Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Zscaler Client Connector (CVE-2024-23461)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 17/02/2026
    Una vulnerabilidad de validación incorrecta del valor de verificación de integridad en Zscaler Client Connector en MacOS durante el proceso de actualización puede permitir una ejecución local de código. Este problema afecta a Client Connector en MacOS: versiones anteriores a 3.4.
  • Vulnerabilidad en AutoGPT de Significant-Gravitas (CVE-2025-32393)
    Severidad: ALTA
    Fecha de publicación: 05/02/2026
    Fecha de última actualización: 17/02/2026
    AutoGPT es una plataforma que permite a los usuarios crear, desplegar y gestionar agentes de inteligencia artificial continuos que automatizan flujos de trabajo complejos. Previo a autogpt-platform-beta-v0.6.32, existe una vulnerabilidad de DoS en ReadRSSFeedBlock. En RSSBlock, se llama a feedparser.parser para obtener el archivo XML según la URL introducida por el usuario, analizar el XML y finalmente obtener el resultado analizado. Sin embargo, durante el proceso de análisis, no hay límite en el tiempo de análisis ni en los recursos que se pueden asignar para el análisis. Cuando un usuario malicioso permite que RSSBlock analice un XML cuidadosamente construido y profundo, provocará el agotamiento de los recursos de memoria, causando finalmente DoS. Este problema ha sido parcheado en autogpt-platform-beta-v0.6.32.
  • Vulnerabilidad en micropython (CVE-2026-1998)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 17/02/2026
    Se ha encontrado una falla en micropython hasta la versión 1.27.0. Esta vulnerabilidad afecta a la función mp_import_all del archivo py/runtime.c. Esta manipulación causa corrupción de memoria. El ataque necesita ser lanzado localmente. El exploit ha sido publicado y puede ser usado. Nombre del parche: 570744d06c5ba9dba59b4c3f432ca4f0abd396b6. Se sugiere instalar un parche para abordar este problema.
  • Vulnerabilidad en DCME-320 de DCN (CVE-2026-2000)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 17/02/2026
    Se encontró una vulnerabilidad en DCN DCME-320 hasta 20260121. La función apply_config del archivo /function/system/basic/bridge_cfg.php del componente Web Management Backend se ve afectada. Realizar una manipulación del argumento ip_list resulta en inyección de comandos. El ataque puede llevarse a cabo de forma remota. El exploit se ha hecho público y podría ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en fermat-mcp de abhiphile (CVE-2026-2008)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 17/02/2026
    Se detectó una vulnerabilidad en abhiphile fermat-mcp hasta 47f11def1cd37e45dd060f30cdce346cbdbd6f0a. Esta vulnerabilidad afecta a la función eqn_chart del archivo fmcp/mpl_mcp/core/eqn_chart.py. Realizar una manipulación del argumento equations resulta en inyección de código. Es posible iniciar el ataque de forma remota. El exploit ya es público y puede ser utilizado. Este producto utiliza un rolling release para proporcionar entrega continua. Por lo tanto, no hay detalles de versión disponibles para las versiones afectadas ni actualizadas. El proyecto fue informado del problema con antelación a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en PublicCMS de Sanluan (CVE-2026-2010)
    Severidad: BAJA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 17/02/2026
    Una vulnerabilidad ha sido encontrada en Sanluan PublicCMS hasta 4.0.202506.d/5.202506.d/6.202506.d. Afectada es la función Paid del archivo publiccms-parent/publiccms-trade/src/main/java/com/publiccms/logic/service/trade/TradePaymentService.java del componente Trade Payment Handler. La manipulación del argumento paymentId lleva a autorización impropia. El ataque puede ser iniciado remotamente. La complejidad de un ataque es bastante alta. La explotabilidad es considerada difícil. El exploit ha sido divulgado al público y puede ser usado. El identificador del parche es 7329437e1288540336b1c66c114ed3363adcba02. Se recomienda aplicar un parche para solucionar este problema.
  • Vulnerabilidad en libfastcommon de happyfish100 (CVE-2026-2016)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 17/02/2026
    Se ha detectado una vulnerabilidad de seguridad en happyfish100 libfastcommon hasta la versión 1.0.84. Afectada por esta vulnerabilidad es la función base64_decode del archivo src/base64.c. La manipulación conduce a un desbordamiento de búfer basado en pila. Se requiere acceso local para abordar este ataque. El exploit ha sido divulgado públicamente y puede ser utilizado. El identificador del parche es 82f66af3e252e3e137dba0c3891570f085e79adf. Aplicar un parche es la acción recomendada para solucionar este problema.
