Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en Nothings stb (CVE-2025-3406)
Severidad: MEDIA
Fecha de publicación: 08/04/2025
Fecha de última actualización: 19/05/2026
Se encontró una vulnerabilidad en Nothings stb hasta f056911. Se ha clasificado como problemática. La función stbhw_build_tileset_from_image del componente Header Array Handler está afectada. La manipulación del argumento w provoca una lectura fuera de los límites. Es posible ejecutar el ataque de forma remota. Este producto utiliza una versión continua para una entrega continua. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de las versiones actualizadas. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
-
Vulnerabilidad en Nothings stb (CVE-2025-3407)
Severidad: MEDIA
Fecha de publicación: 08/04/2025
Fecha de última actualización: 19/05/2026
Se encontró una vulnerabilidad en Nothings stb hasta f056911. Se ha declarado crítica. La función stbhw_build_tileset_from_image se ve afectada por esta vulnerabilidad. La manipulación del argumento h_count/v_count provoca una lectura fuera de los límites. El ataque puede ejecutarse remotamente. Este producto utiliza el enfoque de lanzamiento continuo para garantizar una entrega continua. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de las actualizadas. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en Nothings stb (CVE-2025-3408)
Severidad: MEDIA
Fecha de publicación: 08/04/2025
Fecha de última actualización: 19/05/2026
Se encontró una vulnerabilidad en Nothings stb hasta f056911. Se ha clasificado como crítica. Este problema afecta a la función stb_dupreplace. La manipulación provoca un desbordamiento de enteros. El ataque puede ejecutarse remotamente. Este producto utiliza un sistema de entrega continua con versiones progresivas. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de las versiones actualizadas. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en Nothings stb (CVE-2025-3409)
Severidad: MEDIA
Fecha de publicación: 08/04/2025
Fecha de última actualización: 19/05/2026
Se ha detectado una vulnerabilidad crítica en Nothings stb hasta f056911. Esta afecta a la función stb_include_string. La manipulación del argumento path_to_includes provoca un desbordamiento del búfer en la pila. Es posible iniciar el ataque de forma remota. Este producto no utiliza control de versiones. Por ello, no se dispone de información sobre las versiones afectadas y no afectadas. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
-
Vulnerabilidad en PluXml (CVE-2026-24351)
Severidad: MEDIA
Fecha de publicación: 27/02/2026
Fecha de última actualización: 19/05/2026
PluXml CMS es vulnerable a XSS Almacenado en la funcionalidad de edición de Páginas Estáticas. Un atacante con privilegios de edición puede inyectar HTML y JS arbitrarios en el sitio web, que será renderizado/ejecutado al visitar la página editada. Se notificó al proveedor con antelación sobre esta vulnerabilidad, pero no respondió dando los detalles de la vulnerabilidad ni del rango de versiones vulnerables. Solo se probaron las versiones 5.8.21 y 5.9.0-rc7 y se confirmó que eran vulnerables; no se probaron otras versiones por lo que también podrían ser vulnerables.
-
Vulnerabilidad en PluXml (CVE-2026-24352)
Severidad: MEDIA
Fecha de publicación: 27/02/2026
Fecha de última actualización: 19/05/2026
PluXml CMS permite que el identificador de sesión de un usuario sea establecido antes de la autenticación. El valor de este ID de sesión permanece igual después de la autenticación. Este comportamiento permite a un atacante fijar un ID de sesión para una víctima y luego secuestrar la sesión autenticada. Se notificó al proveedor con antelación sobre esta vulnerabilidad, pero no respondió dando los detalles de la vulnerabilidad ni el rango de versiones vulnerables. Solo se probaron las versiones 5.8.21 y 5.9.0-rc7 y se confirmó que eran vulnerables; no se probaron otras versiones por lo que también podrían ser vulnerables.
-
Vulnerabilidad en ingress-nginx (CVE-2026-4342)
Severidad: ALTA
Fecha de publicación: 19/03/2026
Fecha de última actualización: 19/05/2026
Se descubrió un problema de seguridad en ingress-nginx donde una combinación de anotaciones de Ingress puede utilizarse para inyectar configuración en nginx. Esto puede conducir a la ejecución de código arbitrario en el contexto del controlador ingress-nginx, y a la divulgación de Secrets accesibles para el controlador. (Tenga en cuenta que en la instalación predeterminada, el controlador puede acceder a todos los Secrets a nivel de clúster.)



