Instituto Nacional de ciberseguridad. Sección Incibe

Dos nuevos avisos de seguridad

Índice

  • Desbordamiento de búfer en NGINX en F5
  • Asignación de privilegios incorrecta en LiteSpeed para cPanel

Desbordamiento de búfer en NGINX en F5

Fecha25/05/2026
Importancia5 - Crítica
Recursos Afectados

Los siguientes productos y versiones se encuentran afectados:

  • NGINX Open Source versiones anteriores a la 1.31.1;
  • NGINX Plus versiones anteriores a la 37.0.1.1.
Descripción

Mufeed VH, de Nebula Security, ha reportado una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante remoto realizar una denegación de servicio en el sistema NGINX y, en determinadas condiciones, ejecutar código arbitrario.

Solución

F5 recomienda actualizar los productos afectados a las siguientes versiones corregidas:

  • NGINX Open Source 1.31.1 o posterior;
  • NGINX Plus 37.0.1.1 o posterior.
Detalle

CVE-2026-9256: la vulnerabilidad se debe a un desbordamiento de búfer basado en memoria dinámica en el módulo ngx_http_rewrite_module de NGINX. El fallo puede producirse cuando determinadas directivas rewrite utilizan patrones de expresiones regulares especialmente diseñados. Un atacante remoto no autenticado podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP manipuladas para provocar el cierre inesperado de procesos del servicio afectado, ocasionando una denegación de servicio. En determinadas circunstancias y dependiendo de la configuración del sistema, también podría llegar a permitir la ejecución de remota de código arbitrario.


Asignación de privilegios incorrecta en LiteSpeed para cPanel

Fecha25/05/2026
Importancia5 - Crítica
Recursos Afectados

Plugin LiteSpeed ​​User-End cPanel anterior a la versión 2.4.5.

El plugin LiteSpeed ​​WHM (el plugin principal) no se ve afectado.

Descripción

LiteSpeed ha publicado una actualización para solucionar una vulnerabilidad de severidad crítica que podría permitir a un atacante provocar una escalada de privilegios. 

Solución

Se recomienda actualizar a la versión mínima recomendada: 2.4.7.

Detalle

CVE-2026-48172: el plugin permite la escalada de privilegios (posiblemente a root). Explotada activamente en mayo de 2026. El problema está relacionado con un manejo incorrecto de las funciones de activación/desactivación de Redis.

La mejor manera de detectarla es mediante línea de comandos 'grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null' en Bash. Si no obtiene ninguna salida, no ha sido víctima de la explotación de la vulnerabilidad. Si hay alguna salida, se recomienda examinar las direcciones IP de la lista, determinar si son direcciones IP válidas y, de no ser así, bloquearlas. Para determinar el daño causado, examinar los registros del sistema para ver si las direcciones IP detectadas han sido utilizadas.