Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • CVE-2007-2976
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/06/2007
    Fecha de última actualización: 23/03/2026
    Centrinity FirstClass 8.3 y versiones anteriores y Server e Internet Services 8.0 y versiones anteriores, no manejan adecuadamente una URL con un caracter nulo ("%00") lo que permite a atacantes remotos llevar a cabo un ataque de secuencias de comandos en sitios cruzados (XSS). NOTA: la procedencia de esta información es desconocida; los detalles se obtienen únicamente a partir de la información de terceros.
  • Vulnerabilidad en index.pdp en BLUEPAGE CMS (CVE-2008-6027)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/02/2009
    Fecha de última actualización: 23/03/2026
    Múltiples vulnerabilidades de secuencias de comandos en sitios cruzados (XSS)en index.php en BLUEPAGE CMS v2.5 y anteriores permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de (1) parámetro "whl", (2) parámetro "var_1" y (3) parámetro "search".
  • Vulnerabilidad en gestor de contenidos Bluepage CMS (CVE-2008-6039)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/02/2009
    Fecha de última actualización: 23/03/2026
    Vulnerabilidad de fijación de sesión en BLUEPAGE CMS v2.5 y anteriores, permite a atacantes remotos secuestrar sesiones web a través del parámetro "PHPSESSID".
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2024-33065)
    Severidad: ALTA
    Fecha de publicación: 07/10/2024
    Fecha de última actualización: 23/03/2026
    Corrupción de memoria al tomar una instantánea cuando el controlador de la cámara establece una variable de desplazamiento.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10844)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 23/03/2026
    Se ha encontrado una vulnerabilidad clasificada como crítica en 1000 Projects Bookstore Management System 1.0. Afecta a una parte desconocida del archivo search.php. La manipulación del argumento s provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10845)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2024
    Fecha de última actualización: 23/03/2026
    Se ha encontrado una vulnerabilidad en 1000 Projects Bookstore Management System 1.0 y se ha clasificado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo book_detail.php. La manipulación del argumento id provoca una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10996)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 23/03/2026
    Se ha encontrado una vulnerabilidad en 1000 Projects Bookstore Management System 1.0. Se ha clasificado como crítica. Afecta a una parte desconocida del archivo /admin/process_category_edit.php. La manipulación del argumento cat provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10997)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 23/03/2026
    Se ha encontrado una vulnerabilidad en 1000 Projects Bookstore Management System 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /book_list.php. La manipulación del argumento id provoca una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-10998)
    Severidad: MEDIA
    Fecha de publicación: 08/11/2024
    Fecha de última actualización: 23/03/2026
    Se ha encontrado una vulnerabilidad en 1000 Projects Bookstore Management System 1.0. Se ha calificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo /admin/process_category_add.php. La manipulación del argumento cat provoca una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en mattermost Desktop App (CVE-2026-1046)
    Severidad: ALTA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 23/03/2026
    Las versiones <=6.0 6.2.0 5.2.13.0 de la Aplicación de escritorio Mattermost no validan los enlaces de ayuda, lo que permite que un servidor Mattermost malicioso ejecute ejecutables arbitrarios en el sistema de un usuario al hacer clic el usuario en ciertos elementos del menú de Ayuda. ID de aviso de Mattermost: MMSA-2026-00577
  • Vulnerabilidad en ADB Explorer (CVE-2026-27115)
    Severidad: ALTA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 23/03/2026
    ADB Explorer es una interfaz de usuario fluida para ADB en Windows. Las versiones 0.9.26020 e inferiores tienen un argumento de línea de comandos no validado que permite a cualquier usuario activar la eliminación recursiva de directorios arbitrarios en el sistema de archivos de Windows. ADB Explorer acepta un argumento de ruta opcional para establecer un directorio de datos personalizado, pero solo verifica si la ruta existe. El método ClearDrag() llama a Directory.Delete(dir, true) en cada subdirectorio de esa ruta tanto al inicio como al cierre de la aplicación. Un atacante puede crear un acceso directo malicioso (.lnk) o un script por lotes que inicie ADB Explorer con un directorio crítico (p. ej., C:\Users\%USERNAME%\Documents) como argumento, causando la eliminación recursiva permanente de todos sus subdirectorios. Cualquier usuario que inicie ADB Explorer a través de un acceso directo, archivo por lotes o script manipulado pierde el contenido del directorio objetivo permanentemente (la eliminación omite la Papelera de reciclaje). Este problema ha sido solucionado en la versión 0.9.26021.
  • Vulnerabilidad en Elixir.Hexpm.Store.Local (CVE-2026-23939)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 23/03/2026
    Vulnerabilidad de Limitación Inadecuada de un Nombre de Ruta a un Directorio Restringido ('Salto de Ruta') en hexpm hexpm/hexpm (módulo 'Elixir.Hexpm.Store.Local') permite Salto de Ruta Relativo. Esta vulnerabilidad está asociada con los archivos de programa lib/hexpm/store/local.ex y las rutinas de programa 'Elixir.Hexpm.Store.Local':get/3, 'Elixir.Hexpm.Store.Local':put/4, 'Elixir.Hexpm.Store.Local':delete/2, 'Elixir.Hexpm.Store.Local':delete_many/2. Este problema NO afecta a hex.pm el servicio. Solo las implementaciones autoalojadas que utilizan el backend de Almacenamiento Local se ven afectadas. Este problema afecta a hexpm: desde 931ee0ed46fa89218e0400a4f6e6d15f96406050 antes de 5d2ccd2f14f45a63225a73fb5b1c937baf36fdc0.
  • Vulnerabilidad en Centreon (CVE-2026-2749)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 23/03/2026
    Vulnerabilidad en Centreon Centreon Open Tickets en Servidor Central en Linux (módulos de Centroen Open Ticket). Este problema afecta a Centreon Open Tickets en Servidor Central: desde todas las versiones anteriores a 25.10.3, 24.10.8, 24.04.7.
  • Vulnerabilidad en Centreon Open Tickets on Central Server (CVE-2026-2750)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 23/03/2026
    Vulnerabilidad de validación de entrada incorrecta en Centreon Centreon Open Tickets en el servidor central en Linux (módulos de Centreon Open Tickets). Este problema afecta a Centreon Open Tickets en el servidor central: desde todas las versiones anteriores a 25.10; 24.10; 24.04.
