Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Quest KACE Systems Management Appliance (CVE-2025-32975)
    Severidad: CRÍTICA
    Fecha de publicación: 24/06/2025
    Fecha de última actualización: 21/04/2026
    Quest KACE Systems Management Appliance (SMA) 13.0.x (anterior a la 13.0.385), 13.1.x (anterior a la 13.1.81), 13.2.x (anterior a la 13.2.183), 14.0.x (anterior a la 14.0.341 [Parche 5]) y 14.1.x (anterior a la 14.1.101 [Parche 4]) contienen una vulnerabilidad de omisión de autenticación que permite a los atacantes suplantar la identidad de usuarios legítimos sin credenciales válidas. Esta vulnerabilidad se encuentra en el mecanismo de gestión de la autenticación SSO y puede provocar la toma de control administrativo completo.
  • Vulnerabilidad en OpenDeck de nekename (CVE-2026-28427)
    Severidad: MEDIA
    Fecha de publicación: 04/03/2026
    Fecha de última actualización: 21/04/2026
    OpenDeck es un software de Linux para tu Elgato Stream Deck. Antes de la 2.8.1, el servicio que escucha en el puerto 57118 sirve archivos estáticos para los plugins instalados, pero no sanea correctamente los componentes de la ruta. Al incluir secuencias ../ en la ruta de la solicitud, un atacante puede atravesar fuera del directorio previsto y leer cualquier archivo al que OpenDeck pueda acceder. Esta vulnerabilidad se corrige en la versión 2.8.1.
  • Vulnerabilidad en XWiki (CVE-2025-66024)
    Severidad: ALTA
    Fecha de publicación: 04/03/2026
    Fecha de última actualización: 21/04/2026
    La aplicación de blog XWiki permite a los usuarios de la plataforma XWiki crear y gestionar publicaciones de blog. Las versiones anteriores a la 9.15.7 son vulnerables a Cross-Site Scripting Almacenado (XSS) a través del Título de la Publicación del Blog. La vulnerabilidad surge porque el título de la publicación se inyecta directamente en la etiqueta HTML sin el escape adecuado. Un atacante con permisos para crear o editar publicaciones de blog puede inyectar JavaScript malicioso en el campo del título. Este script se ejecutará en el navegador de cualquier usuario (incluidos los administradores) que vea la publicación del blog. Esto lleva a un posible secuestro de sesión o escalada de privilegios. La vulnerabilidad ha sido parcheada en la versión 9.15.7 de la aplicación de blog añadiendo el escape faltante. No hay soluciones alternativas conocidas disponibles.
  • Vulnerabilidad en LangGraph (CVE-2026-28277)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 21/04/2026
    LangGraph SQLite Checkpoint es una implementación de LangGraph CheckpointSaver que utiliza una base de datos SQLite (tanto síncrona como asíncrona, a través de aiosqlite). En la versión 1.0.9 y anteriores, los checkpointers de LangGraph pueden cargar checkpoints codificados en msgpack que reconstruyen objetos Python durante la deserialización. Si un atacante puede modificar los datos del checkpoint en el almacén de respaldo (por ejemplo, después de un compromiso de la base de datos u otro acceso de escritura privilegiado a la capa de persistencia), pueden suministrar potencialmente una carga útil manipulada que desencadene una reconstrucción insegura de objetos cuando se carga el checkpoint. No se conoce ningún parche público.
  • Vulnerabilidad en NLTK (CVE-2026-0848)
    Severidad: CRÍTICA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 21/04/2026
    Las versiones de NLTK <=3.9.2 son vulnerables a ejecución de código arbitrario debido a una validación de entrada inadecuada en el módulo StanfordSegmenter. El módulo carga dinámicamente archivos .jar de Java externos sin verificación ni sandboxing. Un atacante puede suministrar o reemplazar el archivo JAR, permitiendo la ejecución de bytecode Java arbitrario en el momento de la importación. Esta vulnerabilidad puede ser explotada a través de métodos como el envenenamiento de modelos, ataques MitM o el envenenamiento de dependencias, lo que lleva a ejecución remota de código. El problema surge de la ejecución directa del archivo JAR a través de un subproceso con entrada de classpath no validada, permitiendo que clases maliciosas se ejecuten cuando son cargadas por la JVM.
  • Vulnerabilidad en OpenClaw (CVE-2026-28476)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 21/04/2026
    Las versiones de OpenClaw anteriores a 2026.2.14 contienen una vulnerabilidad de falsificación de petición del lado del servidor en la extensión opcional Tlon Urbit que acepta URL base proporcionadas por el usuario para autenticación sin la validación adecuada. Los atacantes que pueden influir en la URL de Urbit configurada pueden inducir a la pasarela a realizar peticiones HTTP a hosts arbitrarios, incluyendo direcciones internas.
