Cuatro nuevos avisos de seguridad

• CVE-2026-33309: La capa de almacenamiento no realiza comprobaciones de contención de límites, el sistema depende completamente de la dependencia 'ValidatedFileName' de la capa HTTP.

  Este fallo de defensa en profundidad deja el endpoint 'POST /api/v2/files' vulnerable a una escritura arbitraria de ficheros. El nombre de fichero de carga multiparte omite el protector de parámetros de ruta, lo que permite a atacantes no autenticados escribir ficheros en cualquier lugar del sistema anfitrión (host), lo que deriva en una Ejecución de Código en Remoto (RCE).

• CVE-2026-4380: Cross-Site Scripting (XSS) almacenado por manipulación de Content-Type en LiveHelperChat, cuya explotación podría permitir a un atacante tomar el control total de la aplicación (creando cuentas de administrador) mediante la subida de un archivo malicioso con el encabezado modificado para forzar la ejecución de código JavaScript en el navegador de la víctima.
• CVE-2026-4381: lectura arbitraria de archivos por asignación masiva en LiveHelperChat, cuya explotación podría permitir a un atacante acceder a archivos sensibles del sistema (como credenciales) mediante la modificación no validada de parámetros de ruta (file_path y name) a través de peticiones a la API REST.
• CVE-2026-4382: deserialización insegura (inyección de objetos PHP) en LiveHelperChat, cuya explotación podría permitir a un atacante ejecutar código de forma remota (desplegando una webshell) mediante la inserción de payloads serializados directamente en la base de datos, tras haber extraído las credenciales del sistema.
• CVE-2026-4383: omisión de control de acceso por lógica invertida en LiveHelperChat, cuya explotación podría permitir a un atacante eliminar cualquier chat del sistema mediante el envío de peticiones de borrado a la API REST utilizando una cuenta de bajo privilegio que carezca explícitamente de dichos permisos.
• CVE-2026-4384: omisión de control de acceso en LiveHelperChat, cuya explotación podría permitir a un atacante interceptar datos sensibles de los chats (mensajes, archivos y datos de usuarios) mediante la modificación no autorizada de las URLs de los webhooks salientes a través de la API REST utilizando una cuenta sin privilegios.
• CVE-2026-4385: Server-Side Request Forgery (SSRF) en LiveHelperChat, cuya explotación podría permitir a un atacante realizar peticiones de red no autorizadas desde el servidor hacia sistemas internos o externos mediante el envío de URLs controladas por el usuario a un webhook público configurado para descargar imágenes sin la debida validación.
• CVE-2026-4386: referencia directa a objetos inseguros (IDOR) en LiveHelperChat, cuya explotación podría permitir a un atacante enumerar y extraer metadatos de conversaciones restringidas (como fechas y departamentos) mediante la consulta no autorizada de identificadores de chat en el controlador de mensajes previos utilizando una cuenta de operador con privilegios básicos.

CVE-2026-22732: cuando las aplicaciones especifican encabezados de respuesta HTTP para aplicaciones de servlets que utilizan Spring Security, puede darse el caso de que no se escriban los encabezados. Esto puede exponer las aplicaciones a diversos ataques, entre ellos la divulgación de datos confidenciales mediante los mecanismos de almacenamiento en caché.

• CVE-2026-21992: un atacante no autenticado con acceso a la red por HTTP puede comprometer el dispositivo y lograr ejecutar código en remoto, lo que impacta negativamente en la confidencialidad, integridad y disponibilidad.