Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Quill de Slab (CVE-2025-15056)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2026
    Fecha de última actualización: 10/04/2026
    Una vulnerabilidad por falta de validación de datos en la función de exportación HTML en Quill permite cross-site scripting (XSS). Este problema afecta a Quill: 2.0.3.
  • Vulnerabilidad en Hereta ETH-IMC408M de Shenzhen Hereta Technology Co., Ltd. (CVE-2026-29510)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 10/04/2026
    Hereta ETH-IMC408M firmware versión 1.0.15 y anteriores contienen una vulnerabilidad de cross-site scripting almacenado que permite a atacantes autenticados inyectar JavaScript arbitrario manipulando el campo Device Name. Los atacantes pueden inyectar scripts maliciosos a través de la interfaz System Status que se ejecutan en los navegadores de los usuarios que ven la página de estado sin saneamiento de entrada.
  • Vulnerabilidad en Hereta ETH-IMC408M de Shenzhen Hereta Technology Co., Ltd. (CVE-2026-29513)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 10/04/2026
    Hereta ETH-IMC408M firmware versión 1.0.15 y anteriores contienen una vulnerabilidad de cross-site scripting almacenado que permite a atacantes autenticados inyectar JavaScript arbitrario manipulando el campo Device Location. Los atacantes pueden inyectar scripts maliciosos a través de la interfaz System Status que se ejecutan en los navegadores de los usuarios que ven la página de estado sin saneamiento de entrada.
  • Vulnerabilidad en Hereta ETH-IMC408M de Shenzhen Hereta Technology Co., Ltd. (CVE-2026-29520)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 10/04/2026
    El firmware Hereta ETH-IMC408M versión 1.0.15 y anteriores contienen una vulnerabilidad de cross-site scripting reflejado en la función de ping de Diagnóstico de Red que permite a los atacantes ejecutar JavaScript arbitrario. Los atacantes pueden crear enlaces maliciosos con cargas útiles de script inyectadas en el parámetro ping_ipaddr para comprometer sesiones de administrador autenticadas cuando se visitan los enlaces.
  • Vulnerabilidad en Hereta ETH-IMC408M de Shenzhen Hereta Technology Co., Ltd. (CVE-2026-29521)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 10/04/2026
    Hereta ETH-IMC408M firmware versión 1.0.15 y anteriores contienen una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes modificar la configuración del dispositivo explotando la falta de protecciones CSRF en setup.cgi. Los atacantes pueden alojar páginas maliciosas que envían peticiones falsificadas utilizando credenciales de autenticación básica HTTP incluidas automáticamente para añadir cuentas RADIUS, alterar la configuración de red o activar diagnósticos.
  • Vulnerabilidad en MongoDB Server (CVE-2026-4147)
    Severidad: ALTA
    Fecha de publicación: 17/03/2026
    Fecha de última actualización: 10/04/2026
    Un usuario autenticado con el rol de lectura puede leer cantidades limitadas de memoria de pila no inicializada a través de invocaciones especialmente diseñadas del comando filemd5.
  • Vulnerabilidad en MongoDB Server (CVE-2026-4148)
    Severidad: ALTA
    Fecha de publicación: 17/03/2026
    Fecha de última actualización: 10/04/2026
    Una vulnerabilidad de uso después de liberación puede ser activada en clústeres fragmentados por un usuario autenticado con el rol de lectura que emite una canalización de agregación especialmente diseñada de $lookup o $graphLookup.
  • Vulnerabilidad en QNAP Systems Inc. (CVE-2026-22895)
    Severidad: BAJA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 10/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) ha sido reportada que afecta a QuFTP Service. Si un atacante remoto obtiene una cuenta de administrador, puede entonces explotar la vulnerabilidad para eludir mecanismos de seguridad o leer datos de la aplicación. Ya hemos corregido la vulnerabilidad en las siguientes versiones: QuFTP Service 1.4.3 y posteriores QuFTP Service 1.5.2 y posteriores QuFTP Service 1.6.2 y posteriores
  • Vulnerabilidad en grpc-go de grpc (CVE-2026-33186)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 10/04/2026
    gRPC-Go es la implementación en lenguaje Go de gRPC. Las versiones anteriores a la 1.79.3 tienen un bypass de autorización resultante de una validación de entrada incorrecta del pseudo-encabezado HTTP/2 ':path'. El servidor gRPC-Go era demasiado indulgente en su lógica de enrutamiento, aceptando solicitudes donde el ':path' omitía la barra inicial obligatoria (por ejemplo, 'Service/Method' en lugar de '/Service/Method'). Si bien el servidor enrutó con éxito estas solicitudes al gestor correcto, los interceptores de autorización (incluido el paquete oficial 'grpc/authz') evaluaron la cadena de ruta cruda y no canónica. En consecuencia, las reglas de 'denegación' definidas usando rutas canónicas (que comienzan con '/') no lograron coincidir con la solicitud entrante, permitiendo que bypassara la política si una regla de 'permiso' de respaldo estaba presente. Esto afecta a los servidores gRPC-Go que utilizan interceptores de autorización basados en rutas, como la implementación oficial de RBAC en 'google.golang.org/grpc/authz' o interceptores personalizados que dependen de 'info.FullMethod' o 'grpc.Method(ctx)'; Y que tienen una política de seguridad que contiene reglas de 'denegación' específicas para rutas canónicas pero permite otras solicitudes por defecto (una regla de 'permiso' de respaldo). La vulnerabilidad es explotable por un atacante que puede enviar tramas HTTP/2 crudas con encabezados ':path' malformados directamente al servidor gRPC. La corrección en la versión 1.79.3 asegura que cualquier solicitud con un ':path' que no comience con una barra inicial sea inmediatamente rechazada con un error 'codes.Unimplemented', impidiendo que llegue a los interceptores de autorización o gestores con una cadena de ruta no canónica. Si bien la actualización es la ruta más segura y recomendada, los usuarios pueden mitigar la vulnerabilidad utilizando uno de los siguientes métodos: Usar un interceptor de validación (mitigación recomendada); normalización a nivel de infraestructura; y/o endurecimiento de políticas.
  • Vulnerabilidad en Xen (CVE-2026-23554)
    Severidad: ALTA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 10/04/2026
    El código de paginación EPT de Intel utiliza una optimización para aplazar el vaciado de cualquier estado EPT en caché hasta que se libere el bloqueo p2m, de modo que múltiples modificaciones realizadas bajo la misma región bloqueada solo emitan un único vaciado. La liberación de estructuras de paginación, sin embargo, no se aplaza hasta que se complete el vaciado, y puede resultar en que las páginas liberadas estén transitoriamente presentes en estado de caché. Dichas entradas obsoletas pueden apuntar a rangos de memoria no poseídos por el invitado, permitiendo así el acceso a regiones de memoria no intencionadas.
  • Vulnerabilidad en Xen (CVE-2026-23555)
    Severidad: ALTA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 10/04/2026
    Cualquier invitado que emita un comando de Xenstore accediendo a un nodo utilizando la ruta de nodo (ilegal) '/local/domain/', provocará la caída de xenstored debido a un indicador de error sobrescrito en xenstored al verificar la ruta del nodo. Tenga en cuenta que la caída es forzada mediante una instrucción assert() fallida en xenstored. En caso de que xenstored se compile con NDEBUG #definido, un invitado sin privilegios que intente acceder a la ruta del nodo '/local/domain/' resultará en que ya no sea atendido por xenstored, otros invitados (incluido dom0) seguirán siendo atendidos, pero xenstored consumirá todo el tiempo de CPU que pueda obtener.
  • Vulnerabilidad en Lawyer Management System de projectworlds (CVE-2026-4596)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 10/04/2026
    Una vulnerabilidad fue identificada en projectworlds Lawyer Management System 1.0. Este problema afecta algún procesamiento desconocido del archivo /lawyers.php. La manipulación del argumento first_Name conduce a cross site scripting. El ataque puede ser iniciado remotamente. El exploit está disponible públicamente y podría ser usado.
  • Vulnerabilidad en NRSS Reader de nrss (CVE-2016-20043)
    Severidad: ALTA
    Fecha de publicación: 28/03/2026
    Fecha de última actualización: 10/04/2026
    NRSS RSS Reader 0.3.9-1 contiene una vulnerabilidad de desbordamiento de búfer de pila que permite a atacantes locales ejecutar código arbitrario al proporcionar un argumento de tamaño excesivo al parámetro -F. Los atacantes pueden crear una entrada maliciosa con 256 bytes de relleno seguido de un valor EIP controlado para sobrescribir la dirección de retorno y lograr la ejecución de código.
  • Vulnerabilidad en PInfo de pinfo (CVE-2016-20044)
    Severidad: ALTA
    Fecha de publicación: 28/03/2026
    Fecha de última actualización: 10/04/2026
    PInfo 0.6.9-5.1 contiene una vulnerabilidad de desbordamiento de búfer local que permite a atacantes locales ejecutar código arbitrario al proporcionar un argumento sobredimensionado al parámetro -m. Los atacantes pueden crear una cadena de entrada maliciosa con 564 bytes de relleno seguida de una dirección de retorno para sobrescribir el puntero de instrucción y ejecutar shellcode con privilegios de usuario.
  • Vulnerabilidad en MediaTek chipset de MediaTek, Inc. (CVE-2026-20433)
    Severidad: ALTA
    Fecha de publicación: 07/04/2026
    Fecha de última actualización: 10/04/2026
    En el módem, existe una posible escritura fuera de límites debido a una falta de verificación de límites. Esto podría llevar a una escalada remota de privilegios, si un UE se ha conectado a una estación base maliciosa controlada por el atacante, sin necesidad de privilegios de ejecución adicionales. Se requiere interacción del usuario para la explotación. ID del parche: MOLY01088681; ID del problema: MSV-4460.