Tres nuevos avisos de seguridad

• CVE-2026-1435: invalidación incorrecta de la sesión en la interfaz web de Graylog, versión 2.2.3, debido a una gestión incorrecta de la validación de la sesión tras nuevos inicios de sesión. La aplicación genera un nuevo 'sessionId' cada vez que un usuario se autentica, pero no invalida los identificadores de sesión emitidos anteriormente, que siguen siendo válidos incluso después de múltiples inicios de sesión consecutivos por parte del mismo usuario. Como resultado, un 'sessionId' robado o filtrado puede seguir utilizándose para autenticar solicitudes válidas. La explotación de esta vulnerabilidad permitiría a un atacante con acceso a la red del servicio web/API (puerto 9000 o punto final HTTP/S del servidor) reutilizar un token de sesión antiguo para obtener acceso no autorizado a la aplicación, interactuar con la API/web y comprometer la integridad de la cuenta afectada.
• CVE-2026-1436: control de acceso inadecuado (IDOR) en la API de Graylog, versión 2.2.3, que se produce al modificar el ID de usuario en la URL. Un usuario autenticado puede acceder a los perfiles de otros usuarios sin las comprobaciones de autorización adecuadas. Aprovechar esta vulnerabilidad permite listar a los usuarios válidos del sistema y acceder a información confidencial de terceros, como nombres, direcciones de correo electrónico, identificadores internos y última actividad. El endpoint 'http://<IP>:12900/users/<my_user>' no implementa validaciones de autorización a nivel de objeto.
• Cross-Site Scripting (XSS) reflejado en la consola de la interfaz web de Graylog, versión 2.2.3, causada por una ausencia de depuración y escape adecuados en la salida HTML. Varios puntos finales incluyen segmentos de la URL directamente en la respuesta sin aplicar la codificación de salida, lo que permite a un atacante inyectar y ejecutar código JavaScript arbitrario cuando un usuario visita una URL especialmente diseñada. La explotación de esta vulnerabilidad puede permitir la ejecución de scripts en el navegador de la víctima y la manipulación limitada del contexto de la sesión del usuario afectado. Los puntos finales afectados se enumeran a continuación:
  • CVE-2026-1437: '/system/authentication/users/edit/';
  • CVE-2026-1438: '/system/nodes/';
  • CVE-2026-1439: '/alerts/';
  • CVE-2026-1440: '/system/pipelines/';  
  • CVE-2026-1441: '/system/index_sets/'.

CVE-2026-2247: vulnerabilidad de inyección SQL (SQLi) en Clicldeu SaaS, concretamente en la generación de boletines, que se produce cuando un atacante remoto previamente autenticado ejecuta una carga maliciosa en la URL generada tras descargar el boletín de notas del alumno en la sección 'Día a día' desde la aplicación móvil.

En la URL del PDF generado, el token de sesión utilizado no caduca, por lo que sigue siendo válido durante días después de su generación, y se pueden introducir caracteres inusuales después del parámetro 'id_alu', lo que da lugar a dos tipos de SQLi: boolean-based blind y time-based blind. La explotación de esta vulnerabilidad podría permitir a un atacante acceder a información confidencial de la base de datos.

CVE-2026-2464: vulnerabilidad de recorrido de directorios (Path Traversal), en el servicio web AMR Printer Management 1.01 Beta, que permite a atacantes remotos leer archivos arbitrarios del sistema Windows subyacente mediante el uso de secuencias de recorrido de rutas especialmente manipuladas en las solicitudes dirigidas al servicio de administración web.

El servicio es accesible sin autenticación y se ejecuta con privilegios elevados, lo que amplifica el impacto de la vulnerabilidad. Un atacante puede aprovechar esta condición para acceder a archivos sensibles y privilegiados del sistema utilizando cargas útiles de recorrido de directorios.

La explotación exitosa de esta vulnerabilidad puede dar lugar a la divulgación no autorizada de información interna del sistema, comprometiendo la confidencialidad del entorno afectado.