Instituto Nacional de ciberseguridad. Sección Incibe

Cuatro nuevos avisos de seguridad

Índice

  • Cross-Site Scripting (XSS) almacenado en Tallos Chat de RD Station Conversas
  • Neutralización incorrecta en el firmware de PrestaShop
  • Carga de archivos no autenticados en Balbooa Forms para Joomla
  • Ejecución remota de código en el CMS de Mura Software

Cross-Site Scripting (XSS) almacenado en Tallos Chat de RD Station Conversas 

 
Fecha13/07/2026
Importancia3 - Media
Recursos Afectados

Tallos Chat.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Tallos Chat de RD Station Conversas, herramienta profesional de atención al cliente y ventas por chat. La vulnerabilidad ha sido descubierta por Leopoldo Angulo Gallego.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-4765: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
     
Solución

No hay solución reportada por el momento.

Detalle

CVE-2026-4765: vulnerabilidad de Cross-Site Scripting (XSS) almacenado en el chat de RD Station Conversas. La vulnerabilidad se encuentra en el parámetro 'name' del proceso de inicialización debido a una sanitización incorrecta de la entrada del usuario. La vulnerabilidad no se limita a la autoexplotación: cuando un agente de soporte se une a la conversación, el script malicioso también se ejecuta en su navegador, aumentando el impacto. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar código JavaScript arbitrario dentro del contexto de la aplicación.
 


Neutralización incorrecta en el firmware de PrestaShop 

 
Fecha13/07/2026
Importancia3 - Media
Recursos Afectados

PrestaShop V8.2.1.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta al firmware de PrestaShop, sistema de gestión de contenidos para crear y administrar tiendas online.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-14846: CVSS v4.0: 4.5 | CVSS AV:N/AC:L/AT:P/PR:H/UI:A/VC:L/VI:L/VA:L/SC:L/SI:L/SA:H | CWE-1236
Solución

No hay solución reportada por el momento.

Detalle

CVE-2026-14846: en la versión 8.2.1 de PrestaShop existe una vulnerabilidad de neutralización incorrecta de elementos originada por una validación deficiente del parámetro 'Alias' en la función 'Update your address'. Este fallo permite a un atacante inyectar fórmulas maliciosas que se ejecutan al exportar la información mediante la herramienta ‘Get my data in CSV’. La explotación exitosa de esta vulnerabilidad podría facilitar el acceso no autorizado a los datos personales de la víctima.


Carga de archivos no autenticados en Balbooa Forms para Joomla 

 
Fecha13/07/2026
Importancia5 - Crítica
Recursos Afectados

com_baforms versión 2.4.0 y anteriores.

Descripción

mySites.guru ha publicado una vulnerabilidad de severidad crítica en Balbooa Forms que, en caso de ser explotada, podría permitir ejecución remota de código.

CISA ha indicado que esta vulnerabilidad podría estar siendo explotada de forma activa.

Solución

Balbooa ha solucionado el problema en la versión 2.4.1, publicada el 9 de julio de 2026.

Detalle

CVE-2026-56291: la función de carga de archivos en el frontend de Balbooa Forms aceptaba archivos de cualquier usuario sin autenticación, sin token CSRF y sin lista de permitidos en la extensión del archivo. Debido a que confiaba en el nombre del archivo del remitente, la carga .php termina en un directorio público y podía ejecutarse, lo que constituye una ejecución remota de código sin autenticación. 


Ejecución remota de código en el CMS de Mura Software 

 
Fecha13/07/2026
Importancia5 - Crítica
Recursos Afectados
  • Mura CMS: versiones anteriores a 10.0.712.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta al CMS de Mura Software, un sistema de gestión de contenidos diseñado para crear, administrar y publicar contenido digital. La vulnerabilidad ha sido descubierta por Miguel Segovia Gil.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-12257: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79
Solución

No hay solución reportada por el momento.

Detalle

CVE-2026-12257: las versiones de Mura CMS anteriores a la 10.0.712 presentan una vulnerabilidad crítica de ejecución remota de código (RCE). El fallo se localiza en el endpoint '/index.cfm/_api/json/v1/default', donde el parámetro 'method' de las solicitudes POST no es validado ni sanitizado correctamente antes de ser procesado por el motor de ColdFusion. Como resultado, un atacante remoto podría explotar esta debilidad para inyectar y ejecutar expresiones CFML (ColdFusion Markup Language) arbitrarias e instanciar objetos Java maliciosos, comprometiendo así la seguridad del sistema.