Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en /i/:data/ipa.plist en Alist (CVE-2022-26533)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2022
    Fecha de última actualización: 13/02/2026
    Se ha detectado que Alist versiones v2.1.0 y anteriores, contienen una vulnerabilidad de tipo cross-site scripting (XSS) por medio de /i/:data/ipa.plist
  • Vulnerabilidad en curl (CVE-2022-42916)
    Severidad: ALTA
    Fecha de publicación: 29/10/2022
    Fecha de última actualización: 13/02/2026
    En curl anterior a 7.86.0, se podía omitir la verificación HSTS para engañarlo y que se quedara con HTTP. Usando su soporte HSTS, se puede indicar a curl que use HTTPS directamente (en lugar de usar un paso HTTP de texto limpio inseguro) incluso cuando se proporciona HTTP en la URL. Este mecanismo podría omitirse si el nombre de anfitrión en la URL dada usa caracteres IDN que se reemplazan con sus homólogos ASCII como parte de la conversión de IDN, por ejemplo, usando el carácter UTF-8 U+3002 (DEOGRAPHIC FULL STOP) en lugar del ASCII común. punto final de U+002E (.). La primera versión afectada es la 7.77.0 2021-05-26.
  • Vulnerabilidad en HSTS de curl <7.87.0 (CVE-2022-43551)
    Severidad: ALTA
    Fecha de publicación: 23/12/2022
    Fecha de última actualización: 13/02/2026
    Existe una vulnerabilidad en la verificación HSTS de curl <7.87.0 que podría omitirse para engañarlo y seguir usando HTTP. Usando su soporte HSTS, se puede indicar a curl que use HTTPS en lugar de usar un paso HTTP de texto plano inseguro incluso cuando se proporciona HTTP en la URL. Sin embargo, el mecanismo HSTS podría omitirse si el nombre de host en la URL dada utiliza primero caracteres IDN que se reemplazan por sus homólogos ASCII como parte de la conversión de IDN. Como usar el carácter UTF-8 U+3002 (IDEOGRAPHIC FULL STOP) en lugar del punto común ASCII (U+002E) `.`. Luego, en una solicitud posterior, no detecta el estado HSTS y realiza una transferencia de texto plano. Porque almacenaría la información IDN codificada pero la buscaría IDN decodificada.
  • Vulnerabilidad en libcurl (CVE-2022-32221)
    Severidad: CRÍTICA
    Fecha de publicación: 05/12/2022
    Fecha de última actualización: 13/02/2026
    Al realizar transferencias HTTP(S), libcurl podría usar erróneamente la devolución de llamada de lectura (`CURLOPT_READFUNCTION`) para solicitar datos para enviar, incluso cuando se haya configurado la opción `CURLOPT_POSTFIELDS`, si anteriormente se usó el mismo identificador para emitir un `PUT `solicitud que utilizó esa devolución de llamada. Esta falla puede sorprender a la aplicación y hacer que se comporte mal y envíe datos incorrectos o use memoria después de liberarla o algo similar en la solicitud "POST" posterior. El problema existe en la lógica de un identificador reutilizado cuando se cambia de PUT a POST.
  • Vulnerabilidad en SQLite (CVE-2022-35737)
    Severidad: ALTA
    Fecha de publicación: 03/08/2022
    Fecha de última actualización: 13/02/2026
    SQLite versiones 1.0.12 hasta 3.39.x anteriores a 3.39.2, permite a veces un desbordamiento de límites de matriz si son usados miles de millones de bytes en un argumento de cadena para una API de C
  • Vulnerabilidad en Alist v3.5.1 (CVE-2022-45970)
    Severidad: MEDIA
    Fecha de publicación: 12/12/2022
    Fecha de última actualización: 13/02/2026
    Alist v3.5.1 es vulnerable a Cross Site Scripting (XSS) a través del tablero de anuncios.
