Cuatro nuevos avisos de seguridad
Índice
- Cross-Site Scripting (XSS) almacenado en Tallos Chat de RD Station Conversas
- Neutralización incorrecta en el firmware de PrestaShop
- Carga de archivos no autenticados en Balbooa Forms para Joomla
- Ejecución remota de código en el CMS de Mura Software
Cross-Site Scripting (XSS) almacenado en Tallos Chat de RD Station Conversas
Tallos Chat.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Tallos Chat de RD Station Conversas, herramienta profesional de atención al cliente y ventas por chat. La vulnerabilidad ha sido descubierta por Leopoldo Angulo Gallego.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-4765: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
No hay solución reportada por el momento.
CVE-2026-4765: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el chat de RD Station Conversas. La vulnerabilidad se encuentra en el parámetro 'name' del proceso de inicialización debido a una sanitización incorrecta de la entrada del usuario. La vulnerabilidad no se limita a la autoexplotación: cuando un agente de soporte se une a la conversación, el script malicioso también se ejecuta en su navegador, aumentando el impacto. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar código JavaScript arbitrario dentro del contexto de la aplicación.
Neutralización incorrecta en el firmware de PrestaShop
PrestaShop V8.2.1.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta al firmware de PrestaShop, sistema de gestión de contenidos para crear y administrar tiendas online.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-14846: CVSS v4.0: 4.5 | CVSS AV:N/AC:L/AT:P/PR:H/UI:A/VC:L/VI:L/VA:L/SC:L/SI:L/SA:H | CWE-1236
No hay solución reportada por el momento.
CVE-2026-14846: en la versión 8.2.1 de PrestaShop existe una vulnerabilidad de neutralización incorrecta de elementos originada por una validación deficiente del parámetro 'Alias' en la función 'Update your address'. Este fallo permite a un atacante inyectar fórmulas maliciosas que se ejecutan al exportar la información mediante la herramienta ‘Get my data in CSV’. La explotación exitosa de esta vulnerabilidad podría facilitar el acceso no autorizado a los datos personales de la víctima.
Carga de archivos no autenticados en Balbooa Forms para Joomla
com_baforms versión 2.4.0 y anteriores.
mySites.guru ha publicado una vulnerabilidad de severidad crítica en Balbooa Forms que, en caso de ser explotada, podría permitir ejecución remota de código.
CISA ha indicado que esta vulnerabilidad podría estar siendo explotada de forma activa.
Balbooa ha solucionado el problema en la versión 2.4.1, publicada el 9 de julio de 2026.
CVE-2026-56291: la función de carga de archivos en el frontend de Balbooa Forms aceptaba archivos de cualquier usuario sin autenticación, sin token CSRF y sin lista de permitidos en la extensión del archivo. Debido a que confiaba en el nombre del archivo del remitente, la carga .php termina en un directorio público y podía ejecutarse, lo que constituye una ejecución remota de código sin autenticación.
Ejecución remota de código en el CMS de Mura Software
- Mura CMS: versiones anteriores a 10.0.712.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta al CMS de Mura Software, un sistema de gestión de contenidos diseñado para crear, administrar y publicar contenido digital. La vulnerabilidad ha sido descubierta por Miguel Segovia Gil.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-12257: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
No hay solución reportada por el momento.
CVE-2026-12257: las versiones de Mura CMS anteriores a la 10.0.712 presentan una vulnerabilidad crítica de ejecución remota de código (RCE). El fallo se localiza en el endpoint '/index.cfm/_api/json/v1/default', donde el parámetro 'method' de las solicitudes POST no es validado ni sanitizado correctamente antes de ser procesado por el motor de ColdFusion. Como resultado, un atacante remoto podría explotar esta debilidad para inyectar y ejecutar expresiones CFML (ColdFusion Markup Language) arbitrarias e instanciar objetos Java maliciosos, comprometiendo así la seguridad del sistema.



