Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en GNU Binutils (CVE-2025-69645)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 20/03/2026
    Binutils objdump contiene una vulnerabilidad de denegación de servicio al procesar un binario manipulado con información de depuración DWARF malformada. Un error lógico en el manejo de las unidades de compilación DWARF puede resultar en que se utilice un valor offset_size no válido dentro de byte_get_little_endian, lo que lleva a una interrupción (SIGABRT). El problema fue observado en binutils 2.44. Un atacante local puede desencadenar el fallo al proporcionar un archivo de entrada malicioso.
  • Vulnerabilidad en GNU Binutils (CVE-2025-69646)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 20/03/2026
    Binutils objdump contiene una vulnerabilidad de denegación de servicio al procesar un binario manipulado con datos DWARF debug_rnglists malformados. Un error lógico en el manejo del encabezado debug_rnglists puede hacer que objdump imprima repetidamente el mismo mensaje de advertencia y no termine, lo que resulta en un bucle de registro ilimitado hasta que el proceso sea interrumpido. El problema se observó en binutils 2.44. Un atacante local puede explotar esta vulnerabilidad al proporcionar un archivo de entrada malicioso, lo que lleva a un uso excesivo de CPU y E/S y evitando la finalización del análisis de objdump.
  • Vulnerabilidad en LimeSurvey (CVE-2025-56421)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 20/03/2026
    Vulnerabilidad de inyección SQL en LimeSurvey anterior a la v.6.15.4+250710 permite a un atacante remoto obtener información sensible de la base de datos.
  • Vulnerabilidad en LimeSurvey (CVE-2025-56422)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 20/03/2026
    Una vulnerabilidad de deserialización en LimeSurvey anterior a la v6.15.0+250623 permite a un atacante remoto ejecutar código arbitrario en el servidor.
  • Vulnerabilidad en Elysia (CVE-2026-30837)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 20/03/2026
    Elysia es un framework de Typescript para validación de solicitudes, inferencia de tipos, documentación OpenAPI y comunicación cliente-servidor. Antes de la 1.4.26, t.String({ format: 'url' }) es vulnerable a ReDoS. Repetir un formato de url parcial (protocolo y nombre de host) varias veces causa que la expresión regular se ralentice significativamente. Esta vulnerabilidad está corregida en la 1.4.26.
  • Vulnerabilidad en sigstore-ruby de sigstore (CVE-2026-31830)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 20/03/2026
    sigstore-ruby es una implementación pura de Ruby del comando sigstore verify del proyecto sigstore/cosign. Antes de 0.2.3, Sigstore::Verifier#verify no propaga el VerificationFailure devuelto por verify_in_toto cuando el *digest* del artefacto no coincide con el *digest* en el sujeto de la atestación in-toto. Como resultado, la verificación de paquetes DSSE que contienen declaraciones in-toto devuelve VerificationSuccess independientemente de si el artefacto coincide con el sujeto atestiguado. Esta vulnerabilidad está corregida en 0.2.3.
  • Vulnerabilidad en Striae (CVE-2026-31839)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 20/03/2026
    Striae es un compañero de comparación para examinadores de armas de fuego. Existía una vulnerabilidad de omisión de integridad de alta gravedad en el flujo de trabajo de confirmación digital de Striae antes de la v3.0.0. La validación solo por hash confiaba en los campos de hash del manifiesto que podían ser modificados junto con el contenido del paquete, permitiendo que los paquetes de confirmación manipulados pasaran las comprobaciones de integridad. Esta vulnerabilidad está corregida en la 3.0.0.
  • Vulnerabilidad en code-quality.yml de jellyfin (CVE-2026-31852)
    Severidad: CRÍTICA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 20/03/2026
    Jellyfin es un sistema multimedia de código abierto. El flujo de trabajo de GitHub Actions 'code-quality.yml' en jellyfin/jellyfin-ios es vulnerable a la ejecución de código arbitrario a través de solicitudes de extracción (pull requests) de repositorios bifurcados. Debido a los permisos elevados del flujo de trabajo (casi todos los permisos de escritura), esta vulnerabilidad permite la toma de control completa del repositorio jellyfin/jellyfin-ios, la exfiltración de secretos altamente privilegiados, un ataque a la cadena de suministro de la Apple App Store, el envenenamiento de paquetes del GitHub Container Registry (ghcr.io) y el compromiso completo de la organización jellyfin a través del uso de tokens entre repositorios. Nota: Esto no es una vulnerabilidad de código, sino una vulnerabilidad en los flujos de trabajo de GitHub Actions. No se requiere una nueva versión para esta GHSA y los usuarios finales no necesitan tomar ninguna medida.
