Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Acronis Cyber ??Protect Home Office (CVE-2022-46869)
    Severidad: ALTA
    Fecha de publicación: 31/08/2023
    Fecha de última actualización: 10/04/2026
    Escalada de privilegios locales debido a un manejo inadecuado de enlaces blandos durante la instalación. Los siguientes productos se ven afectados: Acronis Cyber ??Protect Home Office (Windows) anterior a la compilación 40278
  • Vulnerabilidad en metabase (CVE-2026-22805)
    Severidad: BAJA
    Fecha de publicación: 12/01/2026
    Fecha de última actualización: 10/04/2026
    Metabase es una plataforma de análisis de datos de código abierto. Antes de 55.13, 56.3 y 57.1, las instancias de Metabase autoalojadas que permiten a los usuarios crear suscripciones podrían verse potencialmente afectadas si su Metabase está coubicada con otros recursos no seguros. Esta vulnerabilidad está corregida en 55.13, 56.3 y 57.1.
  • Vulnerabilidad en ELECOM CO.,LTD. (CVE-2026-22550)
    Severidad: ALTA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 10/04/2026
    Existe una vulnerabilidad de inyección de comandos del sistema operativo en WRC-X1500GS-B y WRC-X1500GSA-B. Una solicitud manipulada de un usuario autenticado puede conducir a la ejecución arbitraria de comandos del sistema operativo.
  • Vulnerabilidad en ELECOM CO.,LTD. (CVE-2026-24449)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 10/04/2026
    Para WRC-X1500GS-B y WRC-X1500GSA-B, las contraseñas iniciales se pueden calcular fácilmente a partir de la información del sistema.
  • Vulnerabilidad en AFFiNE (CVE-2026-25477)
    Severidad: MEDIA
    Fecha de publicación: 02/03/2026
    Fecha de última actualización: 10/04/2026
    AFFiNE es un espacio de trabajo todo en uno de código abierto y un sistema operativo. Antes de la versión 0.26.0, existe una vulnerabilidad de redirección abierta ubicada en el endpoint /redirect-proxy. El fallo reside en la lógica de validación de dominio, donde una expresión regular anclada incorrectamente permite a un atacante eludir la lista blanca utilizando dominios maliciosos que terminan con una cadena de confianza. Este problema ha sido parcheado en la versión 0.26.0.
  • Vulnerabilidad en iCalendar (CVE-2026-33635)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 10/04/2026
    iCalendar es una biblioteca de Ruby diseñada para gestionar archivos iCalendar en el formato definido por el RFC-5545. Desde la versión 2.0.0 hasta la versión 2.12.2, la serialización de archivos .ics no depura correctamente los valores de las propiedades URI, lo que permite la inyección ICS a través de entradas controladas por un atacante, añadiendo entradas de calendario arbitrarias a la salida. `Icalendar::Values::Uri` recurre a la cadena de entrada sin procesar cuando `URI.parse` falla y posteriormente la serializa con `value.to_s` sin eliminar ni escapar los caracteres \r o \n. Ese valor se incrusta directamente en la línea ICS final mediante el serializador normal, por lo que una carga útil que contenga CRLF puede terminar la propiedad original y crear una nueva propiedad o componente ICS. (Parece que, debido a esto, se puede inyectar a través de url, source, image, organizer, attach, attendee, conference y tzurl). Las aplicaciones que generan archivos `.ics` a partir de metadatos parcialmente no fiables se ven afectadas. Como resultado, los clientes de calendario o importadores posteriores pueden procesar el contenido proporcionado por el atacante como si se tratara de datos de eventos legítimos, tales como asistentes añadidos, URL modificadas, alarmas u otros campos del calendario. La versión 2.12.2 contiene un parche para este problema.
  • Vulnerabilidad en Uploady de farisc0de (CVE-2026-33653)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 10/04/2026
    Ulloady es un script de carga de archivos con soporte para carga de múltiples archivos. Una vulnerabilidad de cross-site scripting (XSS) almacenado existe en versiones anteriores a la 3.1.2 debido a una sanitización inadecuada de los nombres de archivo durante el proceso de carga de archivos. Un atacante puede cargar un archivo con un nombre de archivo malicioso que contiene código JavaScript, el cual luego se renderiza en la aplicación sin el escape adecuado. Cuando el nombre de archivo se muestra en la lista de archivos o en la página de detalles del archivo, el script malicioso se ejecuta en el navegador de cualquier usuario que ve la página. La versión 3.1.2 corrige el problema.
  • Vulnerabilidad en cocos de ultravioletrs (CVE-2026-33697)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 10/04/2026
    Cocos AI es un sistema de computación confidencial para IA. La implementación actual de TLS atestiguado (aTLS) en CoCoS es vulnerable a un ataque de retransmisión que afecta a todas las versiones desde la v0.4.0 hasta la v0.8.2. Esta vulnerabilidad está presente tanto en los objetivos de despliegue AMD SEV-SNP como Intel TDX soportados por CoCoS. En el diseño afectado, un atacante podría ser capaz de extraer la clave privada efímera de TLS utilizada durante la atestación intra-handshake. Debido a que la evidencia de atestación está ligada a la clave efímera pero no al canal TLS, la posesión de esa clave es suficiente para retransmitir o desviar la sesión TLS atestiguada. Un cliente aceptará la conexión bajo suposiciones falsas sobre el endpoint con el que se está comunicando — el informe de atestación no puede distinguir el servicio atestiguado genuino del retransmisor del atacante. Esto socava las garantías de autenticación previstas de TLS atestiguado. Un ataque exitoso podría permitir a un atacante suplantar un servicio CoCoS atestiguado y acceder a datos u operaciones que el cliente pretendía enviar solo al endpoint atestiguado genuino. La explotación requiere que el atacante extraiga primero la clave privada efímera de TLS, lo cual es posible a través del acceso físico al hardware del servidor, ataques de ejecución transitoria o ataques de canal lateral. Tenga en cuenta que la implementación de aTLS fue completamente rediseñada en la v0.7.0, pero el rediseño no aborda esta vulnerabilidad. La debilidad del ataque de retransmisión es arquitectónica y afecta a todas las versiones en el rango v0.4.0–v0.8.2. Esta clase de vulnerabilidad fue analizada formalmente y demostrada en múltiples implementaciones de TLS atestiguado, incluyendo CoCoS, por investigadores cuyos hallazgos fueron divulgados al Grupo de Trabajo de TLS del IETF. La verificación formal se realizó utilizando ProVerif. A partir del momento de la publicación, no hay parche disponible. No hay solución alternativa completa disponible. Las siguientes medidas de endurecimiento reducen pero no eliminan el riesgo: Mantenga el firmware y el microcódigo de TEE actualizados para reducir la superficie de extracción de claves; defina políticas de atestación estrictas que validen todos los campos de informe disponibles, incluyendo versiones de firmware, niveles de TCB y registros de configuración de plataforma; y/o habilite aTLS mutuo con certificados firmados por CA donde la arquitectura de despliegue lo permita.
  • Vulnerabilidad en OpenHands (CVE-2026-33718)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 10/04/2026
    OpenHands es un software para el desarrollo impulsado por IA. A partir de la versión 1.5.0, existe una vulnerabilidad de inyección de comandos en el método 'get_git_diff()' en 'openhands/runtime/utils/git_handler.py:134'. El parámetro 'path' del endpoint de API '/api/conversations/{conversation_id}/git/diff' se pasa sin sanear a un comando de shell, permitiendo a atacantes autenticados ejecutar comandos arbitrarios en el sandbox del agente. Al usuario ya se le permite instruir al agente para ejecutar comandos, pero esto elude los canales normales. La versión 1.5.0 corrige el problema.