  • Vulnerabilidad en hexpm (CVE-2026-21619)
    Severidad: BAJA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 23/03/2026
    Consumo de Recursos No Controlado, vulnerabilidad de Deserialización de Datos No Confiables en hexpm hex_core (módulos hex_api), hexpm hex (módulos mix_hex_api), erlang rebar3 (módulos r3_hex_api) permite Inyección de Objetos, Asignación Excesiva. Esta vulnerabilidad está asociada con los archivos de programa src/hex_api.erl, src/mix_hex_api.erl, apps/rebar/src/vendored/r3_hex_api.erl y las rutinas de programa hex_core:request/4, mix_hex_api:request/4, r3_hex_api:request/4. Este problema afecta a hex_core: desde 0.1.0 antes de 0.12.1; hex: desde 2.3.0 antes de 2.3.2; rebar3: desde 3.9.1 antes de 3.27.0.
  • Vulnerabilidad en wpDiscuz de gVectors (CVE-2026-22191)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2026
    Fecha de última actualización: 23/03/2026
    wpDiscuz anterior a 7.6.47 contiene una vulnerabilidad de inyección de shortcode que permite a los atacantes ejecutar shortcodes arbitrarios incluyéndolos en el contenido de los comentarios enviados a través de notificaciones por correo electrónico. Los atacantes pueden inyectar shortcodes como [contact-form-7] o [user_meta] en los comentarios, los cuales se ejecutan en el servidor cuando la clase WpdiscuzHelperEmail procesa las notificaciones a través de do_shortcode() antes de wp_mail().
  • Vulnerabilidad en QRadar de IBM (CVE-2025-13995)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 23/03/2026
    IBM QRadar SIEM 7.5.0 hasta 7.5.0 Update Package 14 podría permitir a un atacante con acceso a un inquilino acceder a datos de nombre de host de la cuenta de otro inquilino.
  • Vulnerabilidad en QRadar SIEM de IBM (CVE-2025-15051)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 23/03/2026
    IBM QRadar SIEM 7.5.0 hasta 7.5.0 Update Package 14 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista.
  • Vulnerabilidad en OpenWrt (CVE-2026-30874)
    Severidad: BAJA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 23/03/2026
    El Proyecto OpenWrt es un sistema operativo Linux dirigido a dispositivos embebidos. En versiones anteriores a la 24.10.6, una vulnerabilidad en la función hotplug_call permite a un atacante eludir el filtrado de variables de entorno e inyectar una variable PATH arbitraria, lo que podría conducir a una escalada de privilegios. La función está diseñada para filtrar variables de entorno sensibles como PATH al ejecutar scripts hotplug en /etc/hotplug.d, pero un error al usar strcmp en lugar de strncmp hace que el filtro compare la cadena de entorno completa (p. ej., PATH= /some /value) contra el literal 'PATH', por lo que la coincidencia siempre falla. Como resultado, la variable PATH nunca es excluida, lo que permite a un atacante controlar qué binarios son ejecutados por scripts invocados por procd que se ejecutan con privilegios elevados. Este problema ha sido solucionado en la versión 24.10.6.
  • Vulnerabilidad en Admidio (CVE-2026-32755)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 23/03/2026
    Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.6 e inferiores, la acción save_membership en modules/profile/profile_function.php guarda los cambios en las fechas de inicio y fin de la membresía de rol de un miembro, pero no valida el token CSRF. El gestor comprueba stop_membership y remove_former_membership contra el token CSRF, pero omite save_membership de esa comprobación. Debido a que los UUID de membresía aparecen en el código fuente HTML visible para los usuarios autenticados, un atacante puede incrustar un formulario POST manipulado en cualquier página externa y engañar a un líder de rol para que lo envíe, alterando silenciosamente las fechas de membresía para cualquier miembro de los roles que la víctima lidera. La sesión de un líder de rol puede ser explotada silenciosamente a través de CSRF para manipular las fechas de membresía de cualquier miembro, terminando el acceso al retroceder la fecha, extendiendo encubiertamente el acceso no autorizado o revocando características restringidas por rol, todo sin confirmación, notificación o aprobación administrativa. Este problema ha sido solucionado en la versión 5.0.7.
  • Vulnerabilidad en Admidio (CVE-2026-32816)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 23/03/2026
    Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.0 a 5.0.6, los modos de eliminar, activar y desactivar en modules/groups-roles/groups_roles.php realizan cambios de estado destructivos en los roles organizacionales, pero nunca validan un token anti-CSRF. La interfaz de usuario del cliente (UI) pasa un token CSRF a callUrlHideElement(), que lo incluye en el cuerpo de la solicitud POST, pero los manejadores del servidor ignoran $_POST["adm_csrf_token"] por completo para estos tres modos. Un atacante que pueda descubrir un UUID de rol (visible en la vista pública de tarjetas cuando el módulo es accesible públicamente) puede incrustar un formulario POST falsificado en cualquier página externa y engañar a cualquier usuario con el derecho rol_assign_roles para que elimine o alterne roles para la organización. La eliminación de roles es permanente y se propaga a todas las membresías, asociaciones de eventos y datos de derechos. Si se explota, un atacante puede engañar a cualquier usuario con derechos delegados de asignación de roles para que elimine roles de forma permanente, revoque masivamente todas las membresías asociadas y el acceso a eventos, documentos y listas de correo, o active o desactive silenciosamente grupos enteros, con los UUID de rol objetivo fácilmente obtenidos de la vista pública de tarjetas no autenticada y sin una ruta de deshacer que no sea una restauración de la base de datos. Este problema ha sido solucionado en la versión 5.0.7.
  • Vulnerabilidad en Admidio (CVE-2026-32818)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 23/03/2026
    Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.0 a 5.0.6, el módulo del foro en Admidio no verifica si el usuario actual tiene permiso para eliminar temas o publicaciones del foro. Tanto las acciones topic_delete como post_delete en forum.php solo validan el token CSRF pero no realizan ninguna comprobación de autorización antes de llamar a delete(). Cualquier usuario autenticado con acceso al foro puede eliminar cualquier tema (con todas sus publicaciones) o cualquier publicación individual proporcionando su UUID. Esto es inconsistente con las operaciones de guardar/editar, que comprueban correctamente isAdministratorForum() y la propiedad antes de permitir modificaciones. Cualquier usuario que haya iniciado sesión puede eliminar de forma permanente e irreversible cualquier tema del foro (incluidas todas sus publicaciones) o cualquier publicación individual simplemente conociendo su UUID (que es visible públicamente en las URL), eludiendo por completo las comprobaciones de autorización. Este problema ha sido solucionado en la versión 5.0.7.