  • Vulnerabilidad en cursor (CVE-2026-31854)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 20/03/2026
    Cursor es un editor de código diseñado para programar con IA. Antes de 2.0, si un sitio web visitado contiene instrucciones creadas maliciosamente, el modelo podría intentar seguirlas para 'asistir' al usuario. Cuando se combina con una omisión del mecanismo de lista blanca de comandos, tales inyecciones de prompt indirectas podrían resultar en la ejecución automática de comandos, sin la intención explícita del usuario, lo que representa un riesgo de seguridad significativo. Esta vulnerabilidad se ha corregido en 2.0.
  • Vulnerabilidad en Anytype Heart (CVE-2026-31863)
    Severidad: BAJA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 20/03/2026
    Anytype Heart es la biblioteca de middleware para Anytype. La autenticación basada en desafíos para la API de cliente gRPC local puede ser eludida, permitiendo a un atacante obtener acceso sin el código de 4 dígitos. Esta vulnerabilidad está corregida en anytype-heart 0.48.4, anytype-cli 0.1.11 y Anytype Desktop 0.54.5.
  • Vulnerabilidad en flagd de open-feature (CVE-2026-31866)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 20/03/2026
    flagd es un demonio de feature flags con una filosofía Unix. Antes de la versión 0.14.2, flagd expone puntos finales OFREP (/ofrep/v1/evaluate/...) y gRPC (evaluation.v1, evaluation.v2) para la evaluación de feature flags. Estos puntos finales están diseñados para ser accesibles públicamente por aplicaciones cliente. El contexto de evaluación incluido en las cargas útiles de las solicitudes se lee en la memoria sin ninguna restricción de tamaño. Un atacante puede enviar una única solicitud HTTP con un cuerpo arbitrariamente grande, haciendo que flagd asigne una cantidad de memoria correspondiente. Esto conduce a un agotamiento inmediato de la memoria y a la terminación del proceso (por ejemplo, OOMKill en entornos Kubernetes). flagd no aplica de forma nativa la autenticación en sus puntos finales de evaluación. Si bien los operadores pueden desplegar flagd detrás de un proxy inverso autenticador o infraestructura similar, los propios puntos finales no imponen ningún control de acceso por defecto. Esta vulnerabilidad está corregida en la versión 0.14.2.
  • Vulnerabilidad en Cloud CLI (CVE-2026-31975)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 20/03/2026
    Cloud CLI (también conocida como Claude Code UI) es una interfaz de usuario de escritorio y móvil para Claude Code, Cursor CLI, Codex y Gemini-CLI. Antes de la versión 1.25.0, existía una inyección de comandos del sistema operativo (OS Command Injection) a través de WebSocket Shell. Tanto projectPath como initialCommand en servidor/index.js se toman directamente de la carga útil del mensaje de WebSocket y se interpolan en una cadena de comandos bash sin ninguna sanitización, lo que permite la ejecución arbitraria de comandos del sistema operativo. Existe un vector de inyección secundario a través de un sessionId no sanitizado. Esta vulnerabilidad se corrige en la versión 1.25.0.
  • Vulnerabilidad en Taskosaur (CVE-2026-31874)
    Severidad: CRÍTICA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 20/03/2026
    Taskosaur es una plataforma de gestión de proyectos de código abierto con IA conversacional para la ejecución de tareas dentro de la aplicación. En la versión 1.0.0, la aplicación no valida ni restringe adecuadamente el parámetro role durante el proceso de registro de usuario. Un atacante puede modificar manualmente la carga útil de la solicitud y asignarse privilegios elevados. Dado que el backend no aplica restricciones de asignación de roles ni ignora los parámetros de rol proporcionados por el cliente, el servidor acepta el valor manipulado y crea la cuenta con privilegios SUPER_ADMIN. Esto permite a cualquier atacante no autenticado registrar una cuenta administrativa con todos los privilegios.
