Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en libjxl (CVE-2026-1837)
    Severidad: ALTA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 14/04/2026
    Un archivo especialmente diseñado puede provocar que el decodificador de libjxl escriba datos de píxeles en memoria no asignada no inicializada. Poco después, datos de otra región no asignada no inicializada se copian a los datos de píxeles. Esto puede hacerse al solicitar una transformación de color de imágenes en escala de grises a otro espacio de color en escala de grises. Búferes asignados para 1 flotante por píxel se utilizan como si estuvieran asignados para 3 flotantes por píxel. Esto ocurre solo si se utiliza LCMS2 como motor CMS. Hay otro motor CMS disponible (seleccionado mediante indicadores de compilación).
  • Vulnerabilidad en Windmill Exposes Workspace (CVE-2026-26964)
    Severidad: BAJA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 14/04/2026
    Windmill es una plataforma de desarrollo de código abierto para código interno: APIs, trabajos en segundo plano, flujos de trabajo e interfaces de usuario. Las versiones 1.634.6 y anteriores permiten a los usuarios no administradores obtener secretos de cliente de Slack OAuth, que solo deberían ser accesibles para los administradores del espacio de trabajo. El endpoint GET /api/w/{workspace}/workspaces/get_settings devuelve el slack_oauth_client_secret a cualquier miembro autenticado del espacio de trabajo, independientemente de su estado de administrador. Es un comportamiento esperado que los usuarios no administradores vean una versión redactada de la configuración del espacio de trabajo, ya que algunos de ellos son necesarios para que el frontend se comporte correctamente incluso para los no administradores. Sin embargo, la configuración de Slack no debería ser visible para los no administradores. Este es un problema heredado donde la configuración se almacenaba como un valor sin formato en lugar de usar la indirección de $variable, y nunca se añadió a la lógica de redacción. Este problema ha sido solucionado en la versión 1.635.0.
  • Vulnerabilidad en Model Context Protocol Servers (CVE-2026-27735)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 14/04/2026
    Servidores de Protocolo de Contexto de Modelo es una colección de implementaciones de referencia para el protocolo de contexto de modelo (MCP). En versiones de mcp-server-git anteriores a 2026.1.14, la herramienta git_add no validaba que las rutas de archivo proporcionadas en el argumento files estuvieran dentro de los límites del repositorio. Debido a que la herramienta utilizaba repo.index.add() de GitPython en lugar de la CLI de Git, las rutas relativas que contenían secuencias '../' que se resolvían fuera del repositorio eran aceptadas y preparadas en el índice de Git. Se aconseja a los usuarios que actualicen a la versión 2026.1.14 o posterior para solucionar este problema.
  • Vulnerabilidad en QNAP Systems Inc. (CVE-2025-59383)
    Severidad: BAJA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    Se ha informado de una vulnerabilidad de desbordamiento de búfer que afecta a Media Streaming Add-On. Los atacantes remotos pueden entonces explotar la vulnerabilidad para modificar la memoria o bloquear procesos. Ya hemos corregido la vulnerabilidad en la siguiente versión: Media Streaming Add-on 500.1.1 y posteriores
  • Vulnerabilidad en php_api_doc de XinLiangCoder (CVE-2026-32844)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    XinLiangCoder php_api_doc a través del commit 1ce5bbf contiene una vulnerabilidad de cross-site scripting reflejado en list_method.php que permite a atacantes remotos ejecutar JavaScript arbitrario en el navegador de una víctima inyectando código malicioso a través del parámetro f. Los atacantes pueden crear una URL maliciosa con entrada no saneada en el parámetro de solicitud GET que se muestra directamente en la página sin la neutralización adecuada, lo que permite el secuestro de sesión, el robo de credenciales o la distribución de malware dentro del contexto de la aplicación.
  • Vulnerabilidad en Grafana OSS (CVE-2026-21724)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 14/04/2026
    Se ha descubierto una vulnerabilidad en Grafana OSS donde una omisión de autorización en la API de puntos de contacto de aprovisionamiento permite a los usuarios con rol de Editor modificar URLs de webhook protegidas sin el permiso requerido alert.notifications.receivers.protected:write.
  • Vulnerabilidad en openfga (CVE-2026-33729)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 14/04/2026
    OpenFGA es un motor de autorización/permisos de alto rendimiento y flexible, construido para desarrolladores e inspirado en Google Zanzibar. En versiones anteriores a la 1.13.1, bajo condiciones específicas, los modelos que usan condiciones con el almacenamiento en caché habilitado pueden resultar en que dos solicitudes de verificación diferentes produzcan la misma clave de caché. Esto puede resultar en que OpenFGA reutilice un resultado previamente almacenado en caché para una solicitud diferente. Los usuarios se ven afectados si el modelo tiene relaciones que dependen de la evaluación de condiciones y el almacenamiento en caché está habilitado. OpenFGA v1.13.1 contiene un parche.
  • Vulnerabilidad en Tautulli (CVE-2026-31804)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 14/04/2026
    Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Server. Antes de la versión 2.17.0, el endpoint /pms_image_proxy acepta un parámetro 'img' proporcionado por el usuario y lo reenvía al transcodificador /photo/:/ transcode de Plex Media Server sin autenticación y sin restringir el esquema o el host. El endpoint está intencionalmente excluido de todas las comprobaciones de autenticación en webstart.py, cualquier valor de 'img' que comience con HTTP se pasa directamente a Plex, esto hace que el proceso de Plex Media Server, que normalmente se ejecuta en el mismo host o red interna que Tautulli, con acceso al espacio de direcciones RFC-1918, emita una solicitud HTTP saliente a cualquier URL especificada por el atacante. Este problema ha sido parcheado en la versión 2.17.0.
  • Vulnerabilidad en Glance de OpenStack (CVE-2026-34881)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 14/04/2026
    OpenStack Glance <29.1.1, >=30.0.0 <30.1.1, ==31.0.0 se ve afectado por Falsificación de Petición del Lado del Servidor (SSRF). Mediante el uso de redirecciones HTTP, un usuario autenticado puede eludir las comprobaciones de validación de URL y redirigir a servicios internos. Solo la funcionalidad de importación de imágenes de Glance se ve afectada. En particular, los métodos de importación web-download y glance-download están sujetos a esta vulnerabilidad, al igual que el plugin de importación de imágenes ovf_process opcional (no habilitado por defecto).