Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en productos de ELECOM
  • Ejecución de código remoto en Angular Expressions de Peerigon
  • Actualización de seguridad de SAP de mayo de 2026

Múltiples vulnerabilidades en productos de ELECOM

Fecha12/05/2026
Importancia5 - Crítica
Recursos Afectados

CVE-2026-25107

  • WRC-X3000GS2-B v1.09 y versiones anteriores
  • WRC-X3000GS2-W v1.09 y versiones anteriores
  • WRC-X3000GS2A-B v1.09 y versiones anteriores
  • WRC-X3000GST2-B v1.06 y versiones anteriores
  • WRC-X1800GS-B v1.19 y versiones anteriores
  • WRC-X1800GSA-B v1.19 y versiones anteriores
  • WRC-X1800GSH-B v1.19 y versiones anteriores
  • WRC-X6000QS-G v1.14 y versiones anteriores
  • WRC-X6000QSA-G v1.14 y versiones anteriores
  • WRC-X6000XS-G v1.12 y versiones anteriores
  • WRC-X6000XST-G v1.16 y versiones anteriores
  • WRC-XE5400GS-G v1.13 y versiones anteriores
  • WRC-XE5400GSA-G v1.13 y versiones anteriores

CVE-2026-35506, CVE-2026-40621, CVE-2026-42062

  • WRC-BE72XSD-B v1.1.1 y versiones anteriores
  • WRC-BE72XSD-BA v1.1.1 y versiones anteriores
  • WRC-BE65QSD-B v1.1.0 y versiones anteriores
  • WRC-W702-B v1.1.0 y versiones anteriores

CVE-2026-42948, CVE-2026-42950, CVE-2026-42961

  • WAB-BE187-M v1.1.10 y versiones anteriores
  • WAB-BE72-M v1.1.3 y versiones anteriores
  • WAB-BE36-M v1.1.3 y versiones anteriores
  • WAB-BE36-S v1.1.3 y versiones anteriores
Descripción

Varios investigadores han reportado 7 vulnerabilidades: 2 de severidad crítica, 1 alta y 4 medias que, en caso de ser explotadas, el producto afectado podría funcionar sin autenticación o permitir la ejecución arbitraria de comandos en el sistema.

Solución

Actualizar el firmware a la última versión según la información proporcionada por el desarrollador.

Detalle

Las vulnerabilidades de severidad crítica se describen a continuación:

  • CVE-2026-40621: ausencia de autenticación al acceder a URL específicas. El producto afectado podría funcionar sin autenticación.
  • CVE-2026-42062: inyección de comandos del sistema operativo en el procesamiento del parámetro de nombre de usuario. En caso de que un atacante explote la vulnerabilidad podría ejecutar un comando arbitrario del sistema operativo sin autenticación.

Ejecución de código remoto en Angular Expressions de Peerigon

Fecha12/05/2026
Importancia5 - Crítica
Recursos Afectados

Versión de angular-expressions 1.5.1 y anteriores.

Descripción

San Gil ha descubierto una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante la ejecución remota de código.

Solución

El fabricante recomienda actualizar a la versión 1.5.2 que corrige la vulnerabilidad.

Detalle

CVE-2026-44643: permite la ejecución remota de código debido a la evaluación insegura de entradas proporcionadas por el usuario mediante Angular Expressions. La vulnerabilidad no neutraliza correctamente la sintaxis de código antes de evaluarla dinámicamente. Un atacante podría inyectar expresiones maliciosas que se ejecutan con los mismos privilegios que la aplicación afectada, comprometiendo la confidencialidad, integridad y disponibilidad del sistema.

Actualización de seguridad de SAP de mayo de 2026

Fecha12/05/2026
Importancia5 - Crítica
Recursos Afectados
  • SAP S/4HANA (SAP Enterprise Search for ABAP), versiones SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
  • SAP Commerce cloud, versiones HY_COM 2205, COM_CLOUD 2211, 2211-JDK21.
  • SAP Forecasting & Replenishment, versiones SCM 702, 712, 713, 714.
  • SAP NetWeaver Application Server for ABAP and ABAP Platform, versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
  • SAP S/4HANA Condition Maintenance, versiones S4CORE 102, 103, 104, 105, 106, 107, 108, 109.
  • Business Server Pages Application (TAF_APPLAUNCHER), versiones ST-PI 740, 758.
  • SAP BusinessObjects Business Intelligence Platform, versiones ENTERPRISE 430, 2025, 2027.
  • SAP Strategic Enterprise Management (BSP application Balanced Scorecard Wizard), versiones SEM-BW 605, 700, 736, 746, 747, 748, 749, 800.
  • SAP Commerce Cloud (Apache Log4j), versiones HY_COM 2205, COM_CLOUD 2211, 2211-JDK21.
  • SAPUI5 (Search UI), versiones SAPUI5 1.108, 1.120, 1.136, 1.142, 1.71, 1.84, 1.96.
  • SAP NetWeaver Application Server ABAP (Applications based on Business Server Pages), versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 918.
  • SAP Financial Consolidation, versión FINANCE 1010.
  • SAP Incentive and Commission Management, versiones SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 604, 605, 606, 617.
  • SAP Application Server ABAP for SAP NetWeaver and ABAP Platform, versiones SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
  • SAP HANA Deployment Infrastructure (HDI) deploy library, versión XS_HDI_DEPLOYER 1.00.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 15 vulnerabilidades: 2 de severidad crítica, 1 de severidad alta, 11 de severidad media y 1 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante explotar vulnerabilidades de Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS), Cross-Site Scripting (XSS) reflejado, content spoofing, denegación de servicio, falta de comprobación de autenticación, falta de comprobación de autorización, inyección de código, potencial validación incorrecta de certificado, vulnerabilidad de inyección SQL y vulnerabilidad de inyección de comandos del Sistema Operativo.

Solución

El fabricante recomienda encarecidamente que el cliente visite el portal de soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

Detalle

Las vulnerabilidades de severidad crítica son de los siguientes tipos:

  • vulnerabilidad de inyección SQL
  • falta de comprobación de autenticación

Se han asignado los identificadores CVE-2026-34260 y CVE-2026-34263 para las vulnerabilidades de severidad crítica.