Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cinco nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en winCRM
  • Ejecución de código autenticado en la validación del asistente de agentes de Langflow
  • Ejecución de código remoto en n8n
  • Múltiples vulnerabilidades en Grafana
  • Múltiples vulnerabilidades en Spring

Múltiples vulnerabilidades en winCRM

Fecha27/03/2026
Importancia5 - Crítica
Recursos Afectados

Las siguientes versiones de winCRM están afectadas:

Descripción

INCIBE ha coordinado la publicación de 14 vulnerabilidades: 2 de severidad crítica, 10 de severidad alta y 2 de severidad media, que afectan a la aplicación de winCRM, un software de gestión comercial de Clientes. Las vulnerabilidades han sido descubiertas por Alejandro Amorín Niño, Cosme Vázquez Tomé.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2025-59906 y CVE-2025-59907: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-798
  • De CVE-2025-59908 a CVE-2025-59917: CVSS v4.0: 7.0 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-284
  • CVE-2025-59918 y CVE-2025-59919: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:H/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-79
Solución

Las vulnerabilidades han sido solucionadas por el equipo de winCRM tanto en la versión online como en la versión para Windows en la última versión disponible.

El 11/12/2025 se sustituyó al 100% la versión anterior de winCRM online por la nueva versión totalmente reprogramada, con una tecnología y arquitectura mejorada en cuanto a la seguridad.

Detalle
  • Credenciales hardcodeadas en un el fichero ejecutable Se pueden extraer con la herramienta “Strings.exe” y podrían permitir a un atacante acceso no autorizado a BBDD así como al servidor SMTP.
    • CVE-2025-59906: 'winCRM.exe'.
    • CVE-2025-59907: 'winSAT.exe'.
  • Vulnerabilidad que consiste en un Insecure Direct Object Reference (IDOR). La explotación de esta vulnerabilidad permite a un usuario visualizar el nombre de los clientes de otros usuarios/empresas de la plataforma iterando sobre el valor numérico que identifica al cliente en la URL:
    • CVE-2025-59908: parámetro 'idCliente' en '/Gestion/DocumentosCrear/'.
    • CVE-2025-59909: parámetro 'ClientesCamposAdicionales' en '/Clientes/ClientesCamposAdicionales/'.
    • CVE-2025-59910: parámetro 'ClientesClasificaciones' en '/Clientes/ClientesClasificaciones/'.
    • CVE-2025-59911: parámetro 'TareasCrear' en '/Tareas/TareasCrear/'.
    • CVE-2025-59912: parámetro 'ClientesEventos' en '/Clientes/ClientesEventos/'.
    • CVE-2025-59913: parámetro 'ClientesOportunidades' en '/Clientes/ClientesOportunidades/'.
    • CVE-2025-59914: parámetro 'EstadosEventosEditar' en '/Eventos/EstadosEventosEditar'.
    • CVE-2025-59915: parámetro 'ObtenerEstadosDoc' en '/Gestion/ObtenerEstadosDoc'.
    • CVE-2025-59916: parámetro 'DocumentosAnadirLineas' en '/Gestion/DocumentosAnadirLineas/'.
    • CVE-2025-59917: parámetro 'DocumentosOpcionesImprimir' en '/Gestion/DocumentosOpcionesImprimir/'.
  • Cross-Site Scripting (XSS) almacenado en winCRM. La explotación de esta vulnerabilidad podría permitir a un usuario remoto enviar una URL especialmente diseñada a la víctima y robar sus datos de sesión al permitir inyectar código JavaScript. La relación entre la asignación de parámetro e identificadores es la siguiente:
    • CVE-2025-59918: parámetro 'Tarea' en '/Tareas/TareasCrear?ddv=cal'.
    • CVE-2025-59919: parámetros 'Nombre' y 'Observaciones' en '/Clientes/ClientesCrear?ddv=cal'.

Ejecución de código autenticado en la validación del asistente de agentes de Langflow

Fecha27/03/2026
Importancia5 - Crítica
Recursos Afectados

Langflow versión 1.8.1 y todas las anteriores.

Descripción

kexinoh ha informado de 1 vulnerabilidad crítica que, en caso de ser explotada, podría permitir a un atacante acceder a la función Agentic Assistant e influir en la salida del modelo, resultando en la  ejecución arbitraria de código Python en el servidor.

