Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-24309)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 03/06/2026
    Debido a la falta de verificación de autorización en SAP NetWeaver Servidor de aplicaciones para ABAP, un atacante autenticado podría ejecutar un módulo de función ABAP específico para leer, modificar o insertar entradas en la tabla de configuración de la base de datos del sistema ABAP. Este cambio de contenido no autorizado podría provocar una reducción del rendimiento del sistema o interrupciones. La vulnerabilidad tiene bajo impacto en la integridad y disponibilidad de la aplicación, sin efecto en la confidencialidad.
  • Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-24310)
    Severidad: BAJA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 03/06/2026
    Debido a la falta de verificación de autorización en el Servidor de aplicaciones SAP NetWeaver para ABAP, un atacante autenticado podría ejecutar un módulo de función ABAP específico y leer información sensible del catálogo de la base de datos del sistema ABAP. Esta vulnerabilidad tiene un bajo impacto en la confidencialidad de la aplicación, sin efecto en la integridad y disponibilidad.
  • Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-24316)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 03/06/2026
    SAP NetWeaver Servidor de aplicaciones para ABAP proporciona un informe ABAP para fines de prueba, que permite enviar peticiones HTTP a puntos finales internos o externos arbitrarios. El informe es, por lo tanto, vulnerable a Falsificación de petición del lado del servidor (SSRF). La explotación exitosa podría conducir a interacción con puntos finales internos potencialmente sensibles, lo que resulta en un bajo impacto en la confidencialidad e integridad de los datos. No hay impacto en la disponibilidad de la aplicación.
  • Vulnerabilidad en SAP NetWeaver Application Server for ABAP (CVE-2026-27688)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 03/06/2026
    Debido a la ausencia de una verificación de autorización en SAP NetWeaver Servidor de aplicaciones para ABAP, un atacante autenticado con privilegios de usuario podría leer Archivos de registro del Analizador de base de datos a través de un módulo de función RFC específico. El atacante con los privilegios necesarios para ejecutar este módulo de función podría potencialmente escalar sus privilegios y leer los datos sensibles, lo que resulta en un impacto limitado en la confidencialidad de la información almacenada. Sin embargo, la integridad y disponibilidad del sistema no se ven afectadas.
  • Vulnerabilidad en Red Hat (CVE-2026-2575)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 03/06/2026
    Se encontró una falla en Keycloak. Un atacante remoto no autenticado puede desencadenar una denegación de servicio (DoS) a nivel de aplicación al enviar una SAMLRequest altamente comprimida a través del SAML Redirect Binding. El servidor no aplica límites de tamaño durante la descompresión DEFLATE, lo que lleva a un OutOfMemoryError (OOM) y la subsiguiente terminación del proceso. Esta vulnerabilidad permite a un atacante interrumpir la disponibilidad del servicio.
  • Vulnerabilidad en Base64 Decoder (CVE-2019-25634)
    Severidad: ALTA
    Fecha de publicación: 24/03/2026
    Fecha de última actualización: 03/06/2026
    Base64 Decoder 1.1.2 contiene una vulnerabilidad de desbordamiento de búfer basado en pila que permite a atacantes locales ejecutar código arbitrario al desencadenar una sobrescritura del gestor de excepciones estructuradas (SEH). Los atacantes pueden crear un archivo de entrada malicioso que desborda un búfer, sobrescribe la cadena SEH con una dirección de gadget POP-POP-RET y utiliza una carga útil egghunter para localizar y ejecutar shellcode para la ejecución de código.