Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en ENOVIA Collaborative Industry Innovator de Dassault Systèmes (CVE-2025-10551)
    Severidad: ALTA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 13/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) almacenado que afecta a la Gestión de Documentos en ENOVIA Collaborative Industry Innovator desde la versión 3DEXPERIENCE R2023x hasta la versión 3DEXPERIENCE R2025x permite a un atacante ejecutar código de script arbitrario en la sesión del navegador del usuario.
  • Vulnerabilidad en Millie chat de 1millionbot (CVE-2026-4399)
    Severidad: ALTA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 13/04/2026
    Vulnerabilidad de inyección de prompts en el chatbot Millie de 1millionbot que ocurre cuando un usuario logra evadir las restricciones del chat utilizando técnicas de inyección de prompts booleanas (formulando una pregunta de tal manera que, al recibir una respuesta afirmativa ('true'), el modelo ejecuta la instrucción inyectada), haciendo que devuelva información prohibida e información fuera de su contexto previsto. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto malicioso abusar del servicio para fines distintos a los originalmente previstos, o incluso ejecutar tareas fuera de contexto utilizando los recursos de 1millionbot y/o la clave API de OpenAI. Esto permite al atacante evadir los mecanismos de contención implementados durante el entrenamiento del modelo LLM y obtener respuestas o comportamientos del chat que estaban originalmente restringidos.
  • Vulnerabilidad en Millie chat de 1millionbot (CVE-2026-4400)
    Severidad: ALTA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 13/04/2026
    Vulnerabilidad de Referencia Directa a Objeto Insegura (IDOR) en el chat Millie de 1millionbot que permite visualizar conversaciones privadas de otros usuarios simplemente cambiando el ID de la conversación. La vulnerabilidad está presente en el endpoint 'api.1millionbot.com/api/public/conversations/' y, si se explota, podría permitir a un atacante remoto acceder a conversaciones privadas de chatbot de otros usuarios, revelando datos sensibles o confidenciales sin requerir credenciales ni suplantar la identidad de los usuarios. Para que la vulnerabilidad pueda ser explotada, el atacante debe tener el ID de conversación del usuario.
  • Vulnerabilidad en Business::OnlinePayment::StoredTransaction de MOCK (CVE-2025-15618)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 13/04/2026
    Las versiones de Business::OnlinePayment::StoredTransaction hasta la 0.01 para Perl utilizan una clave secreta insegura. Business::OnlinePayment::StoredTransaction genera una clave secreta utilizando un hash MD5 de una única llamada a la función rand incorporada, lo cual no es apto para uso criptográfico. Esta clave está destinada a cifrar datos de transacciones de tarjetas de crédito.