Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en D-Link DIR-1253 MESH (CVE-2025-29165)
    Severidad: CRÍTICA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 06/05/2026
    Un problema en D-Link DIR-1253 MESH V1.6.1684 permite a un atacante escalar privilegios a través del componente etc/shadow.sample
  • Vulnerabilidad en OpenCode Systems OC Messaging / USSD Gateway OC (CVE-2025-70614)
    Severidad: ALTA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 06/05/2026
    OpenCode Systems OC Messaging / USSD Gateway OC Release 6.32.2 contiene una vulnerabilidad de control de acceso roto en el panel de control basado en web que permite a atacantes autenticados con bajos privilegios obtener acceso a mensajes SMS arbitrarios a través de un parámetro de identificador de empresa o inquilino manipulado.
  • Vulnerabilidad en Focus for iOS de Mozilla (CVE-2026-2919)
    Severidad: MEDIA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 06/05/2026
    Scripts maliciosos podrían mostrar contenido web controlado por el atacante bajo dominios falsificados en Focus para iOS al detener una navegación _self a un puerto inválido y al activar una redirección de iframe, haciendo que la interfaz de usuario (UI) muestre un dominio de confianza sin interacción del usuario. Esta vulnerabilidad afecta a Focus para iOS < 148.2.
  • Vulnerabilidad en ingress-nginx (CVE-2026-3288)
    Severidad: ALTA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 06/05/2026
    Se descubrió un problema de seguridad en ingress-nginx donde la anotación Ingress 'nginx.ingress.kubernetes.io/rewrite-target' puede usarse para inyectar configuración en nginx. Esto puede llevar a la ejecución de código arbitrario en el contexto del controlador ingress-nginx y a la divulgación de Secrets accesibles para el controlador. (Tenga en cuenta que, en la instalación predeterminada, el controlador puede acceder a todos los Secrets de todo el clúster).
  • Vulnerabilidad en Planning Analytics Advanced Certified Containers de IBM (CVE-2025-36105)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 06/05/2026
    IBM Planning Analytics Advanced Certified Containers 3.1.0 a través de 3.1.4 podría permitir a un usuario local privilegiado obtener información sensible de las variables de entorno.
  • Vulnerabilidad en InfoSphere Data Architect de IBM (CVE-2025-36173)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 06/05/2026
    Producto(s) Afectado(s) Versión(es) InfoSphere Data Architect 9.2.1
  • Vulnerabilidad en Pentaho Data Integration and Analytics de Hitachi Vantara (CVE-2025-11158)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 06/05/2026
    Las versiones de Hitachi Vantara Pentaho Data Integration & Analytics anteriores a la 10.2.0.6, incluidas la 9.3.x y la 8.3.x, no restringen los scripts Groovy en los nuevos informes PRPT publicados por los usuarios, lo que permite la inserción de scripts arbitrarios y conduce a una RCE.
  • Vulnerabilidad en eParking.fi de IGL-Technologies (CVE-2026-31903)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 06/05/2026
    La Interfaz de Programación de Aplicaciones WebSocket carece de restricciones sobre el número de solicitudes de autenticación. Esta ausencia de limitación de velocidad puede permitir a un atacante realizar ataques de denegación de servicio suprimiendo o redirigiendo erróneamente la telemetría legítima del cargador, o realizar ataques de fuerza bruta para obtener acceso no autorizado.
  • Vulnerabilidad en eParking.fi de IGL-Technologies (CVE-2026-32663)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 06/05/2026
    El backend de WebSocket utiliza identificadores de estaciones de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación resulta en identificadores de sesión predecibles y permite el secuestro o la suplantación de sesión, donde la conexión más reciente desplaza a la estación de carga legítima y recibe comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir a un actor malicioso causar una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas.