Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en PJSIP (CVE-2022-39269)
    Severidad: CRÍTICA
    Fecha de publicación: 06/10/2022
    Fecha de última actualización: 06/05/2026
    PJSIP es una librería de comunicación multimedia gratuita y de código abierto escrita en C. Cuando procesa determinados paquetes, PJSIP puede cambiar incorrectamente de usar el transporte de medios SRTP a usar RTP básico al reiniciar SRTP, causando que los medios sean enviados de forma no segura. La vulnerabilidad afecta a todos los usuarios de PJSIP que usan SRTP. El parche está disponible como commit d2acb9a en la rama maestra del proyecto y será incluida en versión 2.13. Se recomienda a usuarios aplicar el parche manualmente o actualizar. No se presentan mitigaciones conocidas para esta vulnerabilidad
  • Vulnerabilidad en PJSIP (CVE-2022-24763)
    Severidad: ALTA
    Fecha de publicación: 30/03/2022
    Fecha de última actualización: 06/05/2026
    PJSIP es una biblioteca de comunicación multimedia gratuita y de código abierto escrita en lenguaje C. Las versiones 2.12 y anteriores contienen una vulnerabilidad de denegación de servicio que afecta a usuarios de PJSIP que consumen el análisis XML de PJSIP en sus aplicaciones. Es recomendado a usuarios actualizar. No se presentan medidas de mitigación conocidas
  • Vulnerabilidad en OpenClaw (CVE-2026-28474)
    Severidad: CRÍTICA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 06/05/2026
    Las versiones del plugin Nextcloud Talk de OpenClaw anteriores a la 2026.2.6 aceptan la coincidencia de igualdad en el campo mutable del nombre de visualización actor.name para la validación de listas de permitidos, lo que permite a los atacantes eludir las listas de permitidos de MD y salas. Un atacante puede cambiar su nombre de visualización de Nextcloud para que coincida con un ID de usuario en la lista de permitidos y obtener acceso no autorizado a conversaciones restringidas.
  • Vulnerabilidad en ePower (CVE-2026-22552)
    Severidad: CRÍTICA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 06/05/2026
    Los puntos finales WebSocket carecen de mecanismos de autenticación adecuados, lo que permite a los atacantes realizar suplantación de estación no autorizada y manipular datos enviados al backend. Un atacante no autenticado puede conectarse al punto final WebSocket de OCPP utilizando un identificador de estación de carga conocido o descubierto, luego emitir o recibir comandos OCPP como un cargador legítimo. Dado que no se requiere autenticación, esto puede conducir a la escalada de privilegios, control no autorizado de la infraestructura de carga y corrupción de los datos de la red de carga informados al backend.
  • Vulnerabilidad en ePower (CVE-2026-24912)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 06/05/2026
    El backend de WebSocket utiliza identificadores de estaciones de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación resulta en identificadores de sesión predecibles y permite el secuestro o sombreado de sesión, donde la conexión más reciente desplaza a la estación de carga legítima y recibe comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir a un actor malicioso causar una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas.
  • Vulnerabilidad en ePower (CVE-2026-27778)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 06/05/2026
    La Interfaz de Programación de Aplicaciones WebSocket carece de restricciones sobre el número de solicitudes de autenticación. Esta ausencia de limitación de velocidad puede permitir a un atacante realizar ataques de denegación de servicio suprimiendo o redirigiendo erróneamente la telemetría legítima del cargador, o realizar ataques de fuerza bruta para obtener acceso no autorizado.
  • Vulnerabilidad en api.everon.io de Everon (CVE-2026-20748)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 06/05/2026
    El backend de WebSocket utiliza identificadores de estaciones de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación resulta en identificadores de sesión predecibles y permite el secuestro de sesión o sombreado, donde la conexión más reciente desplaza a la estación de carga legítima y recibe comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir a un actor malicioso causar una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas.
  • Vulnerabilidad en api.everon.io de Everon (CVE-2026-24696)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 06/05/2026
    La Interfaz de Programación de Aplicaciones WebSocket carece de restricciones sobre el número de solicitudes de autenticación. Esta ausencia de limitación de velocidad puede permitir a un atacante realizar ataques de denegación de servicio suprimiendo o redirigiendo erróneamente la telemetría legítima del cargador, o realizar ataques de fuerza bruta para obtener acceso no autorizado.
