Tres nuevos avisos de seguridad y una actualización
Índice
- Ausencia de autenticación en Secure Workload de Cisco
- Vulnerabilidad de Path Traversal en AutoScript y Autofirma
- Múltiples vulnerabilidades en Suricata
- [Actualización 21/05/2026] Actualización de seguridad crítica en Drupal
Ausencia de autenticación en Secure Workload de Cisco
Software Cisco Secure Workload Cluster tanto en implementaciones SaaS como locales, independientemente de la configuración del dispositivo, versiones.
- 3.9 y versiones anteriores;
- 3.10;
- 4.0.
Nota: esta vulnerabilidad afecta únicamente a las API REST internas y no a la interfaz de administración basada en web.
Cisco ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante remoto no autenticado, acceder a los recursos del sitio con privilegios de administrador.
Cisco ha solucionado esta vulnerabilidad en su implementación SaaS de Cisco Secure Workload, que está basada en la nube. No se requiere ninguna acción por parte del usuario.
Se recomienda a los clientes que necesiten información adicional que se pongan en contacto con el Centro de Asistencia Técnica (TAC) de Cisco o con sus proveedores de mantenimiento contratados.
Versiones corregidas:
- 3.10.8.3;
- 4.0.3.17.
CVE-2026-20223: validación y autenticación insuficientes al acceder a los endpoints de la API REST. Un atacante podría explotarla si logra enviar una solicitud de API manipulada a un endpoint afectado. Una explotación exitosa podría permitir al atacante leer información confidencial y realizar cambios de configuración entre diferentes inquilinos con los privilegios de administrador.
Vulnerabilidad de Path Traversal en AutoScript y Autofirma
- Servicios desplegables junto a AutoScript y Autofirma: módulo afirma-signature- retriever.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta al módulo afirma-signature- retriever de AutoScript y Autofirma, mantenidos por la Agencia Estatal de Administración Digital, dependiente del Ministerio para la Transformación Digital y de la Función Pública. La vulnerabilidad ha sido descubierta, de forma individual, por David Martínez González y por Cosme Vázquez Tomé.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-9159: CVSS v4.0: 8.8 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-22
- Identificación de los WAR afectados:
- Se debe revisar si en los servidores se encuentran desplegados los siguientes archivos:
- afirma-signature-storage.war
- afirma-signature-retriever.war
- Otra forma de identificarlos es revisando las siguientes rutas, que se publican en el servidor donde se encuentren instalados estos servicios:
- Las rutas anteriores aplican si el servlet base es la raíz. En caso alternativo, añada la ruta que proceda después de DOMINIO.
- Se debe revisar si en los servidores se encuentran desplegados los siguientes archivos:
- Actualización de los WAR:
- Si alguno de los WAR anteriores está desplegado, se debe proceder a su actualización con la versión corregida. Los enlaces de descarga son:
- afirma-signature-storage v1.10
https://administracionelectronica.gob.es/ctt/resources/Soluciones/138/Descargas/afirma-signature-storage-1-10.zip?idIniciativa=138&idElemento=29813 - afirma-signature-retriever v1.10
https://administracionelectronica.gob.es/ctt/resources/Soluciones/138/Descargas/afirma-signature-retriever-1-10.zip?idIniciativa=138&idElemento=29814
- afirma-signature-storage v1.10
- Pasos recomendados:
- 1.Detener temporalmente el servicio del servidor de aplicaciones.
- 2. Sustituir los archivos WAR vulnerables por la nueva versión actualizada proporcionada.
- 3. Eliminar el directorio desplegado asociado si existe (para forzar redeploy).
- 4. Iniciar nuevamente el servicio.
- 5. Comprobar que los nuevos servicios se han desplegado correctamente.
