Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cuatro nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en GDTaller
  • Múltiples vulnerabilidades en Small HTTP server de Smallsrv
  • Múltiples vulnerabilidades en el chatbot de HiJiffy
  • Ejecución remota de código en el nodo Merge del modo AlaSQL SQL de n8n

Múltiples vulnerabilidades en GDTaller

Fecha26/03/2026
Importancia3 - Media
Recursos Afectados

GDTaller. 

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media, que afectan a GDTaller, software para la gestión de talleres. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41026 y CVE-2025-41027: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

Las vulnerabilidades han sido solucionadas por el equipo de GDTaller en la versión actual. 

Detalle

Vulnerabilidades de Cross-Site Scripting (XSS) reflejados en GDTaller. Estas vulnerabilidades permiten a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa. La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2025-41026: parámetro 'site' en 'app_login.php';
  • CVE-2025-41027: parámetro 'site' en 'app_recuperarclave.php'. 

Múltiples vulnerabilidades en Small HTTP server de Smallsrv

Fecha26/03/2026
Importancia4 - Alta
Recursos Afectados

Small HTTP server 3.06.36.

Descripción

INCIBE ha coordinado la publicación de dos vulnerabilidades de severidad alta que afecta a Small HTTP server de Smallsrv, un servidor web muy ligero y portátil para Windows. La vulnerabilidad ha sido descubierta por Rafael Pedrero.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-41368: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-22
  • CVE-2025-41359: CVSS v4.0: 7.8 | CVSS AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-428
Solución

La vulnerabilidad se ha corregido en la versión 3.06.38.

Detalle
  • CVE-2025-41368: problema en el servicio Small HTTP Server v3.06.36. Una vulnerabilidad de recorrido de rutas autenticada en '/' permite a los usuarios remotos eludir las restricciones previstas de SecurityManager y mostrar cualquier archivo si se dispone de los permisos adecuados fuera de la raíz del documento configurada en el servidor.
  • CVE-2025-41359: vulnerabilidad relacionada con una ruta de servicio sin comillas en Small HTTP Server 3.06.36, que afecta específicamente al ejecutable ubicado en 'C:\Program Files (x86)\shttps_mg\http.exe service'. Esta configuración incorrecta permite a un atacante local colocar un ejecutable malicioso con el mismo nombre en un directorio de mayor prioridad, lo que hace que el servicio ejecute el archivo malicioso en lugar del legítimo. Aprovechar esta falla podría permitir la ejecución de código arbitrario, el acceso no autorizado al sistema o la interrupción del servicio. Para mitigar el riesgo, la ruta del servicio debe estar correctamente entre comillas y los sistemas deben mantenerse actualizados con parches de seguridad, al tiempo que se restringe el acceso físico y a la red.

Múltiples vulnerabilidades en el chatbot de HiJiffy

Fecha26/03/2026
Importancia3 - Media
Recursos Afectados

El Chatbot de HiJiffy.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media que afectan al Chatbot de HiJiffy, un centro de comunicaciones para huéspedes. Las vulnerabilidades han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • Desde CVE-2026-4262 hasta CVE-2026-4263: 6.9 | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-863
Solución

HiJiffy recomienda actualizar a la última versión disponible.

Detalle

Se ha detectado una autorización incorrecta en HiJiffy Chatbot. La relación de parámetros e identificadores asignados es la siguiente:

  • CVE-2026-4262: esta vulnerabilidad permite a un atacante descargar mensajes privados de otros usuarios a través del parámetro 'ID' en el endpoint '/api/v1/download/<ID>/'.
  • CVE-2026-4263: esta vulnerabilidad permite a un atacante acceder a los mensajes privados de otros usuarios a través del parámetro 'visitor' en el endpoint '/api/v1/webchat/message'.

Ejecución remota de código en el nodo Merge del modo AlaSQL SQL de n8n

Fecha26/03/2026
Importancia5 - Crítica
Recursos Afectados

Las siguientes versiones de n8n están afectadas:

  • 2.14.0;
  • Versiones comprendidas entre 2.0.0-rc.0 y 2.13.3;
  • Todas las versiones anteriores a 1.123.27.
Descripción

duddnr0615k, simonkoeck, corydoras y nil340 han informado sobre 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a atacantes acceder a archivos confidenciales en el servidor o incluso comprometer la instancia.

Solución

Se recomienda actualizar a una de las siguientes respectivas versiones: 2.14.1, 2.13.3, 1.123.27. Si no se puede actualizar se aconseja aplicar las medidas de mitigación descritas en los enlaces de las referencias.

Detalle

CVE-2026-33660: vulnerabilidad de ejecución remota de código en el nodo Merge del modo AlaSQL SQL. La vulnerabilidad se debe a que el entorno aislado de AlaSQL no restringe suficientemente ciertas sentencias SQL, lo cual podría permitir a usuarios autenticados, con permisos para crear o modificar flujos de trabajo en el nodo, leer archivos locales en el host n8n y lograr la ejecución remota de código.