Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en OpenProject (CVE-2024-35224)
    Severidad: ALTA
    Fecha de publicación: 23/05/2024
    Fecha de última actualización: 13/02/2026
    OpenProject es el software líder de gestión de proyectos de código abierto. OpenProject utiliza "tablesorter" dentro de la función Informe de costos. Esta dependencia, cuando está mal configurada, puede provocar que se almacene XSS mediante la sustitución de `{icon}` en los valores del encabezado de la tabla. Este ataque requiere los permisos "Editar paquetes de trabajo", así como "Agregar archivos adjuntos". Un administrador de proyecto podría intentar aumentar sus privilegios enviando este XSS a un administrador del sistema. De lo contrario, si se requiere un administrador del sistema completo, este ataque tendrá un impacto significativamente menor. Al utilizar el archivo adjunto de un ticket, puede almacenar javascript en la propia aplicación y omitir la política CSP de la aplicación para lograr Stored XSS. Esta vulnerabilidad ha sido parcheada en las versiones 14.1.0, 14.0.2 y 13.4.2.
  • Vulnerabilidad en BIOS de PC HP (CVE-2022-37020)
    Severidad: MEDIA
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 13/02/2026
    Se han identificado posibles vulnerabilidades en el BIOS del sistema para ciertos productos de PC HP, que podrían permitir la escalada de privilegios y la ejecución de código. HP está lanzando actualizaciones de firmware para mitigar las posibles vulnerabilidades.
  • Vulnerabilidad en Cybozu Garoon (CVE-2024-31397)
    Severidad: MEDIA
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 13/02/2026
    Existe un problema de manejo inadecuado de valores adicionales en Cybozu Garoon 5.0.0 a 5.15.2. Si se explota esta vulnerabilidad, un usuario que pueda iniciar sesión en el producto con privilegios administrativos puede provocar una condición de denegación de servicio (DoS).
  • Vulnerabilidad en Wildfly Elytron (CVE-2025-23368)
    Severidad: ALTA
    Fecha de publicación: 04/03/2025
    Fecha de última actualización: 13/02/2026
    Se encontró una falla en la integración de Wildfly Elytron. El componente no implementa medidas suficientes para evitar múltiples intentos fallidos de autenticación en un corto período de tiempo, lo que lo hace más susceptible a ataques de fuerza bruta a través de la interfaz de línea de comandos.
  • Vulnerabilidad en kernel de Linux (CVE-2025-22042)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 13/02/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: agregar verificación de los límites para el contexto de creación de arrendamiento. Agregar verificación de los límites faltante para el contexto de creación de arrendamiento.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38575)
    Severidad: MEDIA
    Fecha de publicación: 18/04/2025
    Fecha de última actualización: 13/02/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: usar aead_request_free para coincidir con aead_request_alloc. Usar aead_request_free() en lugar de kfree() para liberar correctamente la memoria asignada por aead_request_alloc(). Esto garantiza que los datos criptográficos confidenciales se pongan a cero antes de liberarse.
  • Vulnerabilidad en kernel de Linux (CVE-2025-37775)
    Severidad: MEDIA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 13/02/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: corrige la advertencia de __kernel_write_iter [ 2110.972290] ------------[ cortar aquí ]------------ [ 2110.972301] ADVERTENCIA: CPU: 3 PID: 735 en fs/read_write.c:599 __kernel_write_iter+0x21b/0x280 Este parche no permite escribir en el directorio.
  • Vulnerabilidad en kernel de Linux (CVE-2025-37778)
    Severidad: ALTA
    Fecha de publicación: 01/05/2025
    Fecha de última actualización: 13/02/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: Se corrige el puntero colgante en krb_authenticate. krb_authenticate libera sess->user y no establece el puntero en NULL. Llama a ksmbd_krb5_authenticate para reinicializar sess->user, pero es posible que esta función no lo retorne. Si esto ocurre, smb2_sess_setup, que llama a krb_authenticate, accederá a la memoria liberada cuando utilice posteriormente sess->user.
  • Vulnerabilidad en kernel de Linux (CVE-2025-37947)
    Severidad: ALTA
    Fecha de publicación: 20/05/2025
    Fecha de última actualización: 13/02/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: impide escrituras de flujo fuera de los límites mediante la validación de *pos. ksmbd_vfs_stream_write() no validaba si el desplazamiento de escritura (*pos) estaba dentro de los límites de la longitud de datos del flujo existente (v_len). Si *pos era mayor o igual que v_len, esto podía provocar una escritura en memoria fuera de los límites. Este parche añade una comprobación para garantizar que *pos sea menor que v_len antes de continuar. Si la condición falla, se devuelve -EINVAL.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38501)
    Severidad: MEDIA
    Fecha de publicación: 16/08/2025
    Fecha de última actualización: 13/02/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: limita las conexiones repetidas de clientes con la misma IP. Las conexiones repetidas de clientes con la misma dirección IP pueden agotar el límite máximo de conexiones e impedir otras conexiones normales de clientes. Este parche limita las conexiones repetidas de clientes con la misma IP.
  • Vulnerabilidad en Coder (CVE-2025-66411)
    Severidad: ALTA
    Fecha de publicación: 03/12/2025
    Fecha de última actualización: 13/02/2026
    Coder permite a las organizaciones aprovisionar entornos de desarrollo remotos a través de Terraform. En versiones anteriores a 2.26.5, 2.27.7 y 2.28.4, los manifiestos del Agente de Espacio de Trabajo que contenían valores sensibles se registraban en texto plano sin depurar. Un atacante con acceso local limitado al Espacio de Trabajo de Coder (VM, Pod de K8s, etc.) o a un sistema de terceros (SIEM, pila de registro) podría acceder a esos registros. Esta vulnerabilidad está corregida en 2.26.5, 2.27.7 y 2.28.4.