- Se puede hacer mediante llamadas desde el navegador o mediante CURL accediendo a las URLs:
- https://DOMINIO/afirma-signature-storage/StorageService?v=2&op=PUT&id=test&dat=SG9sYSBNdW5kbyE=
Devolverá “OK” - https://DOMINIO/afirma-signature-retriever/RetrieveService?v=2&op=GET&id=test
Devolverá “SG9sYSBNdW 5kbyE="
- https://DOMINIO/afirma-signature-storage/StorageService?v=2&op=PUT&id=test&dat=SG9sYSBNdW5kbyE=
- Estos enlaces aplican si el servlet base es la raíz. En caso alternativo, añada la ruta que proceda después de DOMINIO.
- Si alguno de los WAR anteriores está desplegado, se debe proceder a su actualización con la versión corregida. Los enlaces de descarga son:
CVE-2026-9159: vulnerabilidad de Path Traversal en el módulo afirma-signature-retriever, causado por una validación insuficiente del parámetro 'id'. Al inyectar secuencias de directorio (por ejemplo, ../), un atacante podría salir del directorio previsto y acceder
a archivos arbitrarios del sistema. Esto podría permitir la divulgación y el borrado de archivos sensibles o archivos de configuración
de la aplicación, pudiendo recuperar y eliminar cualquier fichero del servidor del despliegue desde Internet.
Múltiples vulnerabilidades en Suricata
Suricata versiones anteriores a:
- 8.0.5
- 7.0.16
Suricata ha publicado un aviso donde informan de 16 vulnerabilidades, 1 de severidad crítica, 10 alta, 4 media y 1 baja.
Actualizar el producto a alguna de las siguientes versiones:
- 8.0.5
- 7.0.16
La vulnerabilidad de severidad crítica tiene asignado el identificador CVE-2026-45764.
Suricata reserva severidad CRÍTICA para los errores que afectan a las características de nivel 1 que están habilitadas de forma predeterminada, lo que implica la ejecución de código basada en tráfico de activación remota.
El resto de vulnerabilidades se pueden consultar en el enlace de las referencias.
[Actualización 21/05/2026] Actualización de seguridad crítica en Drupal
No todas las configuraciones se ven afectadas. Cuando se publique el parche se indicará cuáles sí lo están. Sin embargo, en el comunicado, se habla de las siguientes versiones.
Drupal 10 y 11
Las ramas de Drupal con soporte:
- 11.3.x
- 11.2.x
- 10.6.x
- 10.5.x
Versiones menores del core de Drupal que ya no tienen soporte (Drupal 10 y 11)
Debido a la severidad del problema, se proporcionará una actualización para este fallo, pero únicamente para las versiones 11.1.9 y 10.4.9; por lo que se recomienda a todos los administradores de Drupal que utilicen las versiones 10 u 11, que antes de mañana a la hora de la actualización tengan sus sistemas actualizados a las versiones indicadas:
- Sitios con Drupal 11.1 u 11.0, actualizar antes de mañana, como mínimo, a la versión 11.1.9
- Sitios con Drupal 10.4, 10.3, 10.2, 10.1 o 10.0, actualizar antes de mañana, como mínimo, a la versión 10.4.9
Estos sitios deben instalar la actualización de seguridad tan pronto como se lance el 20 de mayo y, en un futuro cercano, actualizar sus sistemas a Drupal 11.3 o 10.6.
Versiones del core de Drupal que ya no tienen soporte (Drupal 8 y 9)
Estas versiones están completamente fuera del ciclo de vida, así que no se van a crear actualizaciones para estas ramas. Sin embargo, debido a la severidad de la actualización, se proporcionarán ficheros con el parche para Drupal 8.9 y 9.5.
Estos parches deberán instalarse manualmente y no hay garantías de que funcionen correctamente; asimismo, puede ser que introduzcan otros fallos o regresiones.