  • Vulnerabilidad en SuiteCRM (CVE-2026-29108)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    SuiteCRM es una aplicación de software de Gestión de Relaciones con Clientes (CRM) de código abierto y lista para empresas. Antes de las versiones 8.9.3, un endpoint de API autenticado permite a cualquier usuario recuperar información detallada sobre cualquier otro usuario, incluyendo su hash de contraseña, nombre de usuario y configuración de MFA. Dado que cualquier usuario autenticado puede consultar este endpoint, es posible recuperar y potencialmente descifrar las contraseñas de los usuarios administrativos. La versión 8.9.3 corrige el problema.
  • Vulnerabilidad en SuiteCRM (CVE-2026-29109)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    SuiteCRM es una aplicación de software de gestión de relaciones con clientes (CRM) de código abierto y lista para empresas. Las versiones hasta la 8.9.2 inclusive contienen una vulnerabilidad de deserialización insegura en el componente de procesamiento de filtros SavedSearch que permite a un administrador autenticado ejecutar comandos de sistema arbitrarios en el servidor. 'FilterDefinitionProvider.php' llama a 'unserialize()' en datos controlados por el usuario de la columna de la base de datos 'saved_search.contents' sin restringir las clases instanciables. La versión 8.9.3 corrige el problema.
  • Vulnerabilidad en SuiteCRM (CVE-2026-29189)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    SuiteCRM es una aplicación de software de gestión de relaciones con clientes (CRM) de código abierto y lista para empresas. Antes de las versiones 7.15.1 y 8.9.3, la API REST V8 de SuiteCRM carece de comprobaciones de ACL (Lista de Control de Acceso) en varios puntos finales, lo que permite a los usuarios autenticados acceder y manipular datos con los que no deberían tener permiso para interactuar. Las versiones 7.15.1 y 8.9.3 parchean el problema.
  • Vulnerabilidad en Admidio (CVE-2026-32756)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Admidio es una solución de gestión de usuarios de código abierto. Las versiones 5.0.6 e inferiores contienen una crítica vulnerabilidad de carga de archivos sin restricciones en el módulo Documentos y Archivos. Debido a un fallo de diseño en cómo la validación del token CSRF y la verificación de la extensión de archivo interactúan dentro de UploadHandlerFile.php, un usuario autenticado con permisos de carga puede eludir las restricciones de extensión de archivo al enviar intencionadamente un token CSRF no válido. Esto permite la carga de tipos de archivo arbitrarios, incluyendo scripts PHP, lo que puede conducir a la ejecución remota de código en el servidor, resultando en un compromiso total del servidor, exfiltración de datos y movimiento lateral. Este problema ha sido solucionado en la versión 5.0.7.
  • Vulnerabilidad en Admidio (CVE-2026-32757)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Admidio es una solución de gestión de usuarios de código abierto. En las versiones 5.0.6 e inferiores, el gestor de envío de eCard utiliza un valor $_POST['ecard_message'] sin procesar en lugar del $formValues['ecard_message'] saneado por HTMLPurifier al construir el HTML de la tarjeta de felicitación. Esto permite a un atacante autenticado inyectar HTML y JavaScript arbitrarios en correos electrónicos de tarjetas de felicitación enviados a otros miembros, eludiendo el saneamiento de HTMLPurifier del lado del servidor que se aplica correctamente al campo ecard_message durante la validación del formulario. Un ataque puede resultar en que cualquier miembro o rol reciba contenido de phishing que parezca legítimo, pasando de la aplicación web a los clientes de correo electrónico de los destinatarios. Este problema ha sido solucionado en la versión 5.0.7.
  • Vulnerabilidad en File Browser (CVE-2026-32761)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Navegador de Archivos es una interfaz de gestión de archivos para cargar, eliminar, previsualizar, renombrar y editar archivos dentro de un directorio especificado. Las versiones 2.61.0 e inferiores contienen un bypass de aplicación de permisos que permite a los usuarios a quienes se les deniegan los privilegios de descarga (perm.download = false) pero se les conceden privilegios de compartir (perm.share = true) exfiltrar contenido de archivos mediante la creación de enlaces de compartición públicos. Mientras que el endpoint de descarga directa en bruto (/api/raw/) aplica correctamente el permiso de descarga, el endpoint de creación de compartición solo verifica Perm.Share, y el gestor de descarga pública (/api/public/dl/) sirve contenido de archivos sin verificar que el propietario original del archivo tenga permiso de descarga. Esto significa que cualquier usuario autenticado con acceso de compartición puede eludir las restricciones de descarga compartiendo un archivo y luego recuperándolo a través de la URL de descarga pública no autenticada. La vulnerabilidad socava las políticas de prevención de pérdida de datos y de separación de roles, ya que los usuarios restringidos pueden distribuir públicamente archivos que tienen explícitamente bloqueada la descarga directa. Este problema ha sido solucionado en la versión 2.62.0.
  • Vulnerabilidad en SiYuan (CVE-2026-32767)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    SiYuan es un sistema de gestión de conocimiento personal. Las versiones 3.6.0 e inferiores contienen una vulnerabilidad de omisión de autorización en el endpoint /api/search/fullTextSearchBlock. Cuando el parámetro method se establece en 2, el endpoint pasa la entrada proporcionada por el usuario directamente como una sentencia SQL sin procesar a la base de datos SQLite subyacente sin ninguna autorización ni comprobación de solo lectura. Esto permite a cualquier usuario autenticado — incluidos aquellos con el rol de Lector — ejecutar sentencias SQL arbitrarias (SELECT, DELETE, UPDATE, DROP TABLE, etc.) contra la base de datos de la aplicación. Esto es inconsistente con el propio modelo de seguridad de la aplicación: el endpoint SQL dedicado (/api/query/sql) requiere correctamente el middleware CheckAdminRole y CheckReadonly, pero el endpoint de búsqueda omite estos controles por completo. Este problema ha sido solucionado en la versión 3.6.1.
  • Vulnerabilidad en phpseclib's AES-CBC unpadding susceptible to padding oracle timing attack (CVE-2026-32935)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    phpseclib es una biblioteca PHP de comunicaciones seguras. Los proyectos que utilizan las versiones 1.0.26 e inferiores, 2.0.0 hasta 2.0.51, y 3.0.0 hasta 3.0.49 son vulnerables a un ataque de temporización de oráculo de relleno al usar AES en modo CBC. Este problema ha sido solucionado en las versiones 1.0.27, 2.0.52 y 3.0.50.
