Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en AC8 de Tenda (CVE-2026-4252)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 03/04/2026
    Una vulnerabilidad fue identificada en Tenda AC8 16.03.50.11. Afectada por este problema es la función check_is_ipv6 del componente Gestor IPv6. La manipulación conduce a la dependencia de la dirección IP para la autenticación. Es posible iniciar el ataque remotamente. El exploit está disponible públicamente y podría ser utilizado.
  • Vulnerabilidad en D-Link DIR-513 (CVE-2026-4465)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 03/04/2026
    Se ha encontrado una falla en D-Link DIR-513 1.10. El elemento afectado es una función desconocida del archivo /goform/formSysCmd. La ejecución de una manipulación del argumento sysCmd puede conducir a inyección de comandos. El ataque puede ser lanzado remotamente. El exploit ha sido publicado y puede ser utilizado. Esta vulnerabilidad solo afecta a productos que ya no tienen soporte por el mantenedor.
  • Vulnerabilidad en DIR-513 de D-Link (CVE-2026-4486)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 03/04/2026
    Una vulnerabilidad fue encontrada en D-Link DIR-513 1.10. Esto afecta la función formEasySetPassword del archivo /goform/formEasySetPassword del componente Servicio Web. La manipulación del argumento curTime resulta en desbordamiento de búfer basado en pila. El ataque puede ser realizado desde remoto. El exploit ha sido hecho público y podría ser usado. Esta vulnerabilidad solo afecta productos que ya no son soportados por el mantenedor.
  • Vulnerabilidad en DIR-820LW de D-Link (CVE-2026-4499)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 03/04/2026
    Se determinó una vulnerabilidad en D-Link DIR-820LW 2.03. Se ve afectada la función ssdpcgi_main del componente SSDP. La ejecución de una manipulación puede conducir a una inyección de comandos del sistema operativo. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
  • Vulnerabilidad en DIR-513 de D-Link (CVE-2026-4555)
    Severidad: ALTA
    Fecha de publicación: 22/03/2026
    Fecha de última actualización: 03/04/2026
    Una debilidad ha sido identificada en D-Link DIR-513 1.10. El elemento afectado es la función formEasySetTimezone del archivo /goform/formEasySetTimezone del componente boa. Esta manipulación del argumento curTime causa desbordamiento de búfer basado en pila. El ataque puede ser iniciado remotamente. El exploit ha sido puesto a disposición del público y podría ser usado para ataques. Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el mantenedor.
  • Vulnerabilidad en Simple Laundry System de code-projects (CVE-2026-4579)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 03/04/2026
    Una vulnerabilidad fue identificada en code-projects Simple Laundry System 1.0. Esto afecta una función desconocida del archivo /viewdetail.php del componente Gestor de Parámetros. La manipulación del argumento serviceId conduce a inyección SQL. La explotación remota del ataque es posible. El exploit está disponible públicamente y podría ser utilizado.
  • Vulnerabilidad en Simple Laundry System de code-projects (CVE-2026-4580)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 03/04/2026
    Se ha descubierto una vulnerabilidad de seguridad en code-projects Simple Laundry System 1.0. Esto afecta a una función desconocida del archivo /checkupdatestatus.php del componente Gestor de Parámetros. La manipulación del argumento serviceId resulta en inyección SQL. El ataque puede ejecutarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
  • Vulnerabilidad en Simple Laundry System de code-projects (CVE-2026-4581)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 03/04/2026
    Se ha identificado una vulnerabilidad en code-projects Simple Laundry System 1.0. Afecta a una función desconocida del archivo /checklogin.php del componente Gestor de Parámetros. Esta manipulación del argumento Username causa inyección SQL. El ataque puede llevarse a cabo de forma remota. El exploit ha sido puesto a disposición del público y podría usarse para ataques. Si desea obtener la mejor calidad de datos de vulnerabilidad, es posible que tenga que visitar VulDB.
  • Vulnerabilidad en Simple Laundry System de code-projects (CVE-2026-4784)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 03/04/2026
    Se encontró una vulnerabilidad en code-projects Simple Laundry System 1.0. Esto afecta a una función desconocida del archivo /checkcheckout.php del componente Gestor de Parámetros. La manipulación del argumento serviceId resulta en inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y podría ser utilizado.
  • Vulnerabilidad en Simple Laundry System (CVE-2026-4849)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 03/04/2026
    Se identificó una vulnerabilidad en code-projects Simple Laundry System 1.0. Esto afecta una función desconocida del archivo /modify.php del componente Gestor de Parámetros. La manipulación del argumento firstName conduce a cross site scripting. El ataque puede iniciarse de forma remota. El exploit está disponible públicamente y podría ser utilizado.
