Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el contenido del registro de errores en el plugin WP Photo Album Plus de WordPress (CVE-2021-25115)
    Severidad: MEDIA
    Fecha de publicación: 14/02/2022
    Fecha de última actualización: 20/03/2026
    El plugin WP Photo Album Plus de WordPress versiones anteriores a 8.0.10, era vulnerable a un ataque de tipo Cross-Site Scripting (XSS) Almacenado. El contenido del registro de errores era manejado inapropiadamente, por lo que cualquier usuario, incluso no autenticado, podía causar una ejecución de javascript arbitrario en el panel de administración
  • Vulnerabilidad en J.N. Breetvelt a.K.A. OpaJaap WP Photo Album Plus (CVE-2023-49813)
    Severidad: ALTA
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 20/03/2026
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en J.N. Breetvelt a.K.A. OpaJaap WP Photo Album Plus permite almacenar XSS. Este problema afecta a WP Photo Album Plus: desde n/a hasta 8.5.02.005.
  • Vulnerabilidad en Wagtail (CVE-2024-39317)
    Severidad: MEDIA
    Fecha de publicación: 11/07/2024
    Fecha de última actualización: 20/03/2026
    Wagtail es un sistema de gestión de contenidos de código abierto construido sobre Django. Un error en `parse_query_string` de Wagtail provocaría que se tardara mucho en procesar las entradas adecuadamente manipuladas. Cuando se utiliza para analizar cadenas de caracteres suficientemente largas sin espacios, `parse_query_string` tardaría una cantidad de tiempo inesperadamente grande en procesarse, lo que provocaría una denegación de servicio. En una instalación inicial de Wagtail, cualquier usuario administrador de Wagtail puede aprovechar la vulnerabilidad. No puede ser explotado por los usuarios finales. Si su sitio Wagtail tiene una implementación de búsqueda personalizada que utiliza `parse_query_string`, otros usuarios pueden explotarla (por ejemplo, usuarios no autenticados). Se han lanzado versiones parcheadas como Wagtail 5.2.6, 6.0.6 y 6.1.3.
  • Vulnerabilidad en ZeusWeb (CVE-2025-13650)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 20/03/2026
    Un atacante con acceso a la aplicación web ZeusWeb del proveedor Microcom (en este caso, el registro no es necesario, pero la acción debe realizarse) que tiene el software vulnerable podría introducir JavaScript arbitrario inyectando una carga útil XSS en el parámetro 'Surname' de la operación 'Create Account' en la URL: https://zeus.microcom.es:4040/index.html?zeus6=true . Este problema afecta a ZeusWeb: 6.1.31.
  • Vulnerabilidad en Microsoft (CVE-2026-23665)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 20/03/2026
    Desbordamiento de búfer basado en montículo en Máquinas Virtuales Azure Linux permite a un atacante autorizado elevar privilegios localmente.
  • Vulnerabilidad en Sterling B2B Integrator de IBM (CVE-2025-14483)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2026
    Fecha de última actualización: 20/03/2026
    IBM Sterling B2B Integrator y IBM Sterling File Gateway 6.1.0.0 hasta 6.1.2.7_2, 6.2.0.0 hasta 6.2.0.5_1, 6.2.1.0 hasta 6.2.1.1_1, y 6.2.2.0 podrían divulgar información sensible del host a usuarios autenticados en respuestas que podrían ser utilizadas en ataques posteriores contra el sistema.
  • Vulnerabilidad en IBM (CVE-2025-14504)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2026
    Fecha de última actualización: 20/03/2026
    IBM Sterling B2B Integrator e IBM Sterling File Gateway 6.1.0.0 hasta 6.1.2.7_2, 6.2.0.0 hasta 6.2.0.5_1, 6.2.1.0 hasta 6.2.1.1_1, y 6.2.2.0 son vulnerables a cross-site scripting. Esta vulnerabilidad permite a un usuario autenticado incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista y lo que podría llevar a la divulgación de credenciales dentro de una sesión de confianza.
  • Vulnerabilidad en Sterling B2B Integrator de IBM (CVE-2026-0835)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2026
    Fecha de última actualización: 20/03/2026
    IBM Sterling B2B Integrator e IBM Sterling File Gateway 6.1.0.0 hasta 6.1.2.7_2, 6.2.0.0 hasta 6.2.0.5_1, 6.2.1.0 hasta 6.2.1.1_1, y 6.2.2.0 son vulnerables a cross-site scripting. Esta vulnerabilidad permite a un usuario autenticado incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, potencialmente llevando a la divulgación de credenciales dentro de una sesión de confianza.