  • Vulnerabilidad en SiYuan (CVE-2026-32938)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    SiYuan es un sistema de gestión de conocimiento personal. En las versiones 3.6.0 e inferiores, la API /api/lute/html2BlockDOM en el escritorio copia archivos locales a los que apuntan los enlaces file:// en HTML pegado al directorio de activos del espacio de trabajo sin validar las rutas contra una lista de rutas sensibles. Junto con GET /assets/*path, que solo requiere autenticación, un visitante del servicio de publicación puede hacer que el kernel del escritorio copie cualquier archivo sensible legible y luego lo lea a través de GET, lo que lleva a la exfiltración de archivos sensibles. Este problema ha sido solucionado en la versión 3.6.1.
  • Vulnerabilidad en DataEase (CVE-2026-32939)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    DataEase es una herramienta de análisis de visualización de datos de código abierto. Las versiones 2.10.19 e inferiores tienen un manejo inconsistente de la configuración regional entre la lógica de validación de URL JDBC y el análisis interno del motor JDBC H2. DataEase utiliza String.toUpperCase() sin especificar una configuración regional explícita, lo que hace que sus comprobaciones de seguridad dependan de la configuración regional predeterminada en tiempo de ejecución de la JVM, mientras que H2 JDBC siempre normaliza las URL utilizando Locale.ENGLISH. En entornos de configuración regional turca (tr_TR), Java convierte la letra minúscula i en ? (I mayúscula con punto) en lugar de la I estándar, por lo que un parámetro malicioso como iNIT se convierte en ?NIT en el filtro de DataEase (eludiendo su lista negra) mientras que H2 aún lo interpreta correctamente como INIT. Esta discrepancia permite a los atacantes introducir parámetros JDBC peligrosos más allá de la validación de seguridad de DataEase, y el problema ha sido confirmado como explotable en escenarios de despliegue reales de DataEase ejecutándose bajo configuraciones regionales afectadas. El problema ha sido solucionado en la versión 2.10.20.
  • Vulnerabilidad en SiYuan (CVE-2026-32940)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    SiYuan es un sistema de gestión de conocimiento personal. En las versiones 3.6.0 e inferiores, SanitizeSVG tiene una lista de bloqueo incompleta — bloquea data:text/html y data:image/svg+xml en atributos href pero omite data:text/xml y data:application/xml, ambos de los cuales pueden renderizar SVG con ejecución de JavaScript. El endpoint no autenticado /API/icon/getDynamicIcon sirve entrada controlada por el usuario (a través del parámetro content) directamente en el marcado SVG usando fmt.Sprintf sin escape, servido como Content-Type: image/svg+xml. Esto crea un XSS de clic: una víctima navega a una URL manipulada, ve un SVG con un enlace inyectado, y al hacer clic en él se activa JavaScript a través de los tipos MIME omitidos. El ataque requiere navegación directa al endpoint o incrustación de /, ya que la renderización de la etiqueta en el frontend no permite enlaces interactivos. Este problema ha sido solucionado en la versión 3.6.1.
  • Vulnerabilidad en SQLBot (CVE-2026-32949)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    SQLBot es un sistema inteligente de consulta de datos basado en un modelo de lenguaje grande y RAG. Las versiones anteriores a la 1.7.0 contienen una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) que permite a un atacante recuperar archivos arbitrarios del sistema y de la aplicación del servidor. Un atacante puede explotar el endpoint /api/v1/datasource/check configurando una fuente de datos MySQL falsificada con un parámetro malicioso extraJdbc='local_infile=1'. Cuando el backend de SQLBot intenta verificar la conectividad de esta fuente de datos, un servidor MySQL Rogue controlado por el atacante emite un comando LOAD DATA LOCAL INFILE malicioso durante el handshake de MySQL. Esto obliga al servidor objetivo a leer archivos arbitrarios de su sistema de archivos local (como /etc /passwd o archivos de configuración) y a transmitir el contenido de vuelta al atacante. Este problema fue solucionado en la versión 1.7.0.
  • Vulnerabilidad en SQLBot (CVE-2026-32950)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    SQLBot es un sistema inteligente de consulta de datos basado en un modelo de lenguaje grande y RAG. Las versiones anteriores a la 1.7.0 contienen una vulnerabilidad crítica de inyección SQL en el endpoint /api/v1/datasource/uploadExcel que permite la ejecución remota de código (RCE), lo que permite a cualquier usuario autenticado (incluso el de menor privilegio) comprometer completamente el servidor backend. La causa raíz es doble: los nombres de las hojas de Excel se concatenan directamente en los nombres de las tablas de PostgreSQL sin sanitización (datasource.py#L351), y esos nombres de tablas se incrustan en las sentencias SQL de COPY a través de f-strings en lugar de consultas parametrizadas (datasource.py#L385-L388). Un atacante puede eludir el límite de 31 caracteres para el nombre de la hoja utilizando una técnica de dos etapas: primero, subiendo un archivo normal cuyas filas de datos contengan comandos de shell, y luego, subiendo un archivo manipulado con XML cuyo nombre de hoja inyecte una cláusula TO PROGRAM 'sh' en el SQL. Los impactos confirmados incluyen la ejecución arbitraria de comandos como el usuario postgres (uid=999), la exfiltración de archivos sensibles (p. ej., /etc /passwd, /etc /shadow) y la toma de control completa de la base de datos de PostgreSQL. Este problema ha sido solucionado en la versión 1.7.0.
  • Vulnerabilidad en ERP (CVE-2026-32954)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    ERP es una herramienta de Planificación de Recursos Empresariales de código abierto y gratuita. En versiones anteriores a la 16.8.0 y la 15.100.0, ciertos puntos finales eran vulnerables a inyección SQL ciega basada en tiempo y basada en booleanos debido a una validación de parámetros insuficiente, permitiendo a los atacantes inferir información de la base de datos. Este problema ha sido solucionado en las versiones 15.100.0 y 16.8.0.
