Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Boletín de seguridad de Atlassian: junio de 2026
  • Boletín de seguridad de Oracle: junio de 2026

Boletín de seguridad de Atlassian: junio de 2026

Fecha17/06/2026
Importancia5 - Crítica
Recursos Afectados

Bamboo Data Center y Server:

  • 12.1.0 a 12.1.7 (LTS)
  • 12.0.0 a 12.0.2
  • 11.0.0 a 11.0.8
  • 10.2.0 a 10.2.19 (LTS)
  • 10.1.0 a 10.1.1
  • 10.0.0 a 10.0.3

Bitbucket Data Center y Server:

  • 10.3.0
  • 10.2.0 a 10.2.3 (LTS)
  • 10.1.1 a 10.1.5
  • 10.0.0 a 10.0.2
  • 9.6.0 a 9.6.5
  • 9.5.0 a 9.5.2
  • 9.4.0 a 9.4.20 (LTS)
  • 9.3.0 a 9.3.2
  • 9.2.0 a 9.2.1
  • 9.1.0 a 9.1.1
  • 9.0.1

Confluence Data Center y Server:

  • 10.2.0 a 10.2.11 (LTS)
  • 10.1.0 a 10.1.2
  • 10.0.2 a 10.0.3
  • 9.5.1 a 9.5.4
  • 9.4.0 a 9.4.1
  • 9.3.1 a 9.3.2
  • 9.2.0 a 9.2.20 (LTS)
  • 9.1.0 a 9.1.1
  • 9.0.1 a 9.0.3
  • 8.9.4 a 8.9.8
  • 8.5.12 a 8.5.31 (LTS)
  • 7.19.25 a 7.19.30 (LTS)

Crowd Data Center y Server:

  • 7.2.0
  • 7.1.0 a 7.1.5
  • 7.0.0 a 7.0.2
  • 6.3.0 a 6.3.6
  • 6.2.0 a 6.2.6
  • 6.1.0 a 6.1.7
  • 6.0.0 a 6.0.10
  • 5.3.2 a 5.3.8

Fisheye/Crucible:

  • 4.9.0 a 4.9.10

Jira Data Center y Server:

  • 11.3.0 a 11.3.6 (LTS)
  • 11.2.0 a 11.2.1
  • 11.1.0 a 11.1.1
  • 11.0.0 a 11.0.1
  • 10.7.1 a 10.7.4
  • 10.6.0 a 10.6.1
  • 10.5.0 a 10.5.1
  • 10.4.0 a 10.4.1
  • 10.3.0 a 10.3.21 (LTS)
  • 10.2.0 a 10.2.1
  • 10.1.1 a 10.1.2
  • 10.0.0 a 10.0.1
  • 9.17.0 a 9.17.5
  • 9.12.11 a 9.12.35 (LTS)

Jira Service Management Data Center and Server:

  • 11.3.0 a 11.3.6 (LTS)
  • 11.2.0 a 11.2.1
  • 11.1.0 a 11.1.1
  • 11.0.0 a 11.0.1
  • 10.7.1 a 10.7.4
  • 10.6.0 a 10.6.1
  • 10.5.0 a 10.5.1
  • 10.4.0 a 10.4.1
  • 10.3.0 a 10.3.21 (LTS)
  • 10.2.0 a 10.2.1
  • 10.1.1 a 10.1.2
  • 10.0.0 a 10.0.1
  • 5.17.0 a 5.17.5
Descripción

Atlassian ha publicado su boletín mensual de seguridad en el que se incluyen 76 vulnerabilidades: 24 de severidad crítica y 42 de severidad alta. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante realizar una ejecución remota de código, una denegación de servicio o divulgación de información entre otros.

