Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Ejecución de código remoto en Nginx-UI de Nginx
  • Múltiples vulnerabilidades en CashDro 3

Ejecución de código remoto en Nginx-UI de Nginx

Fecha07/05/2026
Importancia5 - Crítica
Recursos Afectados

Versiones de Nginx-UI inferiores a la 2.3.8.

Descripción

Captain99hook ha descubierto una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante la ejecución remota de código.

Solución

El fabricante recomienda actualizar a la versión 2.3.8.

Detalle

CVE-2026-42238: ejecución remota de código debido a que exponen un endpoint de restauración de copias de seguridad (POST /api/restore) que no requiere autenticación durante los primeros 10 minutos después del inicio del proceso en cualquier instalación nueva. Un atacante remoto, no autenticado, puede cargar un archivo de copia de seguridad  manipulado que sobrescribe el archivo de configuración de la aplicación (app.ini) y la base de datos de SQLite. Dado que el atacante controla el archivo app.ini restaurado, podría realizar ejecución de código remoto en la configuración de TestConfigCmd

El periodo de los 10 minutos sin autenticación se restablece con cada reinicio del proceso, lo que permite explotar esta vulnerabilidad no solo en las implementaciones iniciales, sino también en cualquier evento de reinicio (actualización, reinicio de contenedor).

Múltiples vulnerabilidades en CashDro 3

Fecha07/05/2026
Importancia5 - Crítica
Recursos Afectados

Panel de administración de CashDro 3: versión 24.01.00.26.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, una de severidad crítica y otra de severidad alta, que afectan al panel de administración web de CashDro 3, cajón inteligente para la gestión de efectivo. Las vulnerabilidades han sido descubiertas por Pedro Gabaldón Juliá, Javier Medina Munuera, David Montoro Aguilera, Javier Ayala Ortín y Pedro Castillo Torío.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-8076: CVSS v4.0: 9.1 | CVSS  AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-1391
  • CVE-2026-8077: CVSS v4.0: 8.8 | CVSS  AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-862
Solución

La nueva versión de Cashdro permite un PIN alfanumérico, quedando solventada la primera vulnerabilidad.

Detalle
  • CVE-2026-8076: credenciales débiles en el panel de administración web de CashDro 3, versión 24.01.00.26, en la que la plataforma se basa exclusivamente en códigos PIN numéricos para la autenticación de usuarios. El sistema obliga a utilizar credenciales basadas en PIN que no pueden reforzarse ni sustituirse por contraseñas complejas. Esto podría permitir a un atacante realizar fácilmente un ataque de fuerza bruta contra un usuario y obtener acceso probando diferentes PIN sin que se bloquee la cuenta. La explotación exitosa de esta vulnerabilidad podría dar lugar a un acceso no autorizado a ajustes de configuración confidenciales, lo que comprometería la seguridad del sistema.
  • CVE-2026-8077: ausencia de una aplicación adecuada de la autorización en el panel de administración web de CashDro 3, versión 24.01.00.26. El backend carece de controles de autorización, delegando la seguridad exclusivamente al frontend. Al modificar la cadena binaria del campo 'Permissions' en la respuesta JSON, un atacante podría escalar privilegios y obtener acceso administrativo total. Esta vulnerabilidad permite eludir todas las restricciones y comprometer por completo la gestión del sistema.