Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en FastGPT (CVE-2025-27600)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 29/12/2025
    FastGPT es una plataforma basada en el conocimiento y construida sobre los LLM. Dado que el complemento de rastreo web no realiza la verificación de IP de la intranet, un atacante puede iniciar una solicitud de IP de la intranet, lo que hace que el sistema inicie una solicitud a través de la intranet y potencialmente obtenga algunos datos privados de la intranet. Este problema se solucionó en la versión 4.9.0.
  • Vulnerabilidad en FastGPT (CVE-2025-49131)
    Severidad: MEDIA
    Fecha de publicación: 09/06/2025
    Fecha de última actualización: 29/12/2025
    FastGPT es un proyecto de código abierto que proporciona una plataforma para crear, implementar y operar flujos de trabajo basados en IA y agentes conversacionales. El contenedor de la Sandbox (fastgpt-sandbox) es un entorno aislado especializado que FastGPT utiliza para ejecutar de forma segura código enviado por el usuario o generado dinámicamente. El entorno de la Sandbox anterior a la versión 4.9.11 presenta un aislamiento insuficiente y restricciones inadecuadas en la ejecución de código, al permitir llamadas al sistema excesivamente permisivas, lo que permite a los atacantes eludir los límites previstos del entorno de la Sandbox. Los atacantes podrían aprovechar esto para leer y sobrescribir archivos arbitrarios y eludir las restricciones de importación de módulos de Python. Esto se ha corregido en la versión 4.9.11, restringiendo las llamadas al sistema permitidas a un subconjunto más seguro y proporcionando mensajes de error descriptivos adicionales.
  • Vulnerabilidad en FastGPT (CVE-2025-52552)
    Severidad: MEDIA
    Fecha de publicación: 21/06/2025
    Fecha de última actualización: 29/12/2025
    FastGPT es una plataforma para crear agentes de IA. Antes de la versión 4.9.12, el parámetro LastRoute de la página de inicio de sesión era vulnerable a redireccionamientos abiertos y XSS basado en DOM. La validación incorrecta y la falta de depuración de este parámetro permiten a los atacantes ejecutar JavaScript malicioso o redirigirlos a sitios controlados por ellos. Este problema se ha corregido en la versión 4.9.12.