  • Vulnerabilidad en hexpm (CVE-2026-23940)
    Severidad: ALTA
    Fecha de publicación: 13/03/2026
    Fecha de última actualización: 20/03/2026
    Una vulnerabilidad de consumo de recursos no controlado en hexpm hexpm/hexpm permite una asignación excesiva. Publicar un paquete sobredimensionado puede hacer que Hex.pm se quede sin memoria mientras extrae el tarball del paquete subido. Esto puede terminar la instancia de aplicación afectada y resultar en una denegación de servicio para la publicación de paquetes y potencialmente otras funcionalidades de procesamiento de paquetes. Este problema afecta a hexpm: antes de 495f01607d3eae4aed7ad09b2f54f31ec7a7df01; hex.pm: antes del 2026-03-10.
  • Vulnerabilidad en Mattermost (CVE-2026-2461)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Las versiones de los plugins de Mattermost <=11.3 11.0.3 11.2.2 10.10.11.0 no implementan comprobaciones de autorización en las modificaciones de bloques de comentarios, lo que permite a un atacante autorizado con permiso de editor modificar comentarios creados por otros miembros del tablero. ID de aviso de Mattermost: MMSA-2025-00559
  • Vulnerabilidad en Mattermost (CVE-2026-2476)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Las versiones <=2.0.3.0 de los plugins de Mattermost no logran enmascarar correctamente los valores de configuración sensibles, lo que permite a un atacante con acceso a los paquetes de soporte obtener la configuración original del plugin a través de datos de configuración exportados. ID de Aviso de Mattermost: MMSA-2026-00606
  • Vulnerabilidad en Vulnogram (CVE-2026-32774)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Vulnogram 1.0.0 contiene una vulnerabilidad de cross-site scripting almacenado en el manejo de hipertexto de comentarios que permite a los atacantes inyectar scripts maliciosos. Los atacantes remotos pueden inyectar cargas útiles de XSS a través de comentarios para ejecutar JavaScript arbitrario en los navegadores de las víctimas.
  • Vulnerabilidad en Wakyma application web de Wakyma (CVE-2026-3021)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Vulnerabilidad de inyección SQL no relacional (NoSQLi) en la aplicación web Wakyma, específicamente en el endpoint 'vets.wakyma.com/centro/equipo/empleado'. Esta vulnerabilidad podría permitir a un usuario autenticado alterar una solicitud GET al endpoint afectado con el propósito de inyectar comandos NoSQL especiales. Esto llevaría a la enumeración de datos sensibles de empleados.
  • Vulnerabilidad en Binutils: gnu binutils: information disclosure via specially crafted xcoff object file (CVE-2026-3441)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Se encontró una falla en GNU Binutils. Esta vulnerabilidad de desbordamiento de búfer basado en montículo, específicamente una lectura fuera de límites en el enlazador bfd, permite a un atacante obtener acceso a información sensible. Al convencer a un usuario de procesar un archivo objeto XCOFF especialmente diseñado, un atacante puede activar esta falla, lo que podría llevar a la revelación de información o a una denegación de servicio a nivel de aplicación.
  • Vulnerabilidad en Red Hat (CVE-2026-3442)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Se encontró una falla en GNU Binutils. Esta vulnerabilidad, un desbordamiento de búfer basado en montículo, específicamente una lectura fuera de límites, existe en el componente enlazador bfd. Un atacante podría explotar esto al convencer a un usuario de procesar un archivo objeto XCOFF malicioso especialmente diseñado. La explotación exitosa podría llevar a la divulgación de información sensible o causar que la aplicación falle, lo que resultaría en una denegación de servicio a nivel de aplicación.
