Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en PluXml (CVE-2025-70128)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) almacenado existe en la función de comentarios de artículos de PluXml para las versiones de PluXml 5.8.22 y anteriores. La aplicación no logra sanear o validar correctamente la entrada proporcionada por el usuario en el campo 'link' de un comentario. Un atacante puede inyectar código JavaScript arbitrario usando un elemento
  • Vulnerabilidad en PluXml (CVE-2025-70129)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/04/2026
    Si la funcionalidad anti correo no deseado-captcha en las versiones 5.8.22 y anteriores de PluXml está habilitada, se genera un desafío captcha con un formato que puede ser reconocido automáticamente para los artículos, de tal manera que un script automatizado es capaz de resolver este mecanismo anti correo no deseado trivialmente y publicar comentarios de correo no deseado. Los detalles del desafío captcha están expuestos dentro del cuerpo del documento de los artículos con las funcionalidades de comentarios y anti correo no deseado-captcha habilitadas, incluyendo 'capcha-letter', 'capcha-word' y 'capcha-token' que pueden ser utilizados para construir una solicitud POST válida para publicar un comentario. Como tal, los atacantes pueden inundar los artículos con comentarios de correo no deseado automatizados, especialmente si no hay otras defensas web disponibles.
  • Vulnerabilidad en ClasroomIO (CVE-2025-67298)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 07/04/2026
    Un problema en ClasroomIO antes de la v.0.2.6 permite a un atacante remoto escalar privilegios a través de los endpoints /api/verify y /rest/v1/profile
  • Vulnerabilidad en Netartmedia PHP Real Estate Agency (CVE-2019-25536)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 07/04/2026
    Netartmedia PHP Real Estate Agency 4.0 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias mediante la inyección de código malicioso a través del parámetro features[]. Los atacantes pueden enviar solicitudes POST a index.php con cargas útiles SQL manipuladas en el parámetro features[] para extraer información sensible de la base de datos o manipular consultas de la base de datos.
  • Vulnerabilidad en Samsung Assistant (CVE-2026-20993)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 07/04/2026
    Exportación indebida de componentes de aplicación de Android en Samsung Assistant anterior a la versión 9.3.10.7 permite al atacante local acceder a la información guardada.
  • Vulnerabilidad en Galaxy Store de Samsung Mobile (CVE-2026-21000)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 07/04/2026
    Control de acceso inadecuado en Galaxy Store anterior a la versión 4.6.03.8 permite a un atacante local crear un archivo con privilegios de Galaxy Store.
  • Vulnerabilidad en Galaxy Store de Samsung Mobile (CVE-2026-21001)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 07/04/2026
    Salto de ruta en Galaxy Store anterior a la versión 4.6.03.8 permite a un atacante local crear un archivo con privilegios de Galaxy Store.
  • Vulnerabilidad en Galaxy Store de Samsung Mobile (CVE-2026-21002)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 07/04/2026
    Verificación incorrecta de firma criptográfica en Galaxy Store anterior a la versión 4.6.03.8 permite a atacante local instalar aplicación arbitraria.
  • Vulnerabilidad en TP-Link Systems Inc. (CVE-2026-3227)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 07/04/2026
    Una vulnerabilidad de inyección de comandos fue identificada en TP-Link TL-WR802N v4, TL-WR841N v14 y TL-WR840N v6 debido a la neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo. La función de importación de configuración del router permite a un atacante autenticado cargar un archivo de configuración manipulado que resulta en la ejecución de comandos del sistema operativo con privilegios de root durante el procesamiento de activación de puertos. La explotación exitosa permite a un atacante autenticado ejecutar comandos del sistema con privilegios de root, lo que lleva a un compromiso total del dispositivo.
  • Vulnerabilidad en DIR-823G de D-Link (CVE-2026-4193)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 07/04/2026
    Una vulnerabilidad de seguridad ha sido detectada en D-Link DIR-823G 1.0.2B05. El elemento afectado es la función GetDDNSSettings/GetDeviceDomainName/GetDeviceSettings/GetDMZSettings/GetFirewallSettings/GetGuestNetworkSettings/GetLanWanConflictInfo/GetLocalMacAddress/GetNetworkSettings/GetQoSSettings/GetRouterInformationSettings/GetRouterLanSettings/GetWanSettings/SetAccessCtlList/SetAccessCtlSwitch/SetDeviceSettings/SetGuestWLanSettings/SetIPv4FirewallSettings/SetNetworkSettings/SetNetworkTomographySettings/SetNTPServerSettings/SetRouterLanSettings/SetStaticClientInfo/SetStaticRouteSettings/SetWLanRadioSecurity/SetWPSSettings/UpdateClientInfo del componente goahead. Dicha manipulación conduce a controles de acceso inadecuados. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. Esta vulnerabilidad solo afecta a productos que ya no reciben soporte por parte del mantenedor.
  • Vulnerabilidad en LAPSWebUI de Truesec (CVE-2025-15554)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 07/04/2026
    El almacenamiento en caché del navegador de contraseñas LAPS en LAPSWebUI de Truesec antes de la versión 2.4 permite a un atacante con acceso a una estación de trabajo escalar sus privilegios mediante la divulgación de contraseñas de administrador local.
  • Vulnerabilidad en GoBGP (CVE-2026-30405)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 07/04/2026
    Un problema en GoBGP gobgpd v.4.2.0 permite a un atacante remoto causar una denegación de servicio a través del atributo de ruta NEXT_HOP.
  • Vulnerabilidad en Oracle Linux (CVE-2026-21991)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 07/04/2026
    Un componente de DTrace, dtprobed, permite la creación arbitraria de archivos mediante nombres de proveedores USDT manipulados.
  • Vulnerabilidad en Octopus Server de Octopus Deploy (CVE-2026-3237)
    Severidad: BAJA
    Fecha de publicación: 17/03/2026
    Fecha de última actualización: 07/04/2026
    En las versiones afectadas de Octopus Server era posible para un usuario con bajos privilegios manipular una solicitud de API para cambiar los plazos de caducidad y revocación de la clave de firma a través de un endpoint de API que tenía una validación de permisos incorrecta. No era posible exponer las claves de firma utilizando esta vulnerabilidad.