Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en MOVEit Automation
  • Boletín de seguridad de Android: mayo de 2026

Múltiples vulnerabilidades en MOVEit Automation

Fecha05/05/2026
Importancia5 - Crítica
Recursos Afectados
  • MOVEit Automation, versión 2025.1.4 y anteriores;
  • MOVEit Automation, versión 2025.0.8 y anteriores;
  • MOVEit Automation, versión 2024.1.7 y anteriores.
Descripción

Anaïs Gantet, Delphine Gourdou, Quentin Liddell y Matteo Ricordeau del Airbus SecLab han descubierto 2 vulnerabilidades, una de severidad crítica y otra alta que, en caso de ser explotadas, podrían permitir la omisión de la autenticación y la escalada de privilegios; permitiendo el acceso no autorizado, control del sistema a nivel del administrador y el acceso a información.

Solución

Actualizar el producto a alguna de las siguientes versiones:

  • MOVEit Automation, versión 2025.1.5;
  • MOVEit Automation, versión 2025.0.9;
  • MOVEit Automation, versión 2024.1.8.
Detalle

Las vulnerabilidades son las siguientes y se explotan a través de las interfaces del puerto de comandos del backend del servicio:

  • CVE-2026-4670: Evitación de autenticación por una vulnerabilidad principal.
  • CVE-2026-5174: Validación incorrecta de la entrada permite la escalada de privilegios.

Boletín de seguridad de Android: mayo de 2026

Fecha05/05/2026
Importancia5 - Crítica
Recursos Afectados
  • Android Open Source Project (AOSP): versiones 14, 15, 16, 16-qpr2 (System);
  • Google Play, subcomponente: adbd.
Descripción

El boletín de Android, relativo al mes de mayo de 2026, soluciona una vulnerabilidad de severidad crítica que afecta a su sistema operativo, que podría provocar ejecución remota de código.

Solución

En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlo.

Puede consultar cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En el caso de seguir con esta guía y no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.

Detalle

CVE-2026-0073: En adbd_tls_verify_cert de auth.cpp, existe una posible derivación de autenticación mutua ADB inalámbrica debido a un error lógico en el código; esto podría provocar la ejecución de código remoto (próximo o adyacente) como usuario de shell sin necesidad de privilegios de ejecución adicionales. No se necesita la interacción del usuario para la explotación.