)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 04/03/2026
    Vim es un editor de texto de código abierto, de línea de comandos. En las versiones anteriores a la 9.2.0077, existen un desbordamiento de búfer de pila y un fallo de segmentación (SEGV) en la lógica de recuperación de archivos de intercambio de Vim. Ambos son causados por campos no validados leídos de bloques de puntero manipulados dentro de un archivo de intercambio. La versión 9.2.0077 corrige el problema.
  • Vulnerabilidad en vim (CVE-2026-28422)
    Severidad: BAJA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 04/03/2026
    Vim es un editor de texto de código abierto, de línea de comandos. Antes de la versión 9.2.0078, ocurre un desbordamiento de búfer de pila en 'build_stl_str_hl()' al renderizar una línea de estado con un carácter de relleno multibyte en una terminal muy ancha. La versión 9.2.0078 corrige el problema.