Solución

Bamboo Data Center y Server:

  • 12.1.8 (LTS) Data Center Only
  • 10.2.20 (LTS) Data Center Only

Bitbucket Data Center y Server:

  • 10.3.1 Data Center Only
  • 10.2.4 (LTS) Data Center Only
  • 9.4.21 (LTS) 

Confluence Data Center y Server:

  • 10.2.13 (LTS)
  • 9.2.21 (LTS) 

Crowd Data Center y Server:

  • 7.2.1 

Fisheye/Crucible:

  • 4.9.11

Jira Data Center y Server:

  • 11.3.7 (LTS) 
    10.3.22 (LTS)

Jira Service Management Data Center and Server:

  • 11.3.7 (LTS)
  • 10.3.22 (LTS)
Detalle

Las vulnerabilidades críticas publicadas en este boletín pertenecen a componentes de terceros. Se trata de vulnerabilidades en una dependencia de Jira Software que no pertenece a Atlassian. La aplicación de esta dependencia por parte de Atlassian presenta un riesgo menor, no crítico, según la evaluación realizada. 

A continuación, se detallan las vulnerabilidades de severidad alta que afectan a Atlassian:

  • CVE-2026-41044: RCE (Remote Code Execution) en org.apache.activemq:activemq-broker.
  • CVE-2026-44492: SSRF (Server-Side Request Forgery) en axios.
  • CVE-2026-44487: Información divulgada en axios.
  • CVE-2026-44488: DoS (Denial of Service) en axios.
  • CVE-2026-42585: HTTP Request Smuggling en io.netty:netty-codec-http.
  • CVE-2026-42583: DoS (Denial of Service) en io.netty:netty-codec.
  • CVE-2026-44486: Información divulgada en axios.
  • CVE-2026-42038: SSRF (Server-Side Request Forgery) en axios .
  • CVE-2026-41284: DoS (Denial of Service) en org.apache.tomcat:tomcat-catalina.
  • CVE-2026-44496: DoS (Denial of Service) en axios.
  • CVE-2026-42587: DoS (Denial of Service) en io.netty:netty-codec.
  • CVE-2026-43513: Vulnerabilidad de lógica de negocio en org.apache.tomcat:tomcat-catalina.
  • CVE-2026-41044: DoS (Denial of Service) en org.postgresql:postgresql.
  • CVE-2026-42033: Inyección en axios.
  • CVE-2026-42035: Inyección en axios.
  • CVE-2026-42038: SSRF (Server-Side Request Forgery) en axios.
  • CVE-2026-45149: DoS (Denial of Service) en @isaacs/brace-expansion.
  • CVE-2026-41284: DoS (Denial of Service) en org.apache.tomcat.embed:tomcat-embed-core.
  • CVE-2026-41284: (Variante): MITM (Man-in-the-Middle) en org.apache.tomcat.embed:tomcat-embed-core.