  • Vulnerabilidad en BL-WR9000 de LB-LINK (CVE-2026-4226)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Se ha identificado una debilidad en LB-LINK BL-WR9000 2.4.9. El elemento afectado es la función sub_44E8D0 del archivo /goform/get_virtual_cfg. Ejecutar una manipulación puede llevar a un desbordamiento de búfer basado en pila. El ataque puede realizarse de forma remota. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en BL-WR9000 de LB-LINK (CVE-2026-4227)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Se ha detectado una vulnerabilidad de seguridad en LB-LINK BL-WR9000 2.4.9. El elemento afectado es la función sub_44D844 del archivo /goform/get_hidessid_cfg. La manipulación conduce a un desbordamiento de búfer. Es posible iniciar el ataque remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. Se contactó con el proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en BL-WR9000 de LB-LINK (CVE-2026-4228)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Una vulnerabilidad fue detectada en LB-LINK BL-WR9000 2.4.9. Esto afecta a la función sub_458754 del archivo /goform/set_wifi. La manipulación resulta en inyección de comandos. Es posible lanzar el ataque de forma remota. El exploit ahora es público y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Open5GS (CVE-2026-4240)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Una vulnerabilidad fue determinada en Open5GS hasta 2.7.6. El elemento afectado es la función smf_gx_cca_cb/smf_gy_cca_cb/smf_s6b_aaa_cb/smf_s6b_sta_cb del componente Gestor CCA. Esta manipulación causa denegación de servicio. El ataque puede iniciarse remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. Actualizar a la versión 2.7.7 es suficiente para solucionar este problema. Nombre del parche: 80eb484a6ab32968e755e628b70d1a9c64f012ec. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en Apache Spark (CVE-2025-54920)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/03/2026
    Este problema afecta a Apache Spark: antes de 3.5.7 y 4.0.1. Se recomienda a los usuarios actualizar a la versión 3.5.7 o 4.0.1 y posteriores, que corrige el problema. Resumen Apache Spark 3.5.4 y versiones anteriores contienen una vulnerabilidad de ejecución de código en la interfaz de usuario web de Spark History debido a una deserialización de Jackson excesivamente permisiva de los datos del registro de eventos. Esto permite a un atacante con acceso al directorio de registros de eventos de Spark inyectar cargas útiles JSON maliciosas que desencadenan la deserialización de clases arbitrarias, lo que permite la ejecución de comandos en el host que ejecuta el Spark History Server. Detalles La vulnerabilidad surge porque el Spark History Server utiliza la deserialización polimórfica de Jackson con @JsonTypeInfo.Id.CLASS en objetos SparkListenerEvent, lo que permite a un atacante especificar nombres de clase arbitrarios en el JSON del evento. Este comportamiento permite instanciar clases no deseadas, como org.apache.hive.jdbc.HiveConnection, que pueden realizar llamadas de red u otras acciones maliciosas durante la deserialización. El atacante puede explotar esto inyectando contenido JSON manipulado en los archivos de registro de eventos de Spark, que el History Server luego deserializa al iniciar o al cargar los registros de eventos. Por ejemplo, el atacante puede forzar al History Server a abrir una conexión JDBC a un servidor remoto controlado por el atacante, demostrando la capacidad de inyección de comandos remota. Prueba de concepto: 1. Ejecute Spark con el registro de eventos habilitado, escribiendo en un directorio con permisos de escritura (spark-logs). 2. Inyecte el siguiente JSON al principio de un archivo de registro de eventos: { "Event": "org.apache.hive.jdbc.HiveConnection", "uri": "jdbc:hive2://:/", "info": { "hive.metastore.uris": "thrift://:" } } 3. Inicie el Spark History Server con los registros apuntando al directorio modificado. 4. El Spark History Server inicia una conexión JDBC al servidor del atacante, confirmando la inyección. Impacto Un atacante con acceso de escritura a los registros de eventos de Spark puede ejecutar código arbitrario en el servidor que ejecuta el History Server, comprometiendo potencialmente todo el sistema.
  • Vulnerabilidad en OpenClaw (CVE-2026-22180)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 20/03/2026
    Versiones de OpenClaw anteriores a la 2026.3.2 contienen una vulnerabilidad de omisión de confinamiento de ruta en el manejo de la salida del navegador que permite escrituras fuera de los directorios raíz previstos. Los atacantes pueden explotar la validación insuficiente de los límites de ruta canónica en las operaciones de escritura de archivos para evadir las restricciones ligadas a la raíz y escribir archivos en ubicaciones arbitrarias.
