Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Koa (CVE-2026-27959)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 16/06/2026
    Koa es un middleware para Node.js que utiliza funciones asíncronas de ES2017. Antes de las versiones 3.1.2 y 2.16.4, la API `ctx.hostname` de Koa realiza un análisis ingenuo del encabezado Host HTTP, extrayendo todo lo que precede al primer signo de dos puntos sin validar que la entrada cumpla con la sintaxis de nombre de host de RFC 3986. Cuando se recibe un encabezado Host malformado que contiene un símbolo '@', `ctx.hostname` devuelve 'evil[.]com' - un valor controlado por el atacante. Las aplicaciones que utilizan `ctx.hostname` para la generación de URL, enlaces de restablecimiento de contraseña, URL de verificación de correo electrónico o decisiones de enrutamiento son vulnerables a ataques de inyección de encabezado Host. Las versiones 3.1.2 y 2.16.4 solucionan el problema.
  • Vulnerabilidad en moby (CVE-2026-33997)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 16/06/2026
    Moby es un framework de contenedor de código abierto. Antes de la versión 29.3.1, se ha detectado una vulnerabilidad de seguridad que permite omitir la validación de privilegios de los plugins durante docker plugin install. Debido a un error en la lógica de comparación de privilegios del demonio, este puede aceptar incorrectamente un conjunto de privilegios que difiere del aprobado por el usuario. Los plugins que solicitan exactamente un privilegio también se ven afectados, porque no se realiza ninguna comparación en absoluto. Este problema ha sido parcheado en la versión 29.3.1.
  • Vulnerabilidad en moby (CVE-2026-34040)
    Severidad: ALTA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 16/06/2026
    Moby es un framework de contenedores de código abierto. Antes de la versión 29.3.1, se ha detectado una vulnerabilidad de seguridad que permite a los atacantes eludir los plugins de autorización (AuthZ). Este problema ha sido parcheado en la versión 29.3.1.