Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la función Add New Assets de Strapi (CVE-2022-32114)
    Severidad: ALTA
    Fecha de publicación: 13/07/2022
    Fecha de última actualización: 02/07/2026
    Una vulnerabilidad de carga de archivos sin restricciones en la función Add New Assets de Strapi versión v4.1.12, permite a atacantes ejecutar código arbitrario por medio de un archivo diseñado
  • Vulnerabilidad en Apache Software Foundation (CVE-2023-51702)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2024
    Fecha de última actualización: 02/07/2026
    Desde la versión 5.2.0, cuando se utiliza el modo diferible con la ruta de un archivo de configuración de Kubernetes para la autenticación, el trabajador de Airflow serializa este archivo de configuración como un diccionario y lo envía al activador almacenándolo en metadatos sin ningún cifrado. Además, si se utiliza con una versión de Airflow entre 2.3.0 y 2.6.0, el diccionario de configuración se registrará como texto plano en el servicio activador sin enmascaramiento. Esto permite que cualquier persona con acceso a los metadatos o al registro del activador obtenga el archivo de configuración y lo utilice para acceder al clúster de Kubernetes. Este comportamiento se cambió en la versión 7.0.0, que dejó de serializar el contenido del archivo y comenzó a proporcionar la ruta del archivo para leer el contenido en el activador. Se recomienda a los usuarios actualizar a la versión 7.0.0, que soluciona este problema.
  • Vulnerabilidad en Megatron-Bridge de NVIDIA (CVE-2025-33239)
    Severidad: ALTA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 02/07/2026
    NVIDIA Megatron Bridge contiene una vulnerabilidad en un tutorial de fusión de datos, donde una entrada maliciosa podría causar una inyección de código. Un exploit exitoso de esta vulnerabilidad podría conducir a la ejecución de código, escalada de privilegios, revelación de información y manipulación de datos.
  • Vulnerabilidad en Megatron-Bridge de NVIDIA (CVE-2025-33240)
    Severidad: ALTA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 02/07/2026
    NVIDIA Megatron Bridge contiene una vulnerabilidad en un tutorial de mezcla de datos, donde una entrada maliciosa podría causar una inyección de código. Un exploit exitoso de esta vulnerabilidad podría conducir a la ejecución de código, escalada de privilegios, revelación de información y manipulación de datos.
  • Vulnerabilidad en Apache Airflow Providers Amazon (CVE-2026-25604)
    Severidad: MEDIA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 02/07/2026
    En el gestor de AWS Auth, el origen de la autenticación SAML se ha utilizado tal como lo proporcionó el cliente y no se ha verificado contra la URL real de la instancia. Esto permitió obtener acceso a diferentes instancias con controles de acceso potencialmente diferentes al reutilizar la respuesta SAML de otras instancias. Debería actualizarse a la versión 9.22.0 del proveedor si utiliza el gestor de AWS Auth.