  • Vulnerabilidad en Nest (CVE-2026-33011)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Nest es un framework para construir aplicaciones escalables de servidor Node.js. En las versiones 11.1.15 e inferiores, una aplicación NestJS que utiliza el middleware GET de @nestjs/platform-fastify puede ser eludida porque Fastify redirige automáticamente las solicitudes HEAD a los gestores GET correspondientes (si existen). Como resultado: el middleware será completamente omitido, la respuesta HTTP no incluirá un cuerpo (ya que la respuesta se trunca al redirigir una solicitud HEAD a un gestor GET), y el gestor real seguirá ejecutándose. Este problema está solucionado en la versión 11.1.16.
  • Vulnerabilidad en Online Frozen Foods Ordering System (CVE-2026-4469)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Una vulnerabilidad fue identificada en itsourcecode Online Frozen Foods Ordering System 1.0. Afectada por esta vulnerabilidad es una funcionalidad desconocida del archivo /admin/admin_edit_menu_action.php. Tal manipulación del argumento product_name lleva a inyección SQL. El ataque puede ser realizado desde remoto. El exploit está disponible públicamente y podría ser usado.
  • Vulnerabilidad en Online Frozen Foods Ordering System (CVE-2026-4470)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Una falla de seguridad ha sido descubierta en itsourcecode Online Frozen Foods Ordering System 1.0. Afectada por este problema es alguna funcionalidad desconocida del archivo /admin/admin_edit_menu.PHP. Realizar una manipulación del argumento product_name resulta en inyección SQL. Es posible iniciar el ataque remotamente. El exploit ha sido liberado al público y puede ser utilizado para ataques.
  • Vulnerabilidad en Online Frozen Foods Ordering System (CVE-2026-4471)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Se ha identificado una debilidad en itsourcecode Online Frozen Foods Ordering System 1.0. Esto afecta una parte desconocida del archivo /admin/admin_edit_employee.PHP. La ejecución de una manipulación del argumento First_Name puede conducir a inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha puesto a disposición del público y podría utilizarse para ataques.
  • Vulnerabilidad en Online Frozen Foods Ordering System (CVE-2026-4472)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Una vulnerabilidad de seguridad ha sido detectada en itsourcecode Online Frozen Foods Ordering System 1.0. Esta vulnerabilidad afecta código desconocido del archivo /admin/admin_edit_supplier.PHP. La manipulación del argumento Supplier_Name lleva a inyección SQL. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado.
  • Vulnerabilidad en fast-xml-parser (CVE-2026-33036)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    fast-xml-parser permite a los usuarios procesar XML desde objetos JS sin bibliotecas basadas en C/C++ ni callbacks. Las versiones 4.0.0-beta.3 hasta la 5.5.5 contienen una vulnerabilidad de bypass donde las referencias de caracteres numéricos (&#NNN;, &#xHH;) y las entidades XML estándar evaden completamente los límites de expansión de entidades (p. ej., maxTotalExpansions, maxExpandedLength) añadidos para corregir CVE-2026-26278, lo que permite la denegación de servicio por expansión de entidades XML. La causa raíz es que replaceEntitiesValue() en OrderedObjParser.js solo aplica el conteo de expansión en entidades definidas en DOCTYPE, mientras que el bucle lastEntities que maneja las entidades numéricas/estándar no realiza ningún conteo. Un atacante que suministre 1M de referencias de entidades numéricas como A puede forzar una asignación de memoria de ~147MB y un uso intensivo de CPU, lo que podría bloquear el proceso, incluso cuando los desarrolladores han configurado límites estrictos. Este problema ha sido corregido en la versión 5.5.6.
  • Vulnerabilidad en WWBN AVideo (CVE-2026-33037)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, los archivos oficiales de despliegue de Docker (docker-compose.yml, env.example) se distribuyen con la contraseña de administrador establecida como 'password', que se utiliza automáticamente para inicializar la cuenta de administrador durante la instalación, lo que significa que cualquier instancia desplegada sin sobrescribir SYSTEM_ADMIN_PASSWORD es inmediatamente vulnerable a una toma de control administrativa trivial. No existen controles compensatorios: no hay cambio de contraseña forzado en el primer inicio de sesión, no hay validación de complejidad, no hay detección de contraseña por defecto, y la contraseña se hashea con un MD5 débil. El acceso completo de administrador permite la exposición de datos de usuario, la manipulación de contenido y la potencial ejecución remota de código a través de la carga de archivos y la gestión de plugins. El mismo patrón de valores predeterminados inseguros se extiende a las credenciales de la base de datos (avideo/avideo), lo que agrava el riesgo. La explotación depende de que los operadores no cambien el valor predeterminado, una condición que probablemente se cumpla en despliegues de inicio rápido, demostraciones y automatizados. Este problema ha sido solucionado en la versión 26.0.
  • Vulnerabilidad en WWBN AVideo (CVE-2026-33038)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    WWBN AVideo es una plataforma de video de código abierto. Las versiones 25.0 e inferiores son vulnerables a una toma de control de aplicación no autenticada a través del endpoint install/checkConfiguration.php. install/checkConfiguration.php realiza la inicialización completa de la aplicación: configuración de la base de datos, creación de cuenta de administrador y escritura de archivo de configuración, todo desde una entrada POST no autenticada. La única protección es verificar si videos/configuration.php ya existe. En despliegues no inicializados, cualquier atacante remoto puede completar la instalación con credenciales controladas por el atacante y una base de datos controlada por el atacante, obteniendo acceso administrativo completo. Este problema ha sido solucionado en la versión 26.0.
  • Vulnerabilidad en WWBN AVideo (CVE-2026-33039)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    WWBN AVideo es una plataforma de vídeo de código abierto. En las versiones 25.0 e inferiores, el endpoint plugin/LiveLinks/proxy.php valida las URL proporcionadas por el usuario contra redes internas/privadas utilizando isSSRFSafeURL(), pero solo verifica la URL inicial. Cuando la URL inicial responde con una redirección HTTP (encabezado Location), el objetivo de la redirección se obtiene a través de fakeBrowser() sin revalidación, permitiendo a un atacante alcanzar servicios internos (metadatos de la nube, direcciones RFC1918) a través de una redirección controlada por el atacante. Este problema se corrige en la versión 26.0.