  • Vulnerabilidad en api.everon.io de Everon (CVE-2026-26288)
    Severidad: CRÍTICA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 06/05/2026
    Los puntos finales WebSocket carecen de mecanismos de autenticación adecuados, lo que permite a los atacantes realizar suplantación de estación no autorizada y manipular datos enviados al backend. Un atacante no autenticado puede conectarse al punto final WebSocket de OCPP utilizando un identificador de estación de carga conocido o descubierto, luego emitir o recibir comandos OCPP como un cargador legítimo. Dado que no se requiere autenticación, esto puede llevar a la escalada de privilegios, control no autorizado de la infraestructura de carga y corrupción de los datos de la red de carga reportados al backend.
  • Vulnerabilidad en MobaXterm de Mobatek (CVE-2026-25866)
    Severidad: ALTA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 06/05/2026
    Las versiones de MobaXterm anteriores a la 26.1 contienen una vulnerabilidad de elemento de ruta de búsqueda descontrolada. La aplicación llama a WinExec para ejecutar Notepad++ sin una ruta de ejecutable completamente calificada al abrir archivos remotos. Un atacante puede explotar el comportamiento de la ruta de búsqueda al colocar un ejecutable malicioso antes en el orden de búsqueda, lo que resulta en ejecución de código arbitrario en el contexto del usuario afectado.
  • Vulnerabilidad en dirigera de ikea (CVE-2026-3588)
    Severidad: ALTA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 06/05/2026
    Una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en IKEA Dirigera v2.866.4 permite a un atacante exfiltrar claves privadas enviando una petición manipulada.
  • Vulnerabilidad en Archer AXE75 v1.6/v1.0 de TP-Link Systems Inc. (CVE-2025-15568)
    Severidad: ALTA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 06/05/2026
    Se identificó una vulnerabilidad de inyección de comandos en el módulo web del router Archer AXE75 v1.6/v1.0. Un atacante autenticado con acceso a la red adyacente podría realizar ejecución remota de código (RCE) cuando el router está configurado con sysmode=ap. La explotación exitosa resulta en privilegios a nivel de root e impacta la confidencialidad, integridad y disponibilidad del dispositivo. Este problema afecta a Archer AXE75 v1.6/v1.0: hasta la versión 1.3.2 Build 20250107.
  • Vulnerabilidad en mscdex ssh2 (CVE-2025-70034)
    Severidad: ALTA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 06/05/2026
    Un problema relacionado con CWE-1333: Complejidad de Expresión Regular Ineficiente (4.19) fue descubierto en mscdex ssh2 v1.17.0.
  • Vulnerabilidad en Chargeportal de CTEK (CVE-2026-25192)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 06/05/2026
    Los puntos finales WebSocket carecen de mecanismos de autenticación adecuados, lo que permite a los atacantes realizar suplantación de estación no autorizada y manipular datos enviados al backend. Un atacante no autenticado puede conectarse al punto final WebSocket OCPP utilizando un identificador de estación de carga conocido o descubierto, luego emitir o recibir comandos OCPP como un cargador legítimo. Dado que no se requiere autenticación, esto puede llevar a la escalada de privilegios, control no autorizado de la infraestructura de carga y corrupción de los datos de la red de carga informados al backend.
  • Vulnerabilidad en Chargeportal (CVE-2026-27649)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 06/05/2026
    El backend de WebSocket utiliza identificadores de estación de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación resulta en identificadores de sesión predecibles y permite el secuestro de sesión o shadowing, donde la conexión más reciente desplaza a la estación de carga legítima y recibe comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir que un actor malicioso cause una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas.
  • Vulnerabilidad en Chargeportal de CTEK (CVE-2026-31904)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 06/05/2026
    La Interfaz de Programación de Aplicaciones WebSocket carece de restricciones sobre el número de solicitudes de autenticación. Esta ausencia de limitación de velocidad puede permitir a un atacante llevar a cabo ataques de denegación de servicio suprimiendo o redirigiendo erróneamente la telemetría legítima del cargador, o llevar a cabo ataques de fuerza bruta para obtener acceso no autorizado.
  • Vulnerabilidad en Plack::Middleware::Session::Cookie de MIYAGAWA (CVE-2014-125112)
    Severidad: CRÍTICA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 06/05/2026
    Las versiones de Plack::Middleware::Session::Cookie hasta la 0.21 para Perl permiten la ejecución remota de código. Las versiones de Plack::Middleware::Session::Cookie hasta la 0.21 tienen una vulnerabilidad de seguridad que permite a un atacante ejecutar código arbitrario en el servidor durante la deserialización de los datos de la cookie, cuando no se utiliza ningún secreto para firmar la cookie.