  • Vulnerabilidad en Alist v3.4.0 (CVE-2022-45968)
    Severidad: ALTA
    Fecha de publicación: 12/12/2022
    Fecha de última actualización: 13/02/2026
    Alist v3.4.0 es vulnerable a la carga de archivos. Un usuario con permiso únicamente para cargar archivos puede cargar cualquier archivo en cualquier carpeta (incluso una protegida con contraseña).
  • Vulnerabilidad en Alist v3.4.0 (CVE-2022-45969)
    Severidad: CRÍTICA
    Fecha de publicación: 15/12/2022
    Fecha de última actualización: 13/02/2026
    Alist v3.4.0 es vulnerable a Directory Traversal.
  • Vulnerabilidad en alist (CVE-2023-33498)
    Severidad: ALTA
    Fecha de publicación: 07/06/2023
    Fecha de última actualización: 13/02/2026
    alist <=3.16.3 es vulnerable a un control de acceso incorrecto. Las cuentas con poco nivel de privilegios pueden cargar cualquier archivo.
  • Vulnerabilidad en EXPRESSION_TEMPLATES en Argo Workflows (CVE-2021-37914)
    Severidad: MEDIA
    Fecha de publicación: 03/08/2021
    Fecha de última actualización: 13/02/2026
    En Argo Workflows versiones hasta 3.1.3, si EXPRESSION_TEMPLATES está habilitado y usuarios no confiables pueden especificar parámetros de entrada cuando ejecutan workflows, un atacante es capaz de interrumpir un workflow porque la salida de la plantilla expression es evaluada
  • Vulnerabilidad en el archivo misc.c en la función net_bind() en OwnTone (CVE-2021-38383)
    Severidad: CRÍTICA
    Fecha de publicación: 10/08/2021
    Fecha de última actualización: 13/02/2026
    OwnTone (también se conoce como owntone-server) versiones hasta 28.1, presenta un uso de la memoria previamente liberada en la función net_bind() en el archivo misc.c
  • Vulnerabilidad en Google Map y OpenStreetMap para Codeboxr CBX Map (CVE-2023-47240)
    Severidad: MEDIA
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 13/02/2026
    Vulnerabilidad de Cross-Site Scripting (XSS) autenticada (con permisos de colaboradores o superiores) almacenada en el complemento Google Map y OpenStreetMap para Codeboxr CBX Map en versiones <=1.1.11.
  • Vulnerabilidad en AList (CVE-2024-47067)
    Severidad: MEDIA
    Fecha de publicación: 30/09/2024
    Fecha de última actualización: 13/02/2026
    AList es un programa de listas de archivos que admite varios almacenamientos. AList contiene una vulnerabilidad de cross-site scripting reflejado en helper.go. El punto de conexión /i/:link_name toma un valor proporcionado por el usuario y lo refleja en la respuesta. El punto de conexión devuelve una respuesta application/xml, lo que la abre a las etiquetas HTML a través de XHTML y, por lo tanto, genera una vulnerabilidad XSS. Esta vulnerabilidad se solucionó en la versión 3.29.0.
  • Vulnerabilidad en H3C Magic NX15, Magic NX30 Pro, Magic NX400, Magic R3010 y Magic BE18000 (CVE-2025-3546)
    Severidad: ALTA
    Fecha de publicación: 14/04/2025
    Fecha de última actualización: 13/02/2026
    Se encontró una vulnerabilidad en H3C Magic NX15, Magic NX30 Pro, Magic NX400, Magic R3010 y Magic BE18000 hasta la versión V100R014. Se ha declarado crítica. Esta vulnerabilidad afecta a la función FCGI_CheckStringIfContainsSemicolon del archivo /api/wizard/getLanguage del componente HTTP POST Request Handler. La manipulación provoca la inyección de comandos. El ataque solo puede realizarse dentro de la red local. Se ha hecho público el exploit y puede que sea utilizado. Se recomienda actualizar el componente afectado.