  • Vulnerabilidad en libp2p-rust (CVE-2026-33040)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    libp2p-rust es la implementación oficial en lenguaje Rust de la pila de red libp2p. En versiones anteriores a la 0.49.3, la implementación de Gossipsub acepta valores de retroceso PRUNE controlados por el atacante y puede realizar aritmética de tiempo sin verificar al almacenar el estado de retroceso. Un mensaje de control PRUNE especialmente diseñado con un retroceso extremadamente grande (p. ej., u64::MAX) puede provocar un desbordamiento de Duration/Instant durante la lógica de actualización del retroceso, desencadenando un pánico en la máquina de estados de la red. Esto es accesible remotamente a través de una conexión libp2p normal y no requiere autenticación. Cualquier aplicación que exponga un oyente Gossipsub de libp2p y que utilice la ruta de manejo de retroceso afectada puede ser bloqueada por un atacante de red que pueda alcanzar el puerto del servicio. El ataque puede repetirse reconectándose y reproduciendo el mensaje de control diseñado. Este problema ha sido solucionado en la versión 0.49.3.
  • Vulnerabilidad en WWBN AVideo (CVE-2026-33041)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, /objects/encryptPass.json.php expone el algoritmo de hash de contraseñas de la aplicación a cualquier usuario no autenticado. Un atacante puede enviar contraseñas arbitrarias y recibir sus equivalentes hasheados, lo que permite el cracking de contraseñas offline contra hashes de bases de datos filtrados. Si un atacante obtiene hashes de contraseñas de la base de datos (mediante inyección SQL, exposición de copias de seguridad, etc.), puede descifrarlos instantáneamente comparándolos con hashes precalculados de este endpoint. Este endpoint elimina la necesidad de que un atacante realice ingeniería inversa del algoritmo de hash. Combinado con la débil cadena de hash (md5+whirlpool+sha1, sin salt por defecto), un atacante con acceso a los hashes de la base de datos puede descifrar contraseñas extremadamente rápido. Este problema se solucionó en la versión 26.0.
  • Vulnerabilidad en WWBN AVideo (CVE-2026-33043)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, /objects/phpsessionid.json.php expone el ID de sesión PHP actual a cualquier solicitud no autenticada. La función allowOrigin() refleja cualquier encabezado Origin de vuelta en Access-Control-Allow-Origin con Access-Control-Allow-Credentials: true, lo que permite el robo de sesión de origen cruzado y la toma de control total de la cuenta. Este problema ha sido solucionado en la versión 26.0.
  • Vulnerabilidad en tar-rs (CVE-2026-33055)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    tar-rs es una biblioteca de lectura/escritura de archivos tar para Rust. Las versiones 0.4.44 e inferiores tienen lógica condicional que omite el encabezado de tamaño PAX en los casos en que el tamaño del encabezado base no es cero. Como parte de CVE-2025-62518, el proyecto astral-tokio-tar fue modificado para respetar correctamente los encabezados de tamaño PAX en el caso en que fuera diferente del encabezado base. Esto es casi lo inverso del problema de astral-tokio-tar. Cualquier discrepancia en cómo los analizadores tar respetan el tamaño del archivo puede ser utilizada para crear archivos que aparecen de manera diferente cuando son desempaquetados por diferentes archivadores. En este caso, el 'crate' tar-rs (tar de Rust) es una excepción al verificar el tamaño del encabezado; otros analizadores tar (incluyendo, por ejemplo, Go archive/tar) usan incondicionalmente la anulación de tamaño PAX. Esto puede afectar cualquier cosa que use el 'crate' tar para analizar archivos y espere tener una vista consistente con otros analizadores. Este problema ha sido corregido en la versión 0.4.45.
  • Vulnerabilidad en University Management System (CVE-2026-4474)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Se ha encontrado un fallo en itsourcecode University Management System 1.0. Afecta a una función desconocida del archivo /admin_single_student_update.PHP. Esta manipulación del argumento st_name causa cross site scripting. El ataque puede iniciarse remotamente. El exploit ha sido publicado y puede usarse.
  • Vulnerabilidad en Free5GC (CVE-2026-33064)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). Las versiones anteriores a la 1.4.2 son vulnerables a un pánico de procedimiento causado por una desreferenciación de puntero nulo (Nil Pointer Dereference) en el endpoint /sdm-subscriptions. Un atacante remoto puede causar que el servicio UDM entre en pánico y falle enviando una solicitud POST manipulada al endpoint /sdm-subscriptions con una ruta URL malformada que contenga secuencias de salto de ruta (../) y una carga útil JSON grande. La función DataChangeNotificationProcedure en notifier.go intenta acceder a un puntero nulo sin la validación adecuada, lo que provoca un fallo completo del servicio con el error 'runtime error: invalid memory address or nil pointer dereference'. La explotación resultaría en la interrupción de la funcionalidad del UDM hasta su recuperación mediante un reinicio. Este problema ha sido solucionado en la versión 1.4.2.
  • Vulnerabilidad en Free5GC (CVE-2026-33065)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). En versiones anteriores a la 1.4.2, el UDM convierte incorrectamente una solicitud 400 Bad Request descendente (del UDR) en un error 500 Internal Server Error al manejar solicitudes DELETE con un parámetro de ruta 'supi' vacío. Esto expone el comportamiento interno de manejo de errores y dificulta a los clientes distinguir entre errores del lado del cliente y fallos del lado del servidor. Cuando un cliente envía una solicitud DELETE con un 'supi' vacío (por ejemplo, barras dobles // en la ruta URL), el UDM reenvía la solicitud malformada al UDR, el cual devuelve correctamente un 400. Sin embargo, el UDM propaga esto como 500 SYSTEM_FAILURE en lugar de devolver el error 400 apropiado al cliente. Esto viola las mejores prácticas de la API REST para operaciones DELETE. El problema ha sido parcheado en la versión 1.4.2.
  • Vulnerabilidad en Free5GC (CVE-2026-33191)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). Las versiones anteriores a la 1.4.2 son vulnerables a la inyección de bytes nulos en los parámetros de ruta de URL. Un atacante remoto puede inyectar bytes nulos (codificados en URL como %00) en el parámetro de ruta supi de la API Nudm_SubscriberDataManagement del UDM. Esto causa un fallo en el análisis de URL en el paquete net/url de Go con el error 'invalid control character in URL', lo que resulta en un error 500 Internal Server Error. Esta vulnerabilidad de inyección de bytes nulos puede ser explotada para ataques de denegación de servicio. Cuando el parámetro supi contiene caracteres nulos, el UDM intenta construir una URL para UDR que incluye estos caracteres de control. El analizador de URL de Go los rechaza, lo que provoca que la solicitud falle con 500 en lugar de validar correctamente la entrada y devolver 400 Bad Request. Este problema ha sido solucionado en la versión 1.4.2.