Boletín de seguridad de Oracle: junio de 2026

Fecha17/06/2026
Importancia5 - Crítica
Recursos Afectados
  • APM - Gestión del rendimiento de las aplicaciones, versiones 13.5 y 24.1
  • Gestor de identidades, versiones 12.2.1.4.0, 14.1.2.1.0
  • Conector de Identity Manager, versiones 12.2.1.4.0, 14.1.2.1.0
  • JD Edwards EnterpriseOne Cuentas por Pagar, versión 9.2
  • Libro mayor de JD Edwards EnterpriseOne, versión 9.2
  • JD Edwards EnterpriseOne Gestión de Recursos Humanos, versión 9.2;
  • JD Edwards EnterpriseOne Order Promising, versión 9.2;
  • JD Edwards EnterpriseOne Project Costing, versión 9.2;
  • Herramientas de JD Edwards EnterpriseOne, versiones 9.2.0.0-9.2.26.2;
  • Clúster MySQL, versiones 8.0.11-8.0.46, 8.4.0-8.4.9, 9.0.0-9.7.0;
  • Clúster MySQL NDB, versiones 8.0.11-8.0.46, 8.4.0-8.4.9, 9.0.0-9.7.0;
  • MySQL Router, versiones 8.4.0-8.4.9, 9.0.0-9.7.0;
  • Servidor MySQL, versiones 8.4.0-8.4.9, 9.0.0-9.7.0;
  • MySQL Shell, versiones 8.4.0-8.4.9, 9.0.0-9.7.0, 2026.2.0+9.6.1;
  • Oracle Access Manager, versiones 12.2.1.4.0, 14.1.2.1.0;
  • Oracle Agile PLM, versión 9.3.6;
  • Oracle Application Development Framework (ADF), versiones 12.2.1.4.0, 14.1.2.0.0;
    Oracle Coherence, versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0, 15.1.1.0.0;
  • Controlador de tarificación convergente de Oracle Communications, versiones 15.0.0.0.0, 15.0.1.0.0, 15.1.0.0.0, 15.2.0.0.0;
  • Oracle Communications Network Charging and Control, versiones 15.0.0.0.0, 15.0.1.0.0, 15.1.0.0.0, 15.2.0.0.0;
  • Oracle Communications Network Integrity, versiones 7.3.6, 7.4.0, 7.5.0, 8.0.0;
  • Oracle Data Integrator, versiones 12.2.1.4.0, 14.1.2.0.0;
  • Oracle E-Business Suite, versiones 12.2.3-12.2.15, V15, V16;
  • Plataforma base de Oracle Enterprise Manager, versiones 13.5 y 24.1;
  • Oracle Solaris, versión 11.4;
  • Directorio Unificado de Oracle, versiones 12.2.1.4.0, 14.1.2.1.0;
  • Directorio virtual de Oracle, versiones 12.2.1.4.0, 14.1.2.0.0;
  • Oracle VM VirtualBox, versión 7.2.8;
  • Oracle WebCenter Content, versiones 12.2.1.4.0, 14.1.2.0.0;
  • Oracle WebCenter Enterprise Capture, versiones 12.2.1.4.0, 14.1.2.0.0;
  • Oracle WebCenter Portal, versiones 12.2.1.4.0, 14.1.2.0.0;
  • Oracle WebCenter Sites, versiones 12.2.1.4.0, 14.1.2.0.0;
  • PeopleSoft Enterprise CS Campus Community, versión 9.2.38;
  • PeopleSoft Enterprise CS Student Financials, versión 9.2.38;
  • PeopleSoft Enterprise PT PeopleTools, versiones 8.61, 8.62;
  • Aplicaciones Siebel, versiones 17.0-26.5;
  • Contenido de WebCenter: Imágenes, versiones 12.2.1.4.0, 14.1.2.0.0;
  • Servidor WebLogic, versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0, 15.1.1.0.0.
Descripción

Oracle ha publicado su boletín mensual de seguridad en el que se incluyen 245 vulnerabilidades: 122 de severidad crítica, 104 de severidad alta y 19 de severidad media. Estas vulnerabilidades podrían permitir ejecución remota de código, inyección SQL, deserialización insegura, omisión de autenticación o Cross-Site Scripting.

Solución

Aplicar los parches indicados por el fabricante.

Detalle

Las vulnerabilidades de severidad crítica más importantes se clasifican a continuación:

  • Ejecución Remota de Código (RCE): permite a un atacante ejecutar comandos maliciosos en el servidor objetivo, obteniendo control total del sistema.
    • CVE-2026-35308
    • CVE-2026-35307
    • CVE-2026-46803
    • CVE-2026-46832
    • CVE-2026-46850
    • CVE-2026-46855
    • CVE-2026-46854
  • Inyección (SQL, Comandos, LDAP). el atacante manipula consultas o comandos del sistema para filtrar información o ejecutar acciones no autorizadas.
    • CVE-2026-46778
    • CVE-2026-46781
    • CVE-2026-46846
    • CVE-2026-46963
    • CVE-2026-46964
    • CVE-2026-46906
  • Deserialización Insegura: vulnerabilidad técnica crítica en aplicaciones Java que permite la ejecución de código al procesar objetos serializados.
    • CVE-2026-35281
    • CVE-2026-35282
    • CVE-2026-35283
    • CVE-2026-35284
    • CVE-2026-35285
    • CVE-2026-35286
  • Omisión de Autenticación y Fallos de Control de Acceso: permite el acceso a áreas restringidas o funciones administrativas sin proporcionar credenciales válidas.
    • CVE-2026-46902
    • CVE-2026-46900
    • CVE-2026-46919
    • CVE-2026-46897
    • CVE-2026-46901
  • Denegación de Servicio (DoS) y otros fallos de disponibilidad: estos fallos se centran en hacer que el sistema sea inaccesible para los usuarios legítimos.
    • CVE-2026-35301
    • CVE-2026-35320
    • CVE-2026-46872