Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en litestar de litestar-org (CVE-2026-25478)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 17/02/2026
    Litestar es un framework de Interfaz de Pasarela de Servidor Asíncrono (ASGI). Antes de la versión 2.20.0, CORSConfig.allowed_origins_regex se construye utilizando una expresión regular (regex) creada a partir de los valores de la lista de permitidos (allowlist) configurados y se usa con fullmatch() para la validación. Debido a que los metacaracteres no se escapan, un origen malicioso puede coincidir de forma inesperada. La comprobación se basa en allowed_origins_regex.fullmatch(origin). Esta vulnerabilidad se corrige en la versión 2.20.0.
  • Vulnerabilidad en litestar de litestar-org (CVE-2026-25479)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 17/02/2026
    Litestar es un framework de Interfaz de Pasarela de Servidor Asíncrono (ASGI). Antes de la 2.20.0, en litestar.middleware.allowed_hosts, las entradas de la lista de permitidos se compilan en patrones de expresiones regulares de una manera que permite que los metacaracteres de expresiones regulares conserven un significado especial (por ejemplo, . coincide con cualquier carácter). Esto permite una omisión donde un atacante proporciona un host que coincide con la expresión regular pero no es el nombre de host literal previsto. Esta vulnerabilidad se corrige en la 2.20.0.
  • Vulnerabilidad en litestar de litestar-org (CVE-2026-25480)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 17/02/2026
    Litestar es un framework de Interfaz de Pasarela de Servidor Asíncrono (ASGI). Antes de la versión 2.20.0, FileStore mapea las claves de caché a nombres de archivo utilizando la normalización Unicode NFKD y la sustitución ord() sin separadores, creando colisiones de claves. Cuando FileStore se utiliza como backend de caché de respuestas, un atacante remoto no autenticado puede desencadenar colisiones de claves de caché a través de rutas manipuladas, haciendo que una URL sirva respuestas en caché de otra (envenenamiento/mezcla de caché). Esta vulnerabilidad está corregida en la versión 2.20.0.
  • Vulnerabilidad en SAP Business One (B1 Client Memory Dump Files) (CVE-2026-24319)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    En SAP Business One, la información sensible se escribe en los archivos de volcado de memoria de la aplicación sin ofuscación. Obtener acceso a esta información podría potencialmente conducir a operaciones no autorizadas dentro del entorno B1, incluyendo la modificación de datos de la empresa. Este problema resulta en un alto impacto en la confidencialidad y la integridad, sin impacto en la disponibilidad.
  • Vulnerabilidad en SAP NetWeaver and ABAP Platform (Application Server ABAP) (CVE-2026-24320)
    Severidad: BAJA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Debido a una gestión de memoria inadecuada en SAP NetWeaver y ABAP Platform (Servidor de Aplicaciones ABAP), un atacante autenticado podría explotar errores lógicos en la gestión de memoria al proporcionar una entrada especialmente diseñada que contiene caracteres únicos, los cuales se convierten de forma incorrecta. Esto podría resultar en corrupción de memoria y la posible fuga de contenido de la memoria. La explotación exitosa de esta vulnerabilidad tendría un bajo impacto en la confidencialidad de la aplicación, sin efecto en su integridad o disponibilidad.
  • Vulnerabilidad en SAP Commerce Cloud (CVE-2026-24321)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    SAP Commerce Cloud expone múltiples puntos finales de API a usuarios no autenticados, permitiéndoles enviar solicitudes a estos puntos finales abiertos para recuperar información sensible que no está destinada a ser accesible públicamente a través del front-end. Esta vulnerabilidad tiene un bajo impacto en la confidencialidad y no afecta la integridad y la disponibilidad.
  • Vulnerabilidad en SAP Solution Tools Plug-In (ST-PI) (CVE-2026-24322)
    Severidad: ALTA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    SAP Solution Tools Plug-In (ST-PI) contiene un módulo de función que no realiza las comprobaciones de autorización necesarias para usuarios autenticados, permitiendo que se divulgue información sensible. Esta vulnerabilidad tiene un alto impacto en la confidencialidad y no afecta a la integridad ni a la disponibilidad.
  • Vulnerabilidad en SAP Document Management System (CVE-2026-24323)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Las aplicaciones BSP permiten a un usuario no autenticado inyectar contenido de script malicioso a través de parámetros de URL controlados por el usuario que no están suficientemente saneados. Cuando una víctima accede a una URL manipulada, el script inyectado se ejecuta en el navegador de la víctima, lo que conlleva un impacto bajo en la confidencialidad y la integridad, y ningún impacto en la disponibilidad de la aplicación.
  • Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform (AdminTools) (CVE-2026-24324)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    SAP BusinessObjects Business Intelligence Platform (AdminTools) permite a un atacante autenticado con privilegios de usuario ejecutar una consulta específica en AdminTools que podría causar la caída del Content Management Server (CMS), dejando el CMS parcial o completamente no disponible y resultando en la denegación de servicio del Content Management Server (CMS). La explotación exitosa afecta la disponibilidad del sistema, mientras que la confidencialidad y la integridad no se ven afectadas.
  • Vulnerabilidad en SAP BusinessObjects Enterprise (Central Management Console) (CVE-2026-24325)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    SAP BusinessObjects Enterprise no codifica suficientemente las entradas controladas por el usuario, lo que lleva a una vulnerabilidad de cross-site scripting (XSS) almacenado. Esto permite a un usuario administrador inyectar JavaScript malicioso en un sitio web y el script inyectado se ejecuta cuando el usuario visita la página comprometida. Esta vulnerabilidad tiene bajo impacto en la confidencialidad e integridad de los datos. No hay impacto en la disponibilidad de la aplicación.
  • Vulnerabilidad en SAP S/4HANA Defense & Security (Disconnected Operations) (CVE-2026-24326)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Debido a una verificación de autorización faltante en las Operaciones Desconectadas de SAP S/4HANA Defense & Security, un atacante con privilegios de usuario podría llamar módulos de función habilitados remotamente para realizar una actualización directa en una tabla de base de datos SAP estándar. Esto resulta en un impacto bajo en la integridad, sin impacto en la confidencialidad o disponibilidad de la aplicación.
  • Vulnerabilidad en SAP Strategic Enterprise Management (Balanced Scorecard in BSP Application) (CVE-2026-24327)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Debido a la falta de verificación de autorización en SAP Strategic Enterprise Management (Balanced Scorecard en Business Server Pages), un atacante autenticado podría acceder a información a la que de otro modo no está autorizado a ver. Esto conlleva a un bajo impacto en la confidencialidad y ningún efecto en la integridad o disponibilidad.
  • Vulnerabilidad en Business Server Pages Application (TAF_APPLAUNCHER) (CVE-2026-24328)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    SAP TAF_APPLAUNCHER dentro de Business Server Pages permite a un atacante no autenticado crear enlaces maliciosos que, al ser pulsados por una víctima, los redirigen a sitios controlados por el atacante, exponiendo o alterando potencialmente información sensible en el navegador de la víctima. Esto resulta en un impacto bajo en la confidencialidad y la integridad, sin impacto en la disponibilidad de la aplicación.
  • Vulnerabilidad en aardappel lobster (CVE-2026-2259)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Una vulnerabilidad ha sido encontrada en aardappel lobster hasta 2025.4. Afectada por este problema es la función lobster::Parser::ParseStatements en la biblioteca dev/src/lobster/parser.h del componente Parsing. La manipulación conduce a corrupción de memoria. El ataque solo puede ser realizado desde un entorno local. El exploit ha sido divulgado al público y puede ser usado. El identificador del parche es 2f45fe860d00990e79e13250251c1dde633f1f89. Aplicar un parche es la acción recomendada para solucionar este problema.
  • Vulnerabilidad en AXIS Camera Station Pro (CVE-2025-11547)
    Severidad: ALTA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    AXIS Camera Station Pro contenía una falla para realizar un ataque de escalada de privilegios en el servidor como un usuario no administrador.
  • Vulnerabilidad en AXIS Camera Station Pro (CVE-2025-12757)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Una característica de AXIS Camera Station Pro puede ser explotada de una manera que permite a un usuario no administrador ver información a la que no tiene permiso.
  • Vulnerabilidad en AXIS Camera Station Pro (CVE-2025-13064)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Una inyección del lado del servidor fue posible para que un administrador malicioso manipulara la aplicación para incluir un script malicioso que es ejecutado por el servidor. Este ataque solo es posible si el administrador usa un cliente que ha sido manipulado.
  • Vulnerabilidad en AXIS Camera Station Pro (CVE-2025-12063)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Una referencia directa insegura a objeto permitió a un usuario no administrador modificar o eliminar ciertos objetos de datos sin tener los permisos adecuados.