  • Vulnerabilidad en zeptoclaw de qhkm (CVE-2026-32231)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 20/03/2026
    ZeptoClaw es un asistente de IA personal. Antes de la 0.7.6, el canal genérico de webhook confía en los campos de identidad proporcionados por el llamante (remitente, chat_id) del cuerpo de la solicitud y aplica comprobaciones de autorización a esos valores no confiables. Dado que la autenticación es opcional y por defecto está deshabilitada (auth_token: None), un atacante que puede acceder a POST /webhook puede suplantar a un remitente en la lista de permitidos y elegir valores arbitrarios de chat_id, lo que permite la suplantación de mensajes de alto riesgo y un posible abuso de enrutamiento de sesión/chat al estilo IDOR. Esta vulnerabilidad está corregida en la 0.7.6.
  • Vulnerabilidad en tolgee-platform (CVE-2026-32251)
    Severidad: CRÍTICA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 20/03/2026
    Tolgee es una plataforma de localización de código abierto. Antes de la versión 3.166.3, los analizadores XML utilizados para importar recursos XML de Android (.xml) y archivos .resx no deshabilitaban el procesamiento de entidades externas. Un usuario autenticado que puede importar archivos de traducción a un proyecto puede explotar esto para leer archivos arbitrarios del servidor y realizar solicitudes del lado del servidor a servicios internos. Esta vulnerabilidad está corregida en la versión 3.166.3.
  • Vulnerabilidad en undici (CVE-2026-1526)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 20/03/2026
    El cliente WebSocket undici es vulnerable a un ataque de denegación de servicio a través de un consumo de memoria ilimitado durante la descompresión permessage-deflate. Cuando una conexión WebSocket negocia la extensión permessage-deflate, el cliente descomprime las tramas comprimidas entrantes sin imponer ningún límite en el tamaño de los datos descomprimidos. Un servidor WebSocket malicioso puede enviar una pequeña trama comprimida (una 'bomba de descompresión') que se expande a un tamaño extremadamente grande en memoria, causando que el proceso de Node.js agote la memoria disponible y colapse o deje de responder. La vulnerabilidad existe en el método PerMessageDeflate.decompress(), que acumula todos los fragmentos descomprimidos en memoria y los concatena en un único Buffer sin verificar si el tamaño total excede un umbral seguro.
  • Vulnerabilidad en undici (CVE-2026-1527)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 20/03/2026
    ImpactoCuando una aplicación pasa entrada controlada por el usuario a la opción upgrade de client.request(), un atacante puede inyectar secuencias CRLF (\r\n) para: * Inyectar encabezados HTTP arbitrarios * Terminar la solicitud HTTP prematuramente y contrabandear datos sin procesar a servicios no HTTP (Redis, Memcached, Elasticsearch) La vulnerabilidad existe porque undici escribe el valor upgrade directamente al socket sin validar caracteres de encabezado no válidos: // lib/dispatcher/client-h1.js:1121 if (upgrade) { header += `connection: upgrade\r\nupgrade: ${upgrade}\r\n` }
  • Vulnerabilidad en undici (CVE-2026-1528)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 20/03/2026
    Impacto Un servidor puede responder con un marco WebSocket utilizando el formato de longitud de 64 bits y una longitud extremadamente grande. El ByteParser de undici desborda las operaciones matemáticas internas, termina en un estado inválido y lanza un TypeError fatal que termina el proceso. Parches Parcheado en la versión v7.24.0 y v6.24.0 de undici. Los usuarios deben actualizar a esta versión o posterior.
  • Vulnerabilidad en undici (CVE-2026-2229)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 20/03/2026
    Impacto El cliente WebSocket undici es vulnerable a un ataque de denegación de servicio debido a la validación incorrecta del parámetro server_max_window_bits en la extensión permessage-deflate. Cuando un cliente WebSocket se conecta a un servidor, anuncia automáticamente soporte para la compresión permessage-deflate. Un servidor malicioso puede responder con un valor server_max_window_bits fuera de rango (fuera del rango válido de zlib de 8-15). Cuando el servidor envía posteriormente un frame comprimido, el cliente intenta crear una instancia zlib InflateRaw con el valor windowBits no válido, causando una excepción RangeError síncrona que no es capturada, lo que resulta en la terminación inmediata del proceso. La vulnerabilidad existe porque: * La función isValidClientWindowBits() solo valida que el valor contiene dígitos ASCII, no que caiga dentro del rango válido 8-15 * La llamada a createInflateRaw() no está envuelta en un bloque try-catch * La excepción resultante se propaga a través de la pila de llamadas y bloquea el proceso de Node.js