Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Inyección de shell remota en GitHub Actions de Langflow
  • Múltiples vulnerabilidades en las imágenes de contenedor MQ Operator y Queue Manager de IBM
  • Múltiples vulnerabilidades en Squid

Inyección de shell remota en GitHub Actions de Langflow

Fecha25/03/2026
Importancia5 - Crítica
Recursos Afectados

El paquete 'logspace-ai/langflow' en todas las versiones anteriores a 1.3.5.

Descripción

Huseyingulsin ha reportado 1 vulnerabilidad crítica que, en caso de ser explotada, podría permitir a un atacante no autenticado la inyección remota de shell en varios flujos de trabajo de GitHub Actions del  repositorio Langflow.

Solución

Se recomienda actualizar el paquete a la versión 1.9.0.

Detalle

CVE-2026-33475: vulnerabilidad de inyección remota de shell sin autenticación en varios flujos de trabajo GitHub Actions del repositorio Langflow. La interpolación no sanitiza las variables de contexto de GitHub. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante inyectar y ejecutar comandos de shell arbitrarios a través de un nombre de rama o título de solicitud de extracción malicioso, provocando a su vez, la exfiltración de secretos, la manipulación de la infraestructura o el compromiso de la cadena de suministro durante la ejecución de CI/CD.

Múltiples vulnerabilidades en las imágenes de contenedor MQ Operator y Queue Manager de IBM

Fecha25/03/2026
Importancia5 - Crítica
Recursos Afectados

Operador de IBM MQ:

  • SC2: versiones comprendidas entre v3.2.0 y v3.2.22;
  • CD: versiones v3.3.0, v3.4.0, v3.4.1, v3.5.0, v3.8.0, v3.8.1, v3.9.0, y las versiones comprendidas entre v3.5.1 y v3.5.3, v3.6.0 y v3.6.4 y v3.7.0 y v3.7.2;
  • LTS: versiones comprendidas entre v2.0.0 y 2.0.29.

IBM proporcionó imágenes de contenedores MQ Advanced:

  • SC2: versiones 9.4.0.6-r1, 9.4.0.6-r2, 9.4.0.7-r1, 9.4.0.10-r1, 9.4.0.10-r2, 9.4.0.11-r1, 9.4.0.11-r2, 9.4.0.11-r3, 9.4.0.12-r1, 9.4.0.15-r1 - 9.4.0.15-r4, 9.4.0.16-r1 y 9.4.0.16-r2, 9.4.0.17-r1, 9.4.0.17-r2;
  • CD: 9.4.1.0-r1, 9.4.1.0-r2, 9.4.1.1-r1, 9.4.2.0-r1, 9.4.2.0-r2, 9.4.2.1-r1, 9.4.2.1-r2, 9.4.3.0-r1, 9.4.3.0-r2, 9.4.3.1-r1 - 9.4.3.1-r3, 9.4.4.0-r1 - 9.4.4.0-r4, 9.4.4.1-r1 y 9.4.5.0-r1;
  • LTS: 9.3.0.0-r1, 9.3.0.0-r2, 9.3.0.0-r3, 9.3.0.1-r1, 9.3.0.1-r2, 9.3.0.1-r3, 9.3.0.1-r4, 9.3.0.3-r1, 9.3.0.4-r1, 9.3.0.4-r2, 9.3.0.5-r1, 9.3.0.5-r2, 9.3.0.5-r3, 9.3.0.6-r1, 9.3.0.10-r1, 9.3.0.10-r2, 9.3.0.11-r1, 9.3.0.11-r2, 9.3.0.15-r1, 9.3.0.16-r1, 9.3.0.16-r2, 9.3.0.17-r1, 9.3.0.17-r2, 9.3.0.17-r3, 9.3.0.20-r1, 9.3.0.20-r2, 9.3.0.21-r1, 9.3.0.21-r2, 9.3.0.21-r3, 9.3.0.25-r1, 9.4.0.0-r1, 9.4.0.0-r2, 9.4.0.0-r3, 9.4.0.5-r1 y 9.4.0.5-r2.
Descripción

IBM ha reportado 35 vulnerabilidades; 1 crítica, 15 altas y 19 medias que, en caso de ser explotadas, podrían permitir a atacantes comprometer la seguridad de los contenedores.

Solución

Se recomienda aplicar las imágenes de contenedor más recientes. Para ello, consulte el enlace de las referencias.

Detalle

CVE-2025-68121: vulnerabilidad crítica que se da durante la reanudación de una sesión en 'crypto/tls', si se modifican los campos ClientCAs o RootCAs de la configuración subyacente entre el handshake inicial y el reanudado, el handshake reanudado podría tener éxito cuando debería haber fallado. Esto ocurre cuando se modifica la configuración mediante 'Config.Clone' o 'Config.GetConfigForClient'. Como resultado, un cliente o servidor podría reanudar una sesión con una parte con la que no se habría reanudado en la conexión inicial.

Múltiples vulnerabilidades en Squid

Fecha25/03/2026
Importancia5 - Crítica
Recursos Afectados

Squid, versiones anteriores a la 7.5.

Descripción

Squid ha informado de 3 vulnerabilidades, 1 de severidad crítica, 1 alta y 1 media que, en caso de ser explotadas, podrían provocar la denegación de servicio del producto al gestionar tráfico ICP.

Solución

Actualizar el producto a la versión 7.5.

Como medidas de mitigación alternativas también se puede realizar alguna de las siguientes acciones, con realizar una de ellas no es necesario realizar la otra:

  • No permitir el soporte ICP;
  • Deshabilitar explícitamente ICP mediante 'icp_port 0'.

Importante: No es posible resolver el problema impidiendo las consultas ICP utilizando las reglas 'icp_access'

Detalle

CVE-2026-33526 y CVE-2026-32748: un atacante en remoto puede llevar a cabo un ataque de denegación de servicio fiable y repetible contra el servicio Squid, empleando el protocolo ICP. El ataque está limitado a instalaciones de Squid que tengan explícitamente habilitado el soporte ICP; es decir, aquellas que su configuración para 'icp_port' es distinta de cero.

La vulnerabilidad de severidad media tiene asignado el identificador CVE-2026-33515 y su detalle se puede consultar en el enlace de las referencias.