Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Inyección SQL (SQLi) en la plataforma Buroweb
  • Múltiples vulnerabilidades en productos de ELECOM
  • Múltiples vulnerabilidades en VMware Tanzu

Inyección SQL (SQLi) en la plataforma Buroweb

Fecha03/02/2026
Importancia5 - Crítica
Recursos Afectados

Buroweb, versiones anteriores a 2505.0.13.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a la plataforma web Buroweb, una plataforma centrada en consultorías, servicios en la nube, inteligencia artificial, seguridad y conectividad. La vulnerabilidad ha sido descubierta por Iban Ruiz de Galarreta Cadenas (Miembro del red team de CSA).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-1432: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:L/SI:N/SA:L | CWE-89
Solución

La vulnerabilidad ha sido solucionada por el equipo de T-Systems en la versión 2505.0.13.

Se recomienda actualizar el software del sistema a esta versión o en su defecto a la última versión estable.

Detalle

CVE-2026-1432: vulnerabilidad de Inyección SQL en la plataforma Buroweb versión 2505.0.12, concretamente en el componente 'tablón'. Esta vulnerabilidad está presente en varios parámetros que no eliminan correctamente la entrada del usuario en el endpoint '/sta/CarpetaPublic/doEvent?APP_CODE=STA&PAGE_CODE=TABLON'. 

La explotación de esta vulnerabilidad podría permitir a un atacante ejecutar consultas en la base de datos y poder acceder a información confidencial.

Múltiples vulnerabilidades en productos de ELECOM

Fecha03/02/2026
Importancia5 - Crítica
Recursos Afectados
  • CVE-2026-20704, CVE-2026-22550
    • WRC-X1500GS-B v1.12 y versiones anteriores;
    • WRC-X1500GSA-B v1.12 y versiones anteriores.
  • CVE-2026-24449
    • WRC-X1500GS-B: todas las versiones;
    • WRC-X1500GSA-B: todas las versiones.
  • CVE-2026-24465
    • WAB-S733IW2-PD v5.5.00 y versiones anteriores;
    • WAB-S733IW-AC v5.5.00 y versiones anteriores;
    • WAB-S733IW-PD: todas las versiones;
    • WAB-S300IW2-PD v5.5.00 y versiones anteriores;
    • WAB-S300IW-AC v5.5.00 y versiones anteriores;
    • WAB-S300IW-PD: todas las versiones.
Descripción

Kentaro Ishii de GMO Cybersecurity de Ierae, Inc., Soh Satoh y MASAHIRO IIDA de LAC Co., Ltd. han reportado 4 vulnerabilidades: 1 de severidad crítica, otra alta y dos medias. De ser explotadas podrían permitir ejecución de código arbitrario.

Solución

Actualizar el firmware a la última versión según la información proporcionada por el desarrollador. Los modelos
WAB-S733IW-PD y WAB-S300IW-PD ya no son compatibles; por lo tanto, se recomienda dejar de usarlos.

Detalle

CVE-2026-24465: vulnerabilidad de severidad crítica de desbordamiento de búfer basado en pila. Un atacante podría explotar esta vulnerabilidad enviando un paquete manipulado al punto de acceso LAN inalámbrico ELECOM afectado a través de la red. Un paquete manipulado podría provocar la ejecución de código arbitrario.

Múltiples vulnerabilidades en VMware Tanzu

Fecha03/02/2026
Importancia5 - Crítica
Recursos Afectados
  • VMware Tanzu Kubernetes Grid Integrated Edition;
  • VMware Tanzu Platform;
  • VMware Tanzu Platform - Cloud Foundry;
  • VMware Tanzu Platform - Kubernetes;
  • Vmware Tanzu Platform - SM;
  • Tanzu Kubernetes Runtime;
  • VMware Tanzu Application Service;
  • VMware Tanzu Platform Core.
Descripción

Broadcom ha publicado 16 avisos de seguridad, 3 de ellos críticos. En los críticos se informa de un total de 2182 vulnerabilidades corregidas, 24 críticas, 441 altas, 1536 medias y 181 bajas. La explotación exitosa de estas vulnerabilidades podría permitir, entre otras acciones, provocar una denegación de servicio o ejecutar código en remoto.

Solución

Actualizar el producto a la última versión.

Detalle

Las vulnerabilidades de severidad alta son de los siguientes tipos:

  • Inyección de código: CVE-2022-29155, CVE-2018-16492.
  • Problemas con el búfer: CVE-2024-52533, CVE-2022-37434, CVE-2021-43527, CVE-2008-0888, CVE-2024-37371, CVE-2023-52735, CVE-2022-28805.
  • Error con las solicitudes HTTP: CVE-2024-41110, CVE-2023-42282.
  • Uso después de la liberación: CVE-2024-56171, CVE-2021-33574, CVE-2018-13410.
  • Problemas con las rutas: CVE-2023-38408.
  • Problemas de puntero: CVE-2022-36227.
  • Otros / no especificado: CVE-2023-28531, CVE-2021-3773, CVE-2024-45337, CVE-2021-46848, CVE-2019-10744, CVE-2025-22871, CVE-2016-1000027, CVE-2025-55754.

El resto de vulnerabilidades se pueden consultar en los avisos del fabricante disponibles en las referencias.