  • Vulnerabilidad en Simple Laundry System (CVE-2026-4850)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 03/04/2026
    Se ha descubierto una vulnerabilidad de seguridad en code-projects Simple Laundry System 1.0. Afecta a una función desconocida del archivo /checkregisitem.php del componente Gestor de Parámetros. La manipulación del argumento Long-arm-shirtVol resulta en inyección SQL. El ataque puede lanzarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
  • Vulnerabilidad en TSPortal de miraheze (CVE-2026-33541)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 03/04/2026
    TSPortal es la plataforma interna de la Fundación WikiTide utilizada por el equipo de Confianza y Seguridad para gestionar informes, investigaciones, apelaciones y trabajo de transparencia. Antes de la versión 34, una falla en TSPortal permitía a los atacantes crear registros de usuario arbitrarios en la base de datos al abusar de la lógica de validación. Si bien la validación rechazaba correctamente los nombres de usuario no válidos, un efecto secundario dentro de una regla de validación provocaba que se crearan registros de usuario independientemente de si la solicitud tenía éxito. Esto podría ser explotado para causar un crecimiento descontrolado de la base de datos, lo que llevaría a una potencial denegación de servicio (DoS). La versión 34 contiene una solución para el problema.
  • Vulnerabilidad en MobSF (CVE-2026-33545)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 03/04/2026
    MobSF es una herramienta utilizada para pruebas de seguridad de aplicaciones móviles. Antes de la versión 4.4.6, la función `read_sqlite()` de MobSF en `mobsf/MobSF/utils.py` (líneas 542-566) utiliza el formato de cadena de Python ('%') para construir consultas SQL con nombres de tabla leídos de la tabla `sqlite_master` de una base de datos SQLite. Cuando un analista de seguridad utiliza MobSF para analizar una aplicación móvil maliciosa que contiene una base de datos SQLite manipulada, los nombres de tabla controlados por el atacante se interpolan directamente en las consultas SQL sin parametrización ni escape. Esto permite a un atacante causar denegación de servicio y lograr inyección SQL. La versión 4.4.6 corrige el problema.
  • Vulnerabilidad en Red Hat (CVE-2026-0968)
    Severidad: CRÍTICA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 03/04/2026
    Se encontró una falla en libssh en la que un servidor SFTP (Protocolo de Transferencia de Archivos SSH) malicioso puede explotar esto enviando un campo 'longname' malformado dentro de un mensaje 'SSH_FXP_NAME' durante una operación de listado de archivos. Esta falta de verificación de nulos puede llevar a leer más allá de la memoria asignada en el heap. Esto puede causar un comportamiento inesperado o llevar a una denegación de servicio (DoS) debido a fallos de la aplicación.
  • Vulnerabilidad en Red Hat (CVE-2026-2239)
    Severidad: BAJA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 03/04/2026
    Se encontró una falla en GIMP. Existe una vulnerabilidad de desbordamiento de búfer de pila en la función fread_pascal_string al procesar un archivo PSD (Photoshop Document) especialmente diseñado. Esto ocurre porque el búfer asignado para una cadena Pascal no está correctamente terminado en nulo, lo que lleva a una lectura fuera de límites cuando se llama posteriormente a strlen(). Explotar con éxito esta vulnerabilidad puede provocar el bloqueo de la aplicación, lo que resulta en una denegación de servicio a nivel de aplicación.
  • Vulnerabilidad en Red Hat (CVE-2026-2272)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 03/04/2026
    Se encontró una falla en GIMP. Existe una vulnerabilidad de desbordamiento de entero al procesar archivos de imagen ICO, específicamente en las funciones `ico_read_info` e `ico_read_icon`. Este problema surge porque un cálculo de tamaño para los búferes de imagen puede dar la vuelta debido a una evaluación de entero de 32 bits, permitiendo que los encabezados de imagen sobredimensionados eludan las comprobaciones de seguridad. Un atacante remoto podría explotar esto proporcionando un archivo ICO especialmente diseñado, lo que lleva a un desbordamiento de búfer y corrupción de memoria, lo que puede resultar en una denegación de servicio a nivel de aplicación.
  • Vulnerabilidad en Simple Laundry System de code-projects (CVE-2026-4908)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 03/04/2026
    Una falla de seguridad ha sido descubierta en code-projects Simple Laundry System 1.0. Esto afecta una función desconocida del archivo /modstaffinfo.php del componente Gestor de Parámetros. La manipulación del argumento userid resulta en inyección SQL. El ataque puede ser realizado desde remoto. El exploit ha sido liberado al público y puede ser usado para ataques.