Dos nuevos avisos de seguridad y una actualización

• CVE-2026-3318:vulnerabilidad de redireccionamiento abierto en la última versión demo de la plataforma Cradle eCommerce. La vulnerabilidad se produce en el endpoint del formulario de inicio de sesión, donde el parámetro 'returnUrl' permite el redireccionamiento, ya que la aplicación web acepta una URL como parámetro sin validarla adecuadamente. Como resultado, es posible redirigir a los usuarios desde la página web legítima a páginas externas. Un atacante puede aprovechar esta vulnerabilidad para engañar a los usuarios y redirigirlos desde una URL de confianza a una maliciosa sin su conocimiento.
• Cross-Site Scripting (XSS) reflejado en la última versión demo de la plataforma Cradle eCommerce. La entrada controlada por el usuario se refleja de forma insegura en la salida HTML. La explotación de esta vulnerabilidad permitiría a un atacante ejecutar código JavaScript arbitrario. La relación de parámetros e identificadores asignados es la siguiente:
  • CVE-2026-3319: endpoint '/collection/'.
  • CVE-2026-3320: endpoint '/product/'.

• CVE-2026-5787: una validación incorrecta de certificados en Ivanti EPMM permite a atacantes en remoto, no autenticados, simular ser host registrados de Sentry y obtener certificados de cliente válidos firmados por una autoridad de certificación.
• CVE-2026-5786: el producto realiza un control de acceso inadecuado, lo que permite a atacantes autenticados en remoto lograr acceso como administrador.
• CVE-2026-7821: la validación inadecuada de certificados permite a atacantes en remoto, no autenticados, registrar un dispositivo perteneciente a un conjunto restringido de dispositivos no registrados, lo que da lugar a la divulgación de información sobre el dispositivo EPMM y afecta a la integridad de la identidad del dispositivo recién registrado.
• CVE-2026-6973: una validación incorrecta de la entrada permite a usuarios autenticados con acceso de administrador ejecutar código en remoto.
• CVE-2026-5788: un control de acceso incorrecto permite a atacantes en remoto no autenticados invocar métodos arbitrarios.

Ivanti informa de que la vulnerabilidad CVE-2026-6973 está siendo explotada; sin embargo, para que sea posible explotarla es preciso estar autenticado como administrador. A este respecto, en enero de este año se detectaron dos vulnerabilidades en Ivanti que afectaban a la autenticación, CVE-2026-1281 y CVE-2026-1340, y para las que, como parte de la solución, se pedía rotar las credenciales; en caso de que se hayan rotado las credenciales en enero, el riesgo de que la vulnerabilidad CVE-2026-6973 pueda ser explotada se reduce.

Para más información de las vulnerabilidades CVE-2026-1281 y CVE-2026-1340 se recomienda consultar el enlace de INCIBE de las referencias.

• CVE-2026-8076: credenciales débiles en el panel de administración web de CashDro 3, versión 24.01.00.26, en la que la plataforma permite el uso de códigos PIN numéricos para la autenticación de usuarios. El sistema soporta la utilización de credenciales basadas en PIN, manteniendo compatibilidad con integraciones de software POS desplegadas desde 2012. Esto podría permitir a un atacante realizar fácilmente un ataque de fuerza bruta contra un usuario y obtener acceso probando diferentes PIN sin que se bloquee la cuenta. La explotación exitosa de esta vulnerabilidad podría dar lugar a un acceso no autorizado a ajustes de configuración confidenciales, lo que comprometería la seguridad del sistema.
• CVE-2026-8077: ausencia de una aplicación adecuada de la autorización en el panel de administración web de CashDro 3, versión 24.01.00.26. El backend carece de controles de autorización, delegando la seguridad exclusivamente al frontend. Al modificar la cadena binaria del campo 'Permissions' en la respuesta JSON, un atacante podría escalar privilegios y obtener acceso administrativo total. Esta vulnerabilidad permite eludir todas las restricciones y comprometer por completo la gestión del sistema.