Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Go MCP SDK (CVE-2026-27896)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 14/04/2026
    El SDK de Go MCP utilizaba la función estándar `encoding/json.Unmarshal` de Go para el análisis de mensajes del protocolo JSON-RPC y MCP en versiones anteriores a la 1.3.1. La biblioteca estándar de Go realiza una coincidencia que no distingue entre mayúsculas y minúsculas de las claves JSON con las etiquetas de campo de las estructuras — un campo etiquetado como json:'method' también coincidiría con 'Method', 'METHOD', etc. Esto violaba la especificación JSON-RPC 2.0, que define nombres de campo exactos. Un par MCP malicioso podría haber sido capaz de enviar mensajes de protocolo con un uso de mayúsculas y minúsculas no estándar en los campos que el SDK aceptaría silenciosamente. Esto tenía el potencial de eludir la inspección intermedia y la inconsistencia entre implementaciones. El desenmascaramiento JSON estándar de Go fue reemplazado por un decodificador que distingue entre mayúsculas y minúsculas en el commit 7b8d81c. Se aconseja a los usuarios actualizar a la versión 1.3.1 para resolver este problema.
  • Vulnerabilidad en Web Designer de Google (CVE-2026-3223)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 14/04/2026
    Escritura arbitraria de archivos y potencial escalada de privilegios explotando la vulnerabilidad zip slip en Google Web Designer.
  • Vulnerabilidad en nest.js (CVE-2026-2293)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 14/04/2026
    Una aplicación NestJS que utiliza @nestjs/platform-fastify puede permitir la omisión del middleware de autenticación/autorización cuando las opciones de normalización de rutas de Fastify están habilitadas. Este problema afecta a nest.Js: 11.1.13.