Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la autenticación en Online Reviewer System (CVE-2021-27130)
    Severidad: CRÍTICA
    Fecha de publicación: 14/04/2021
    Fecha de última actualización: 14/04/2026
    Online Reviewer System versión 1.0, contiene una vulnerabilidad de inyección SQL por medio de una omisión de autenticación, que puede conllevar a una carga de shell inversa
  • Vulnerabilidad en un archivo PHP en Sourcecodester Online Reviewer System (CVE-2021-41646)
    Severidad: CRÍTICA
    Fecha de publicación: 29/10/2021
    Fecha de última actualización: 14/04/2026
    Se presenta una vulnerabilidad de ejecución de código remota (RCE) en Sourcecodester Online Reviewer System versión 1.0, al cargar un archivo PHP diseñado de forma maliciosa que omite los filtros de carga de imágenes
  • Vulnerabilidad en ASP.NET Core Kestrel de Microsoft .NET (CVE-2026-25667)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 14/04/2026
    ASP.NET Core Kestrel en Microsoft .NET 8.0 antes de 8.0.22 y .NET 9.0 antes de 9.0.11 permite a un atacante remoto causar un consumo excesivo de CPU mediante el envío de un paquete QUIC manipulado, debido a una condición de salida incorrecta para el procesamiento de flujo del codificador/decodificador HTTP/3.
  • Vulnerabilidad en SysAK (CVE-2024-44722)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    SysAK v2.0 y versiones anteriores son vulnerables a la ejecución de comandos a través de «aaa;cat /etc /passwd».
  • Vulnerabilidad en Terrapack software (CVE-2025-67260)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    El software Terrapack, de ASTER TEC / ASTER S.p.A., con los componentes y versiones indicados tiene una vulnerabilidad de carga de archivos que puede permitir a los atacantes ejecutar código arbitrario. Los componentes vulnerables incluyen Terrapack TkWebCoreNG:: 1.0.20200914, Terrapack TKServerCGI 2.5.4.150 y Terrapack TpkWebGIS Cliente 1.0.0.
  • Vulnerabilidad en Millie chat de 1millionbot (CVE-2026-4400)
    Severidad: ALTA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 14/04/2026
    Vulnerabilidad de Referencia Directa a Objeto Insegura (IDOR) en el chat Millie de 1millionbot que permite visualizar conversaciones privadas de otros usuarios simplemente cambiando el ID de la conversación. La vulnerabilidad está presente en el endpoint 'api.1millionbot.com/api/public/conversations/' y, si se explota, podría permitir a un atacante remoto acceder a conversaciones privadas de chatbot de otros usuarios, revelando datos sensibles o confidenciales sin requerir credenciales ni suplantar la identidad de los usuarios. Para que la vulnerabilidad pueda ser explotada, el atacante debe tener el ID de conversación del usuario.