  • Vulnerabilidad en OpenClaw (CVE-2026-22181)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 20/03/2026
    Las versiones de OpenClaw anteriores a 2026.3.2 contienen una vulnerabilidad de omisión de fijación de DNS en rutas de obtención de URL estrictas que permite a los atacantes eludir las protecciones de SSRF cuando las variables de entorno de proxy están configuradas. Cuando las variables de entorno HTTP_PROXY, HTTPS_PROXY o ALL_PROXY están presentes, las URL influenciadas por el atacante pueden ser enrutadas a través del comportamiento del proxy en lugar del enrutamiento de destino fijado, lo que permite el acceso a objetivos internos accesibles desde el entorno del proxy.
  • Vulnerabilidad en pyasn1 (CVE-2026-30922)
    Severidad: ALTA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 21/03/2026
    pyasn1 es una biblioteca ASN.1 genérica para Python. Antes de la versión 0.6.3, la biblioteca 'pyasn1' es vulnerable a un ataque de denegación de servicio (DoS) causado por recursión incontrolada al decodificar datos ASN.1 con estructuras profundamente anidadas. Un atacante puede suministrar una carga útil manipulada que contenga miles de etiquetas 'SEQUENCE' ('0x30') o 'SET' ('0x31') anidadas con marcadores de 'Longitud Indefinida' ('0x80'). Esto fuerza al decodificador a llamarse recursivamente hasta que el intérprete de Python falla con un 'RecursionError' o consume toda la memoria disponible (OOM), provocando la caída de la aplicación anfitriona. Esta es una vulnerabilidad distinta de CVE-2026-23490 (que abordó desbordamientos de enteros en la decodificación de OID). La solución para CVE-2026-23490 ('MAX_OID_ARC_CONTINUATION_OCTETS') no mitiga este problema de recursión. La versión 0.6.3 soluciona este problema específico.
  • Vulnerabilidad en elysia de elysiajs (CVE-2026-31865)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 20/03/2026
    Elysia es un framework de Typescript para la validación de solicitudes, inferencia de tipos, documentación OpenAPI y comunicación cliente-servidor. Antes de la versión 1.4.27, una cookie de Elysia podía ser sobrescrita mediante contaminación de prototipos, p. ej. `__proto__`. Este problema está parcheado en la versión 1.4.27. Como solución alternativa, use la validación t.Cookie para forzar el valor de validación y/o evitar la iteración sobre la cookie si es posible.
  • Vulnerabilidad en Cockpit de Cockpit-HQ (CVE-2026-31891)
    Severidad: ALTA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 20/03/2026
    Cockpit es un sistema de gestión de contenido sin interfaz gráfica. Cualquier instancia de Cockpit CMS que ejecute la versión 2.13.4 o anterior con acceso a la API habilitado es potencialmente afectada por una vulnerabilidad de inyección SQL en el Optimizador de Agregación de MongoLite. Cualquier despliegue donde el endpoint `/api/content/aggregate/{model}` sea accesible públicamente o alcanzable por usuarios no confiables puede ser vulnerable, y los atacantes en posesión de una clave API de solo lectura válida (el nivel de privilegio más bajo) pueden explotar esta vulnerabilidad — no se requiere acceso de administrador. Un atacante puede inyectar SQL arbitrario a través de nombres de campo no saneados en consultas de agregación, eludir el filtro de contenido publicado `_state=1` para acceder a contenido no publicado o restringido, y extraer datos no autorizados de la base de datos de contenido SQLite subyacente. Esta vulnerabilidad ha sido parcheada en la versión 2.13.5. La corrección aplica la misma sanitización de nombres de campo introducida en la v2.13.3 para `toJsonPath()` al método `toJsonExtractRaw()` en `lib/MongoLite/Aggregation/Optimizer.php`, cerrando el vector de inyección en el Optimizador de Agregación.
  • Vulnerabilidad en jsPDF de parallax (CVE-2026-31898)
    Severidad: ALTA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 20/03/2026
    jsPDF es una biblioteca para generar PDFs en JavaScript. Anterior a la versión 4.2.1, el control del usuario sobre los argumentos del método 'createAnnotation' permite a los usuarios inyectar objetos PDF arbitrarios, como acciones de JavaScript. Si se le da la posibilidad de pasar entrada no saneada al siguiente método, un usuario puede inyectar objetos PDF arbitrarios, como acciones de JavaScript, que podrían activarse cuando el PDF se abre o se interactúa con el 'createAnnotation': parámetro 'color'. La vulnerabilidad ha sido corregida en jsPDF@4.2.1. Como solución alternativa, sanee la entrada del usuario antes de pasarla a los miembros vulnerables de la API.