Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Red Hat (CVE-2026-1801)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 26/03/2026
    Se encontró una falla en libsoup, una librería cliente/servidor HTTP. Esta vulnerabilidad de contrabando de solicitudes HTTP surge de un análisis no conforme con RFC en la lógica de soup_filter_input_stream_read_line(), donde libsoup acepta encabezados de fragmentos malformados, como caracteres de avance de línea (LF) solitarios en lugar del retorno de carro y avance de línea (CRLF) requeridos. Un atacante remoto puede explotar esto sin autenticación ni interacción del usuario enviando solicitudes fragmentadas especialmente diseñadas. Esto permite a libsoup analizar y procesar múltiples solicitudes HTTP desde un único mensaje de red, lo que podría llevar a la revelación de información.
  • Vulnerabilidad en Product Key Explorer (CVE-2020-37131)
    Severidad: MEDIA
    Fecha de publicación: 05/02/2026
    Fecha de última actualización: 26/03/2026
    Nsauditor Product Key Explorer 4.2.2.0 contiene una vulnerabilidad de denegación de servicio que permite a atacantes locales colgar la aplicación al introducir una clave de registro especialmente diseñada. Los atacantes pueden generar una carga útil de 1000 bytes de caracteres repetidos y pegarla en el campo de entrada 'Key' para desencadenar el bloqueo de la aplicación.
  • Vulnerabilidad en ncurses (CVE-2025-69720)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 26/03/2026
    ncurses v6.5 y v6.4 son vulnerables a desbordamiento de búfer en progs/infocmp.c, función analyze_string().
  • Vulnerabilidad en wofSSL (CVE-2026-3229)
    Severidad: BAJA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 26/03/2026
    Una vulnerabilidad de desbordamiento de entero existía en la función estática wolfssl_add_to_chain, que causaba corrupción de la pila cuando los datos del certificado se escribían fuera de los límites de un búfer de certificado de tamaño insuficiente. wolfssl_add_to_chain es llamada por estas API: wolfSSL_CTX_add_extra_chain_cert, wolfSSL_CTX_add1_chain_cert, wolfSSL_add0_chain_cert. Estas API están habilitadas para características de compatibilidad de terceros: enable-opensslall, enable-opensslextra, enable-lighty, enable-stunnel, enable-nginx, enable-haproxy. Este problema no es explotable de forma remota y requeriría que el contexto de la aplicación que carga los certificados esté comprometido.
  • Vulnerabilidad en aquasecurity (CVE-2026-33634)
    Severidad: CRÍTICA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 26/03/2026
    Trivy es un escáner de seguridad. El 19 de marzo de 2026, un actor de amenaza utilizó credenciales comprometidas para publicar una versión maliciosa de Trivy v0.69.4, forzar el envío de 76 de 77 etiquetas de versión en `aquasecurity/trivy-action` a malware de robo de credenciales, y reemplazar las 7 etiquetas en `aquasecurity/setup-trivy` con commits maliciosos. Este incidente es una continuación del ataque a la cadena de suministro que comenzó a finales de febrero de 2026. Tras la divulgación inicial el 1 de marzo, se realizó la rotación de credenciales pero no fue atómica (no todas las credenciales fueron revocadas simultáneamente). El atacante podría haber utilizado un token válido para exfiltrar secretos recién rotados durante la ventana de rotación (que duró unos pocos días). Esto podría haber permitido al atacante retener el acceso y ejecutar el ataque del 19 de marzo. Los componentes afectados incluyen la imagen Go / contenedor `aquasecurity/trivy` versión 0.69.4, las versiones 0.0.1 – 0.34.2 (76/77) de la GitHub Action `aquasecurity/trivy-action`, y las versiones 0.2.0 – 0.2.6 de la GitHub Action `aquasecurity/setup-trivy`, antes de la recreación de la 0.2.6 con un commit seguro. Las versiones seguras conocidas incluyen las versiones 0.69.2 y 0.69.3 del binario de Trivy, la versión 0.35.0 de trivy-action, y la versión 0.2.6 de setup-trivy. Además, tome otras mitigaciones para asegurar la seguridad de los secretos. Si existe alguna posibilidad de que una versión comprometida se haya ejecutado en el entorno de uno, todos los secretos accesibles a las pipelines afectadas deben ser tratados como expuestos y rotados inmediatamente. Verifique si la organización de uno extrajo o ejecutó Trivy v0.69.4 de cualquier fuente. Elimine cualquier artefacto afectado inmediatamente. Revise todos los flujos de trabajo que utilizan `aquasecurity/trivy-action` o `aquasecurity/setup-trivy`. Aquellos que referenciaron una etiqueta de versión en lugar de un SHA de commit completo deben revisar los registros de ejecución del flujo de trabajo del 19 al 20 de marzo de 2026 en busca de signos de compromiso. Busque repositorios llamados `tpcp-docs` en la organización de GitHub de uno. La presencia de dicho repositorio puede indicar que el mecanismo de exfiltración de respaldo se activó y los secretos fueron robados con éxito. Fije las GitHub Actions a hashes SHA de commit completos e inmutables, no use etiquetas de versión mutables.
  • Vulnerabilidad en Android-ImageMagick7 de MolotovCherry (CVE-2026-33853)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2026
    Fecha de última actualización: 26/03/2026
    Vulnerabilidad de desreferencia de puntero NULL en MolotovCherry Android-ImageMagick7. Este problema afecta a Android-ImageMagick7: antes de 7.1.2-10.
  • Vulnerabilidad en Android-ImageMagick7 de MolotovCherry (CVE-2026-33854)
    Severidad: ALTA
    Fecha de publicación: 24/03/2026
    Fecha de última actualización: 26/03/2026
    Vulnerabilidad de escritura fuera de límites en MolotovCherry Android-ImageMagick7. Este problema afecta a Android-ImageMagick7: anterior a 7.1.2-10.
  • Vulnerabilidad en Android-ImageMagick7 de MolotovCherry (CVE-2026-33855)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2026
    Fecha de última actualización: 26/03/2026
    Vulnerabilidad de desbordamiento de entero o desbordamiento por ajuste en MolotovCherry Android-ImageMagick7. Este problema afecta a Android-ImageMagick7: antes de 7.1.2-11.