Solución

Se recomienda actualizar a la versión 1.9.0.

Detalle

CVE-2026-33873: vulnerabilidad de ejecución de código estando autenticado mediante funciones, de ser explotada, podría permitir a atacantes acceder a la función Agentic Assistant e influir en la salida del modelo resultando en la ejecución de código Python arbitrario en el servidor.

Ejecución de código remoto en n8n

Fecha27/03/2026
Importancia5 - Crítica
Recursos Afectados
  • Versión 2.14.0;
  • Versiones comprendidas entre  2.0.0-rc.0, incluida y 2.13.3;
  • Versiones anteriores a 1.123.27.
Descripción

simonkoeck ha informado sobre 1 vulnerabilidad de severidad crítica que, en caso de ser explotada, podría provocar una ejecución remota de código.

Solución

El problema se ha solucionado en las versiones 2.14.1, 2.13.3 y 1.123.27 de n8n. 

Detalle

CVE-2026-33696: un usuario autenticado con permisos para crear o modificar flujos de trabajo podría explotar la vulnerabilidad de contaminación de prototipos en el nodo GSuiteAdmin. Al proporcionar un parámetro manipulado como parte de la configuración del nodo, un atacante podría escribir valores controlados por él Object.prototype y podría usar esta contaminación de prototipos para lograr la ejecución remota de código en la instancia n8n.

Múltiples vulnerabilidades en Grafana

Fecha27/03/2026
Importancia5 - Crítica
Recursos Afectados

Grafana, las versiones anteriores a:

  • 12.4.2;
  • 12.3.6;
  • 12.2.8;
  • 12.1.10;
  • 11.6.14.
Descripción

Grafana ha informado de 2 vulnerabilidades, 1 de severidad crítica y otra alta que, en caso de ser explotadas, podrían lograr la ejecución de código en remoto y el bloqueo del servidor de Grafana.

Solución

Actualizar el producto a alguna de las siguientes versiones:

  • 12.4.2;
  • 12.3.6;
  • 12.2.8;
  • 12.1.10;
  • 11.6.14.
Detalle
  • CVE-2026-27876: La característica de expresiones SQL permite transformar datos de consulta con una sintaxis SQL familiar. Sin embargo, esta sintaxis también permitía escribir ficheros arbitrarios en el sistema de archivos de forma que una persona podría concatenar diferentes vectores de ataque para lograr la ejecución de código en remoto. Para que se pueda explotar esta vulnerabilidad es necesario que se cumplan los siguientes requisitos:
    • Acceso para ejecutar consultas en fuentes de datos (permisos de visualización -Viewer- o superiores).
    • La función 'sqlExpressions' debe estar habilitada en la instancia de Grafana.
  • CVE-2026-27880: Los 'endpoints' de validación de características de OpenFeature de Grafana no requieren autenticación y aceptan entradas de usuario sin restricciones que son leídas en la memoria.

Múltiples vulnerabilidades en Spring

Fecha27/03/2026
Importancia5 - Crítica
Recursos Afectados

Spring AI, versiones:

  • 1.0.0 - 1.0.x
  • 1.1.0 - 1.1.x
Descripción

Spring ha informado de 4 vulnerabilidades, 1 de severidad crítica y 3 altas que, en caso de ser explotadas, pueden permitir la ejecución de código en remoto y el envío de solicitudes HTTP a destinos no deseados, entre otras acciones.

Solución

Actualizar el producto a alguna de las siguientes versiones:

  • 1.0.5;
  • 1.1.4.
Detalle

CVE-2026-22738: vulnerabilidad de inyección SpEL (Spring Expression Language) en 'SimpleVectorStore' cuando un valor proporcionado por el usuario se utiliza como clave de la expresión de filtro. Un actor malicioso lo podría explotar para ejecutar código arbitrario. Esta vulnerabilidad únicamente afecta a aplicaciones que utilizan 'simpleVectorStore' y entradas proporcionadas por el usuario como claves de la expresión de filtro.

Las vulnerabilidades de severidad alta son CVE-2026-22744, CVE-2026-22743 y CVE-2026-22742 y su detalle se puede consultar en los enlaces de las referencias.