Para intentar que el fichero del parche funcione lo mejor posible, se recomienda:
- Para sitios con cualquier versión de Drupal 9, estar actualizados a Drupal 9.5.11
- Para sitios con cualquier versión de Drupal 8, estar actualizados a Drupal 8.9.20
Para estos productos se recomienda actualizar lo antes posible a versiones con soporte, como mínimo, Drupal 10.6, ya que las versiones 8 y 9 de Drupal ya cuentan con muchísimos fallos y problemas de seguridad sin resolver.
Drupal 7
No se ve afectado por este problema.
General
En cualquier caso, para las versiones 10 y 11 el problema no se puede explotar en los sitios protegidos por Drupal Steward, los los cuales están protegidos de los vectores de ataque conocidos. No obstante, se recomienda igualmente su actualización para evitar vectores de ataque adicionales que puedan ir surgiendo.
Para las versiones 8 y 9, estas versiones contienen muchas otras vulnerabilidades de seguridad que ya han sido previamente divulgadas y que no serán abordadas por Drupal Steward o los archivos de parche.
[Actualización 21/06/2026]
El resumen de las versiones afectada actualizado por Drupal es:
- desde la 8.9.0 hasta la 10.4.9;
- desde la 10.5.0 hasta la 10.5.9;
- desde a 10.6.0 hasta la 10.6.8;
- desde la 11.0.0 hasta la 11.1.9;
- desde la 11.2.0 hasta la 11.2.11;
- desde la 11.3.0 hasta la 11.3.9.
Drupal ha emitido un comunicado en el que informa de una actualización de seguridad crítica en todos sus sistemas que se hará pública el 20 de mayo de 2026 entre las 19:00 y 23:00 horas (17:00 y 21:00 horas UTC).
Para versiones de Drupal sin soporte, en primer lugar, actualizar el sistema a alguna versión válida para la actualización.
El 20 de mayo, cuando se lance la actualización, comprobar si su versión del producto se ve afectada por la vulnerabilidad y, en caso afirmativo, instalar la actualización lo antes posible.
[Actualización 21/05/2026]
Las siguientes versiones estarán disponibles tan pronto como finalice el empaquetado automático. Es posible que reciba un error 404 mientras tanto. Las actualizaciones también podrían estar disponibles antes en Packagist.
- Drupal 11:
- Si utiliza Drupal 11.3.x, actualice a Drupal 11.3.10.
- Si utiliza Drupal 11.2.x, actualice a Drupal 11.2.12.
- Si utiliza Drupal 11.1.x o 11.0.x, actualice a Drupal 11.1.10.
- Drupal 10:
- Si utiliza Drupal 10.6.x, actualice a Drupal 10.6.9.
- Si utiliza Drupal 10.5.x, actualice a Drupal 10.5.10.
- Si utiliza Drupal 10.4.x o una versión anterior, actualice a Drupal 10.4.10.
- Drupal 9 y 8:
- Si utiliza alguna versión de Drupal 9, intente aplicar manualmente el parche de Drupal 9.5 para solucionar este problema.
- Si utiliza Drupal 8.9, intente aplicar manualmente el parche de Drupal 8.9 para solucionar este problema.
Drupal ha emitido un comunicado en el que informa del lanzamiento de un parche de seguridad de importancia crítica. Por su parte, recomiendan instalar el parche lo antes posible ya que temen que, en cuanto se publique la solución, rápidamente aparezcan exploits para aprovechar el fallo.
El anuncio del lanzamiento lo harán en su página web de https://www.drupal.org/security y en sus redes sociales de Bluesky, Mastodon, X (anteriormente Twitter) y LinkedIn. Asimismo, todos aquellos usuarios que estén suscritos a los boletines y avisos de Drupal, también se podrán enterar de la noticia por correo electrónico.
[Actualización 21/05/2026]
CVE-2026-9082: la vulnerabilidad permite a un atacante enviar solicitudes especialmente diseñadas, lo que deriva en una inyección SQL arbitraria para sitios que utilizan bases de datos PostgreSQL. Esto puede provocar la divulgación de información y, en algunos casos, la escalada de privilegios, la ejecución remota de código u otros ataques.