  • Vulnerabilidad en Qwik (CVE-2026-32701)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Qwik es un framework de JavaScript centrado en el rendimiento. Las versiones anteriores a la 1.19.2 inferían incorrectamente arrays a partir de nombres de campos de formulario con puntos durante el análisis de FormData. Al enviar claves de índice de array y de propiedad de objeto mezcladas para la misma ruta, un atacante podría hacer que las propiedades controladas por el usuario se escribieran sobre valores que el código de la aplicación esperaba que fueran arrays. Al procesar solicitudes application/x-www-form-urlencoded o multipart/form-data, Qwik City convertía los nombres de campo con puntos (p. ej., items.0, items.1) en estructuras anidadas. Si una ruta se interpretaba como un array, claves adicionales proporcionadas por el atacante en esa ruta —como items.toString, items.push, items.valueOf o items.length— podrían alterar el valor resultante del lado del servidor de formas inesperadas, lo que podría llevar a fallos en el manejo de solicitudes, denegación de servicio a través de un estado de array malformado o longitudes excesivas, y confusión de tipos en el código subsiguiente. Este problema se solucionó en la versión 1.19.2.
  • Vulnerabilidad en SiYuan (CVE-2026-33066)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    SiYuan es un sistema de gestión de conocimiento personal. En las versiones 3.6.0 e inferiores, la función renderREADME del backend utiliza lute.New() sin llamar a SetSanitize(true), lo que permite que el HTML sin procesar incrustado en Markdown pase sin modificar. El frontend luego asigna el HTML renderizado a innerHTML sin ninguna sanitización adicional. Un autor de paquete malicioso puede incrustar JavaScript arbitrario en su README que se ejecuta cuando un usuario hace clic para ver los detalles del paquete. Debido a que la configuración de Electron de SiYuan habilita nodeIntegration: true con contextIsolation: false, este XSS escala directamente a la ejecución remota de código completa. El problema fue parcheado en la versión 3.6.1.
  • Vulnerabilidad en SiYuan (CVE-2026-33067)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    SiYuan es un sistema de gestión de conocimiento personal. Las versiones 3.6.0 e inferiores renderizan los campos de metadatos del paquete (displayName, description) utilizando literales de plantilla sin escape HTML. Un autor de paquete malicioso puede inyectar HTML/JavaScript arbitrario en estos campos, lo que se ejecuta automáticamente cuando cualquier usuario navega por la página de Bazaar. Debido a que la configuración de Electron de SiYuan habilita nodeIntegration: true con contextIsolation: false, este XSS escala directamente a la ejecución remota de código completa en el sistema operativo de la víctima — con cero interacción del usuario más allá de abrir la pestaña del marketplace. Este problema ha sido solucionado en la versión 3.6.1.
  • Vulnerabilidad en PJSIP (CVE-2026-33069)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    PJSIP es una biblioteca de comunicación multimedia de código abierto y gratuita escrita en C. Las versiones 2.16 e inferiores tienen una lectura de montículo fuera de límites en cascada en pjsip_multipart_parse(). Después de la coincidencia de la cadena de límite, curptr se avanza más allá del delimitador sin verificar que no ha alcanzado el final del búfer. Esto permite que se lean 1-2 bytes de memoria de montículo adyacente. Todas las aplicaciones que procesan mensajes SIP entrantes con cuerpos multipart o contenido SDP están potencialmente afectadas. Este problema se resuelve en la versión 2.17.
  • Vulnerabilidad en FileRise (CVE-2026-33070)
    Severidad: BAJA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    FileRise es un gestor de archivos web / servidor WebDAV autoalojado. En versiones anteriores a la 3.8.0, una vulnerabilidad de autenticación faltante en el endpoint deleteShareLink permite a cualquier usuario no autenticado eliminar enlaces de archivos compartidos arbitrarios proporcionando solo el token de compartición, causando denegación de servicio al acceso a archivos compartidos. El endpoint POST /api/file/deleteShareLink.php llama a FileController::deleteShareLink() que no realiza ninguna autenticación, autorización o validación CSRF antes de eliminar un enlace de compartición. Cualquier cliente HTTP anónimo puede destruir enlaces de compartición. Este problema está solucionado en la versión 3.8.0.
  • Vulnerabilidad en FileRise (CVE-2026-33071)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    FileRise es un gestor de archivos web autoalojado / servidor WebDAV. En versiones anteriores a la 3.8.0, el endpoint de carga WebDAV acepta cualquier extensión de archivo incluyendo .phtml, .php5, .htaccess, y otros tipos ejecutables del lado del servidor, eludiendo la validación de nombre de archivo impuesta por la ruta de carga regular. En despliegues no predeterminados que carecen de la protección LocationMatch de Apache, esto lleva a la ejecución remota de código. Cuando los archivos se cargan a través de WebDAV, el método createFile() en FileRiseDirectory.php y el método put() en FileRiseFile.php aceptan el nombre de archivo directamente del cliente WebDAV sin ninguna validación. En contraste, el endpoint de carga regular en UploadModel::upload() valida los nombres de archivo contra REGEX_FILE_NAME. Este problema está solucionado en la versión 3.8.0.
  • Vulnerabilidad en FileRise (CVE-2026-33072)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    FileRise es un gestor de archivos web autoalojado / servidor WebDAV. En versiones anteriores a la 3.9.0, se utiliza una clave de cifrado predeterminada codificada de forma rígida (default_please_change_this_key) para todas las operaciones criptográficas — generación de tokens HMAC, cifrado de configuración AES y tokens de sesión — permitiendo a cualquier atacante no autenticado forjar tokens de carga para la subida arbitraria de archivos a carpetas compartidas, y descifrar secretos de configuración de administrador, incluidos secretos de cliente OIDC y contraseñas SMTP. FileRise usa una única clave (PERSISTENT_TOKENS_KEY) para todas las operaciones criptográficas. El valor predeterminado default_please_change_this_key está codificado de forma rígida en dos lugares y se utiliza a menos que el implementador anule explícitamente la variable de entorno. Este problema está solucionado en la versión 3.9.0.