  • Vulnerabilidad en yshopmall de guchengwuyue (CVE-2026-2146)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2026
    Fecha de última actualización: 17/02/2026
    Se ha descubierto una vulnerabilidad de seguridad en guchengwuyue yshopmall hasta la versión 1.9.1. Esto afecta a la función updateAvatar del archivo /API/users/updateAvatar del componente co.yixiang.utils.FileUtil. Realizar una manipulación del argumento File resulta en una carga sin restricciones. El ataque puede ser llevado a cabo de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques. El proyecto fue informado del problema tempranamente a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en JFinalCMS (CVE-2026-2200)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 17/02/2026
    Se ha identificado una debilidad en heyewei JFinalCMS 5.0.0. Esto afecta a una función desconocida del archivo /admin/admin/save del componente API Endpoint. La ejecución de una manipulación puede conducir a cross-site scripting. El ataque puede lanzarse remotamente. El exploit se ha puesto a disposición del público y podría utilizarse para ataques.
  • Vulnerabilidad en aardappel lobster (CVE-2026-2258)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Se ha encontrado un fallo en aardappel lobster hasta 2025.4. Afectada por esta vulnerabilidad es la función WaveFunctionCollapse en la biblioteca dev/src/lobster/wfc.h. Ejecutar una manipulación puede llevar a corrupción de memoria. El ataque solo puede ser ejecutado localmente. El exploit ha sido publicado y puede ser usado. Este parche se llama c2047a33e1ac2c42ab7e8704b33f7ea518a11ffd. Es aconsejable implementar un parche para corregir este problema.
  • Vulnerabilidad en SAP NetWeaver Application Server ABAP and SAP S/4HANA (CVE-2026-0484)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Debido a la falta de verificación de autorización en SAP NetWeaver Servidor de aplicaciones ABAP y SAP S/4HANA, un atacante autenticado podría acceder a un código de transacción específico y modificar los datos de texto en el sistema. Esta vulnerabilidad tiene un alto impacto en la integridad de la aplicación sin efecto en la confidencialidad y disponibilidad.
  • Vulnerabilidad en SAP BusinessObjects BI Platform (CVE-2026-0485)
    Severidad: ALTA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    SAP BusinessObjects BI Platform permite a un atacante no autenticado enviar solicitudes especialmente diseñadas que podrían causar que el Content Management Server (CMS) se bloquee y se reinicie automáticamente. Al enviar repetidamente estas solicitudes, el atacante podría inducir una interrupción persistente del servicio, dejando el CMS completamente no disponible. La explotación exitosa resulta en un alto impacto en la disponibilidad, mientras que la confidencialidad y la integridad no se ven afectadas.
  • Vulnerabilidad en ABAP based SAP systems (CVE-2026-0486)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    En sistemas SAP basados en ABAP, un módulo de función habilitado remotamente no realiza las comprobaciones de autorización necesarias para un usuario autenticado, resultando en la divulgación de información del sistema. Esto tiene bajo impacto en la confidencialidad. La integridad y la disponibilidad no se ven impactadas.
  • Vulnerabilidad en SAP CRM and SAP S/4HANA (Scripting Editor) (CVE-2026-0488)
    Severidad: CRÍTICA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Un atacante autenticado en SAP CRM y SAP S/4HANA (Editor de scripts) podría explotar una vulnerabilidad en una llamada a un módulo de función genérico y ejecutar funcionalidades críticas no autorizadas, lo que incluye la capacidad de ejecutar una sentencia SQL arbitraria. Esto conduce a un compromiso total de la base de datos con alto impacto en la confidencialidad, integridad y disponibilidad.
  • Vulnerabilidad en SAP BusinessObjects BI Platform (CVE-2026-0490)
    Severidad: ALTA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    SAP BusinessObjects BI Platform permite a un atacante no autenticado elaborar una solicitud de red específica al punto final de confianza que rompe la autenticación, lo que impide que los usuarios legítimos accedan a la plataforma. Como resultado, tiene un alto impacto en la disponibilidad, pero ningún impacto en la confidencialidad y la integridad.
  • Vulnerabilidad en SAP Document Management System (CVE-2026-0505)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Las aplicaciones BSP permiten a un usuario no autenticado manipular parámetros URL controlados por el usuario que no están suficientemente validados. Esto podría resultar en una redirección no validada a sitios web controlados por el atacante, lo que conlleva un impacto bajo en la confidencialidad y la integridad, y ningún impacto en la disponibilidad de la aplicación.
  • Vulnerabilidad en SAP BusinessObjects Business Intelligence Platform (CVE-2026-0508)
    Severidad: ALTA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    La plataforma SAP BusinessObjects Business Intelligence permite a un atacante autenticado con privilegios elevados insertar una URL maliciosa dentro de la aplicación. Tras una explotación exitosa, la víctima podría hacer clic en esta URL maliciosa, lo que resultaría en una redirección no validada a un dominio controlado por el atacante y, posteriormente, la descarga de contenido malicioso. Esta vulnerabilidad tiene un alto impacto en la confidencialidad y la integridad de la aplicación, sin ningún efecto en la disponibilidad de la aplicación.
