Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Intel(R) Graphics Software (CVE-2025-32092)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 20/04/2026
    Permisos heredados inseguros para algunos softwares gráficos Intel(R) anteriores a la versión 25.30.1702.0 dentro del Anillo 3: Aplicaciones de Usuario pueden permitir una escalada de privilegios. Un adversario de software sin privilegios con un usuario autenticado combinado con un ataque de alta complejidad puede permitir la escalada de privilegios. Este resultado puede ocurrir potencialmente a través de acceso local cuando los requisitos de ataque están presentes sin conocimiento interno especial y requiere interacción activa del usuario. La potencial vulnerabilidad puede impactar la confidencialidad (alta), integridad (alta) y disponibilidad (alta) del sistema vulnerable, resultando en impactos subsiguientes en la confidencialidad (ninguno), integridad (ninguno) y disponibilidad (ninguno) del sistema.
  • Vulnerabilidad en Intel(R) Graphics Driver software (CVE-2025-32453)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 20/04/2026
    Permisos predeterminados incorrectos para algunos softwares del controlador de gráficos Intel(R) dentro del Anillo 2: Proceso Privilegiado pueden permitir una escalada de privilegios. Un adversario de software sin privilegios con un usuario autenticado combinado con un ataque de alta complejidad puede habilitar la escalada de privilegios. Este resultado puede ocurrir potencialmente a través de acceso local cuando los requisitos de ataque están presentes sin conocimiento interno especial y requiere interacción activa del usuario. La potencial vulnerabilidad puede impactar la confidencialidad (alta), integridad (alta) y disponibilidad (alta) del sistema vulnerable, resultando en subsiguientes impactos en la confidencialidad (ninguno), integridad (ninguno) y disponibilidad (ninguno) del sistema.
  • Vulnerabilidad en Intel(R) Graphics Drivers e Intel LTS kernels (CVE-2025-32739)
    Severidad: BAJA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 20/04/2026
    Comprobación de condiciones incorrecta en algún firmware para algunos controladores gráficos Intel(R) y kernels Intel LTS dentro del Anillo 1: Controladores de Dispositivo puede permitir una denegación de servicio. Un adversario de software sin privilegios con un usuario autenticado combinado con un ataque de alta complejidad puede habilitar la denegación de servicio. Este resultado puede ocurrir potencialmente a través de acceso local cuando los requisitos de ataque están presentes con conocimiento interno especial y no requiere interacción del usuario. La vulnerabilidad potencial puede impactar la confidencialidad (ninguna), la integridad (ninguna) y la disponibilidad (baja) del sistema vulnerable, lo que resulta en impactos posteriores en la confidencialidad (ninguna), la integridad (ninguna) y la disponibilidad (ninguna) del sistema.
  • Vulnerabilidad en C1 Pro de Arm (CVE-2026-0995)
    Severidad: BAJA
    Fecha de publicación: 02/03/2026
    Fecha de última actualización: 20/04/2026
    Se ha identificado un problema en Arm C1-Pro anterior a r1p2-50eac0, donde, bajo ciertas condiciones, un TLBI+DSB podría fallar en garantizar la finalización de los accesos a memoria relacionados con SME.
  • Vulnerabilidad en Talishar (CVE-2026-28428)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 20/04/2026
    Talishar es un proyecto de Flesh and Blood creado por fans. Antes del commit a9c218e, una vulnerabilidad de omisión de autenticación en la lógica de validación del endpoint de juego de Talishar permite a cualquier atacante no autenticado realizar acciones de juego autenticadas — incluyendo el envío de mensajes de chat y la introducción de entradas de juego — al proporcionar un parámetro authKey vacío (authKey=). La validación del lado del servidor utiliza una comparación laxa que acepta una cadena vacía como credencial válida, mientras que rechaza correctamente las claves no vacías pero incorrectas. Esta asimetría significa que el mecanismo de autenticación puede ser completamente omitido sin conocer ningún token válido. Este problema ha sido parcheado en el commit a9c218e.
  • Vulnerabilidad en Talishar (CVE-2026-28429)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 20/04/2026
    Talishar es un proyecto de Flesh and Blood creado por fans. Antes del commit 6be3871, una vulnerabilidad de salto de ruta fue identificada en el parámetro gameName. Aunque los puntos de entrada principales de la aplicación implementan validación de entrada, el componente ParseGamestate.PHP puede ser accedido directamente como un script independiente. En este escenario, la ausencia de saneamiento interno permite que secuencias de salto de directorio (p. ej., ../) sean procesadas, lo que podría llevar a un acceso no autorizado a archivos. Este problema ha sido parcheado en el commit 6be3871.
  • Vulnerabilidad en LAPSWebUI de Truesec (CVE-2025-15552)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/04/2026
    Expiración de sesión insuficiente en LAPSWebUI de Truesec anterior a la versión 2.4 permite a un atacante con acceso a una estación de trabajo escalar sus privilegios mediante la divulgación de la contraseña de administrador local.
  • Vulnerabilidad en LAPSWebUI de Truesec (CVE-2025-15553)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 20/04/2026
    La funcionalidad de cierre de sesión no operativa en LAPSWebUI de Truesec antes de la versión 2.4 permite a un atacante con acceso a una estación de trabajo escalar sus privilegios mediante la divulgación de la contraseña de administrador local.
  • Vulnerabilidad en Red Hat (CVE-2026-4887)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 20/04/2026
    Se encontró una vulnerabilidad en GIMP. Este problema es una lectura excesiva de búfer de pila en el cargador de archivos PCX de GIMP debido a un error de uno. Un atacante remoto podría explotar esto al convencer a un usuario de abrir una imagen PCX especialmente diseñada. La explotación exitosa podría llevar a la divulgación de memoria fuera de límites y a un posible fallo de la aplicación, lo que resultaría en una denegación de servicio (DoS).