  • Vulnerabilidad en FastGPT (CVE-2026-33075)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    FastGPT es una plataforma de creación de agentes de IA. En las versiones 4.14.8.3 e inferiores, el flujo de trabajo fastgpt-preview-image.yml es vulnerable a la ejecución de código arbitrario y a la exfiltración de secretos por cualquier colaborador externo. Utiliza pull_request_target (que se ejecuta con acceso a los secretos del repositorio) pero extrae código del fork del autor de la solicitud de extracción, luego construye y envía imágenes Docker utilizando Dockerfiles controlados por el atacante. Esto también permite un ataque a la cadena de suministro a través del registro de contenedores de producción. Un parche no estaba disponible en el momento de la publicación.
  • Vulnerabilidad en Filament (CVE-2026-33080)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Filament es una colección de componentes full-stack para el desarrollo acelerado de Laravel. Las versiones 4.0.0 a 4.8.4 y 5.0.0 a 5.3.4 tienen dos resumidores de tabla de Filament (Rango, Valores) que renderizan valores brutos de la base de datos sin escapar HTML. Si hay una falta de validación para los datos en las columnas que usan estos resumidores, un atacante podría insertar HTML / JavaScript malicioso y lograr XSS almacenado que se ejecuta para los usuarios que ven la tabla con esos resumidores. Este problema ha sido parcheado en las versiones 4.8.5 y 5.3.5.
  • Vulnerabilidad en Free5GC (CVE-2026-33192)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Free5GC es un proyecto de código abierto de la Linux Foundation para redes centrales móviles de quinta generación (5G). En versiones anteriores a la 1.4.2, el UDM convierte incorrectamente un 400 Bad Request descendente (del UDR) en un 500 Internal Server Error al manejar solicitudes PATCH con un parámetro de ruta supi vacío. Además, el UDM traduce incorrectamente el método PATCH a PUT al reenviar al UDR, lo que indica un problema arquitectónico más profundo. Esto filtra el comportamiento interno de manejo de errores, dificultando a los clientes distinguir entre errores del lado del cliente y fallos del lado del servidor. El problema ha sido parcheado en la versión 1.4.2.
  • Vulnerabilidad en PinchTab (CVE-2026-33081)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    PinchTab es un servidor HTTP independiente que otorga a los agentes de IA control directo sobre un navegador Chrome. Las versiones 0.8.2 e inferiores tienen una vulnerabilidad SSRF ciega en el endpoint /download. La función validateDownloadURL() solo verifica la URL inicial proporcionada por el usuario, pero el navegador Chromium incrustado puede seguir redirecciones/navegaciones controladas por el atacante a direcciones de red internas después de la validación. La explotación requiere security.allowDownload=true (deshabilitado por defecto), lo que limita el impacto en el mundo real. Una página controlada por el atacante puede usar redirecciones de JavaScript o solicitudes de recursos para hacer que el navegador alcance servicios internos desde el host de PinchTab, lo que resulta en una condición de falsificación de petición del lado del servidor (SSRF) ciega contra servicios solo internos. El problema ha sido parcheado en la versión 0.8.3.
  • Vulnerabilidad en pypdf (CVE-2026-33123)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    pypdf es una biblioteca PDF de Python puro, gratuita y de código abierto. Las versiones anteriores a la 6.9.1 permiten a un atacante crear un PDF malicioso que provoca tiempos de ejecución prolongados y/o un gran uso de memoria. La explotación requiere acceder a un flujo basado en arrays con muchas entradas. Este problema ha sido solucionado en la versión 6.9.1.
  • Vulnerabilidad en Frigate (CVE-2026-33124)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Frigate es un grabador de video en red (NVR) con detección local de objetos en tiempo real para cámaras IP. Las versiones anteriores a la 0.17.0-beta1 permiten a cualquier usuario autenticado cambiar su propia contraseña sin verificar la contraseña actual a través del endpoint /users/{username}/password. Cambiar una contraseña no invalida los tokens JWT existentes y no hay validación de la fortaleza de la contraseña. Si un atacante obtiene un token de sesión válido (por ejemplo, a través de un JWT expuesto accidentalmente, una cookie robada, XSS, un dispositivo comprometido o el rastreo por HTTP), puede cambiar la contraseña de la víctima y obtener control permanente de la cuenta. Dado que los cambios de contraseña no invalidan los tokens JWT existentes, los secuestros de sesión persisten incluso después de un restablecimiento de contraseña. Además, la falta de validación de la fortaleza de la contraseña expone las cuentas a ataques de fuerza bruta. Este problema se ha resuelto en la versión 0.17.0-beta1.
  • Vulnerabilidad en Greenshot (CVE-2026-25792)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    Greenshot es una utilidad de captura de pantalla de código abierto para Windows. Las versiones 1.3.312 e inferiores tienen una vulnerabilidad de ruta de búsqueda de ejecutables no confiable / secuestro de binarios que permite a un atacante local ejecutar código arbitrario cuando la aplicación de Windows afectada inicia explorer.exe sin usar una ruta absoluta. El comportamiento vulnerable se activa cuando el usuario hace doble clic en el icono de la bandeja de la aplicación, lo que abre el directorio que contiene la captura de pantalla más reciente capturada por la aplicación. Al colocar un ejecutable malicioso con el mismo nombre en una ubicación buscada antes que el binario legítimo de Windows, un atacante puede obtener la ejecución de código en el contexto de la aplicación. Este problema no tenía un parche en el momento de la publicación.
  • Vulnerabilidad en zitadel (CVE-2026-33132)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 23/03/2026
    ZITADEL es una plataforma de gestión de identidades de código abierto. Las versiones anteriores a la 3.4.9 y de la 4.0.0 a la 4.12.2 permitían a los usuarios eludir la aplicación de la organización durante la autenticación. Zitadel permite a las aplicaciones aplicar un contexto de organización durante la autenticación utilizando ámbitos (urn:zitadel:iam:org:id:{id} y urn:zitadel:iam:org:domain:primary:{domainname}). Si se aplica, un usuario necesita ser parte de la organización requerida para iniciar sesión. Aunque esto se aplicaba correctamente para las solicitudes de autorización de OAuth2/OIDC en el inicio de sesión V1, faltaban controles correspondientes para las solicitudes de autorización de dispositivos y todos los puntos finales de inicio de sesión V2 y OIDC API V2. Esto permitía a los usuarios eludir la restricción e iniciar sesión con usuarios de otras organizaciones. Tenga en cuenta que esta aplicación permite una verificación adicional durante la autenticación y las aplicaciones que dependen de autorizaciones / asignaciones de roles no se ven afectadas por esta elusión. Este problema ha sido parcheado en las versiones 3.4.9 y 4.12.3.