  • Vulnerabilidad en SAP NetWeaver Application Server ABAP and ABAP Platform (CVE-2026-0509)
    Severidad: CRÍTICA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    SAP NetWeaver Servidor de Aplicaciones ABAP y Plataforma ABAP permite a un usuario autenticado y con bajos privilegios realizar llamadas a funciones remotas en segundo plano sin la autorización S_RFC requerida en ciertos casos. Esto puede resultar en un alto impacto en la integridad y disponibilidad, y ningún impacto en la confidencialidad de la aplicación.
  • Vulnerabilidad en SAP Support Tools Plug-In (CVE-2026-23681)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Debido a la falta de verificación de autorización en un módulo de función en el Plug-In de Herramientas de Soporte de SAP, un atacante autenticado podría invocar módulos de función específicos para recuperar información sobre el sistema y su configuración. Esta divulgación de la información del sistema podría ayudar al atacante a planificar ataques subsiguientes. Esta vulnerabilidad tiene un bajo impacto en la confidencialidad de la aplicación, sin efecto en su integridad o disponibilidad.
  • Vulnerabilidad en SAP Commerce Cloud (CVE-2026-23684)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Existe una vulnerabilidad de condición de carrera en la nube de SAP Commerce. Debido a esto, cuando un atacante añade productos a un carrito, puede resultar en la creación de una entrada de carrito con un valor de producto erróneo que podría ser finalizada la compra. Esto conlleva un alto impacto en la integridad de los datos, sin impacto en la confidencialidad de los datos ni en la disponibilidad de la aplicación.
  • Vulnerabilidad en SAP NetWeaver (JMS service) (CVE-2026-23685)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Debido a una vulnerabilidad de deserialización en SAP NetWeaver (servicio JMS), un atacante autenticado como administrador con acceso local podría enviar contenido especialmente diseñado al servidor. Si es procesado por la aplicación, este contenido podría desencadenar un comportamiento no deseado durante la ejecución de la lógica interna, causando potencialmente una denegación de servicio. La explotación exitosa resulta en un alto impacto en la disponibilidad, mientras que la confidencialidad y la integridad permanecen inafectadas.
  • Vulnerabilidad en SAP NetWeaver Application Server Java (CVE-2026-23686)
    Severidad: BAJA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Debido a una vulnerabilidad de inyección CRLF en SAP NetWeaver Servidor de Aplicaciones Java, un atacante autenticado con acceso administrativo podría enviar contenido especialmente diseñado a la aplicación. Si es procesado por la aplicación, este contenido permite la inyección de entradas no confiables en la configuración generada, lo que permite la manipulación de configuraciones controladas por la aplicación. La explotación exitosa conlleva a un bajo impacto en la integridad, mientras que la confidencialidad y la disponibilidad no se ven afectadas.
  • Vulnerabilidad en SAP NetWeaver AS ABAP and ABAP Platform (CVE-2026-23687)
    Severidad: ALTA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    SAP NetWeaver Servidor de Aplicaciones ABAP y Plataforma ABAP permite a un atacante autenticado con privilegios normales obtener un mensaje firmado válido y enviar documentos XML firmados modificados al verificador. Esto puede resultar en la aceptación de información de identidad manipulada, acceso no autorizado a datos de usuario sensibles y una posible interrupción del uso normal del sistema.
  • Vulnerabilidad en SAP Fiori App (Manage Service Entry Sheets - Lean Services) (CVE-2026-23688)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    La aplicación SAP Fiori Gestionar Hojas de Entrada de Servicios no realiza las comprobaciones de autorización necesarias para un usuario autenticado, resultando en una escalada de privilegios. Esto tiene bajo impacto en la integridad, la confidencialidad y la disponibilidad no se ven afectadas.
  • Vulnerabilidad en SAP Supply Chain Management (CVE-2026-23689)
    Severidad: ALTA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Debido a una vulnerabilidad de consumo de recursos no controlado (denegación de servicio), un atacante autenticado con privilegios de usuario regular y acceso a la red puede invocar repetidamente un módulo de función habilitado remotamente con un parámetro de control de bucle excesivamente grande. Esto desencadena una ejecución de bucle prolongada que consume recursos excesivos del sistema, lo que podría dejar el sistema no disponible. La explotación exitosa resulta en una condición de denegación de servicio que afecta la disponibilidad, mientras que la confidencialidad y la integridad permanecen inafectadas.
  • Vulnerabilidad en SAP Business Workflow (CVE-2026-24312)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 17/02/2026
    Una verificación de autorización errónea en SAP Business Workflow conduce a escalada de privilegios. Un usuario administrativo autenticado puede eludir las restricciones de rol aprovechando permisos de una función menos sensible para ejecutar acciones no autorizadas y de alto privilegio. Esto tiene un alto impacto en la integridad de los datos, con bajo impacto en la confidencialidad y sin impacto en la disponibilidad de la aplicación.