  • Vulnerabilidad en IRRd (CVE-2026-28681)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 21/04/2026
    Demonio de Internet Routing Registry versión 4 es un servidor de base de datos IRR, que procesa objetos IRR en formato RPSL. Desde la versión 4.4.0 hasta antes de la versión 4.4.5 y desde la versión 4.5.0 hasta antes de la versión 4.5.1, un atacante puede manipular el encabezado HTTP Host en una solicitud de restablecimiento de contraseña o creación de cuenta. El enlace de confirmación en el correo electrónico resultante puede entonces apuntar a un dominio controlado por el atacante. Abrir el enlace en el correo electrónico es suficiente para pasar el token al atacante, quien puede entonces usarlo en la instancia real de IRRD para tomar control de la cuenta. Una cuenta comprometida puede entonces ser utilizada para modificar objetos RPSL mantenidos por los mntners de la cuenta y realizar otras acciones de la cuenta. Si el usuario tenía la autenticación de dos factores configurada, lo cual es requerido para usuarios con acceso de anulación, un atacante no puede iniciar sesión, incluso después de restablecer la contraseña con éxito. Este problema ha sido parcheado en las versiones 4.4.5 y 4.5.1.
  • Vulnerabilidad en net/url de Go standard library (CVE-2026-25679)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 21/04/2026
    url.Parse validó insuficientemente el componente de host/autoridad y aceptó algunas URL inválidas.
  • Vulnerabilidad en crypto/x509 de Go standard library (CVE-2026-27137)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 21/04/2026
    Al verificar una cadena de certificados que contiene un certificado con múltiples restricciones de dirección de correo electrónico que comparten porciones locales comunes pero porciones de dominio diferentes, estas restricciones no se aplicarán correctamente, y solo la última restricción será considerada.
  • Vulnerabilidad en crypto/x509 de Go standard library (CVE-2026-27138)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 21/04/2026
    La verificación de certificados puede entrar en pánico cuando un certificado en la cadena tiene un nombre DNS vacío y otro certificado en la cadena tiene restricciones de nombre excluidas. Esto puede bloquear programas que están verificando directamente cadenas de certificados X.509, o aquellos que usan TLS.
  • Vulnerabilidad en Unix (CVE-2026-27139)
    Severidad: BAJA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 21/04/2026
    En plataformas Unix, al listar el contenido de un directorio usando File.ReadDir o File.Readdir, el FileInfo devuelto podría hacer referencia a un archivo fuera de la Raíz en la que se abrió el Archivo. El impacto de este escape se limita a la lectura de metadatos proporcionados por lstat desde ubicaciones arbitrarias en el sistema de archivos sin permitir la lectura o escritura de archivos fuera de la raíz.
  • Vulnerabilidad en html/template de Go standard library (CVE-2026-27142)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 21/04/2026
    Acciones que insertan URLs en el atributo content de las etiquetas meta HTML no se escapan. Esto puede permitir XSS si la etiqueta meta también tiene un atributo http-equiv con el valor 'refresh'. Se ha añadido una nueva configuración GODEBUG, htmlmetacontenturlescape, que se puede usar para deshabilitar el escape de URLs en acciones en el atributo content de las etiquetas meta que siguen a 'url=' al establecer htmlmetacontenturlescape=0.
  • Vulnerabilidad en backstage (CVE-2026-29184)
    Severidad: BAJA
    Fecha de publicación: 07/03/2026
    Fecha de última actualización: 21/04/2026
    Backstage es un framework abierto para construir portales de desarrolladores. Antes de la versión 3.1.4, una plantilla de andamiaje maliciosa puede eludir el mecanismo de redacción de registros para exfiltrar secretos proporcionados que se ejecutan a través de los registros de eventos de tareas. Este problema ha sido parcheado en la versión 3.1.4.
  • Vulnerabilidad en Git para Windows (CVE-2025-66413)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 21/04/2026
    Git para Windows es el puerto de Windows de Git. Antes de 2.53.0(2), es posible obtener el hash NTLM de un usuario engañándolos para que clonen de un servidor malicioso. Dado que el hashing NTLM es débil, es posible para el atacante forzar por fuerza bruta el nombre de cuenta y la contraseña del usuario. Esta vulnerabilidad está corregida en 2.53.0(2).
  • Vulnerabilidad en libexif (CVE-2026-32775)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 21/04/2026
    libexif hasta 0.6.25 tiene una falla en la decodificación de MakerNotes. Si a la función exif_mnote_data_get_value se le pasa un tamaño de 0, el búfer pasado sería sobrescrito debido a un subdesbordamiento de enteros.
  • Vulnerabilidad en clearancekit de craigjbass (CVE-2026-33632)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 21/04/2026
    ClearanceKit intercepta eventos de acceso al sistema de archivos en macOS y aplica políticas de acceso por proceso. Antes de la versión 4.2.4, dos tipos de eventos de operación de archivo — ES_EVENT_TYPE_AUTH_EXCHANGEDATA y ES_EVENT_TYPE_AUTH_CLONE — no eran interceptados por la extensión de sistema opfilter de ClearanceKit, permitiendo que los procesos locales eludieran las políticas de acceso a archivos. El commit 6181c4a corrige la vulnerabilidad al suscribirse a ambos tipos de eventos y enrutándolos a través del evaluador de políticas existente. Los usuarios deben actualizar a la v4.2.4 o posterior y reactivar la extensión de sistema.