Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Publicación de parches de Oracle - Mayo 2026
  • Múltiples vulnerabilidades en BioStar de Suprema

Publicación de parches de Oracle - Mayo 2026

Fecha29/05/2026
Importancia5 - Crítica
Recursos Afectados
  • Oracle Communications Unified Assurance, versiones 6.1.1 - 7.0.0;
  • Oracle Database Server, versiones 23.4.0 - 23.26.2;
  • Oracle E-Business Suite, versiones 12.2.3 - 12.2.15;
  • Oracle Hospitality OPERA 5 Property Services, versiones 5.6.19.24, 5.6.22, 5.6.25.19, 5.6.27.6, 5.6.28;
  • Oracle REST Data Services, versiones 24.2.0 - 26.1.0.
Descripción

Oracle ha publicado su actualización mensual de seguridad con parches para corregir vulnerabilidades que afectan a múltiples productos.

Solución

Aplicar los parches correspondientes según los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle.

Detalle

Oracle, en su publicación trimestral de parches, ha publicado 14 nuevos parches de seguridad divididos de la siguiente forma:

  • 3 nuevos parches de seguridad para Oracle Database Products
  • 11 nuevos parches de seguridad para Oracle REST Data Services

En total se actualizan 35 vulnerabilidades de distinta severidad, 11 críticas, 18 altas, 5 medias y 1 baja. Las vulnerabilidades críticas afectan a los siguientes componentes:

  • Oracle REST Data Services
    • CVE-2026-46840
    • CVE-2026-46775
    • CVE-2026-46839
    • CVE-2026-2332
  • Oracle iAssets
    • CVE-2026-46822
  • Oracle Universal Work Queue
    • CVE-2026-46824
  • Oracle Payments
    • CVE-2026-46817
  • Oracle Hospitality OPERA 5 Property Services
    • CVE-2026-34311
  • Oracle Communications Unified Assurance
    • CVE-2026-33557
  • Oracle Internet Procurement Connector
    • CVE-2026-46819
  • Net Service
    • CVE-2026-46833

El resto de vulnerabilidades se pueden consultar en el enlace de las referencias.

Múltiples vulnerabilidades en BioStar de Suprema

Fecha29/05/2026
Importancia5 - Crítica
Recursos Afectados

Las siguientes versiones de BioStar 2 (Server) están afectadas:

  • desde la versión v2.9.3 hasta la v2.9.11 (CVE-2026-9508);
  • versiones v2.9.11, v2.9.10 y v2.9.8 (CVE-2026-9509).
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades, 1 de severidad crítica, 1 de severidad alta, que afectan a BioStar de Suprema, una plataforma de software y hardware de seguridad integral. Las vulnerabilidades han sido descubiertas por Jordi Garcia Ribera.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-9508: CVSS v4.0: 9.8 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L | CWE-732
  • CVE-2026-9509 CVSS v4.0: 8.2 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/S:C/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H | CWE-248
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Suprema. Se recomienda actualizar a la última versión disponible.

Detalle
  • CVE-2026-9508: asignación incorrecta de permisos en un recurso crítico de Suprema BioStar 2 (versiones de la 2.9.3 a la 2.9.11) que permite la exposición pública de las copias de seguridad cuando el administrador configura su ruta dentro del webroot de NGINX. Esta vulnerabilidad facilita que un atacante con acceso a la red descargue directamente los archivos ZIP de respaldo a través de 'http(s)://[servidor]/download/…' sin necesidad de autenticación. Esto expone información altamente sensible que puede derivar en la suplantación del servidor, el acceso no autorizado a bases de datos y el movimiento lateral.
  • CVE-2026-9509: excepción no controlada en Suprema BioStar 2 (Server), versiones 2.9.8, 2.9.10 y 2.9.11, que permite a un atacante remoto no autenticado provocar una denegación de servicio (DoS) mediante el envío de peticiones HTTP POST al endpoint '/api/migration'. Esta solicitud desencadena un fallo que detiene procesos críticos, dejando el sistema fuera de línea hasta el reinicio manual de los servicios o del servidor. Como consecuencia, se interrumpe la operatividad de los lectores de control de acceso y se generan posibles fallos en integraciones de terceros. Dado que la explotación no requiere privilegios ni interacción del usuario y es trivial de automatizar, el impacto sobre la disponibilidad es alto y la afectación se extiende a los sistemas interconectados.