Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en square/squalor (CVE-2020-36645)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2023
    Fecha de última actualización: 18/02/2026
    Se ha encontrado una vulnerabilidad clasificada como crítica en la librería square/squalor. Esto afecta a una parte desconocida. La manipulación conduce a la inyección de SQL. La actualización a la versión v0.0.0 puede solucionar este problema. El parche se llama f6f0a47cc344711042eb0970cb423e6950ba3f93. Se recomienda actualizar el componente afectado. El identificador asociado de esta vulnerabilidad es VDB-217623.
  • Vulnerabilidad en Catdoc (CVE-2023-41633)
    Severidad: MEDIA
    Fecha de publicación: 01/09/2023
    Fecha de última actualización: 18/02/2026
    Se ha descubierto que Catdoc v0.95 contiene una desviación de puntero NULL a través del componente "xls2csv" en "src/fileutil.c".
  • Vulnerabilidad en Atarim Visual Website Collaboration, Feedback & Project Management (CVE-2023-47544)
    Severidad: ALTA
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 18/02/2026
    Vulnerabilidad de Cross-Site Scripting (XSS)Almacenada No Autenticada en Atarim Visual Website Collaboration, Feedback & Project Management en el complemento de Atarim en versiones <= 3.12.
  • Vulnerabilidad en Carrier MASmobile Classic (CVE-2023-36483)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2024
    Fecha de última actualización: 18/02/2026
    Se descubrió una omisión de autorización en la aplicación Carrier MASmobile Classic hasta la versión 1.16.18 para Android, la aplicación MASmobile Classic hasta la 1.7.24 para iOS y los servicios MAS ASP.Net hasta la 1.9. Esto se puede lograr mediante la predicción de ID de sesión, lo que permite a atacantes remotos recuperar datos confidenciales, incluidos datos de clientes, estado del sistema de seguridad e historial de eventos. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante. Los productos afectados no pueden simplemente actualizarse; deben eliminarse, pero pueden reemplazarse por otro software de Carrier como se explica en el aviso de Carrier.
  • Vulnerabilidad en catdoc 0.95 (CVE-2024-52035)
    Severidad: ALTA
    Fecha de publicación: 02/06/2025
    Fecha de última actualización: 18/02/2026
    Existe una vulnerabilidad de desbordamiento de enteros en la función Analizador de la Tabla de Asignación de Archivos de Documentos OLE de catdoc 0.95. Un archivo malformado especialmente manipulado puede provocar daños en la memoria del montón. Un atacante puede proporcionar un archivo malicioso para activar esta vulnerabilidad.
  • Vulnerabilidad en catdoc 0.95 (CVE-2024-54028)
    Severidad: ALTA
    Fecha de publicación: 02/06/2025
    Fecha de última actualización: 18/02/2026
    Existe una vulnerabilidad de subdesbordamiento de enteros en la funcionalidad del analizador DIFAT de documentos OLE de catdoc 0.95. Un archivo malformado especialmente manipulado puede provocar una corrupción de memoria en el montón. Un atacante puede proporcionar un archivo malicioso para activar esta vulnerabilidad.
  • Vulnerabilidad en jsPDF de parallax (CVE-2026-24040)
    Severidad: MEDIA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 18/02/2026
    jsPDF es una biblioteca para generar PDFs en JavaScript. Antes de la versión 4.1.0, el método addJS en la compilación de Node.js de jspdf utiliza una variable compartida con ámbito de módulo (text) para almacenar contenido JavaScript. Cuando se utiliza en un entorno concurrente (por ejemplo, un servidor web Node.js), esta variable se comparte entre todas las solicitudes. Si múltiples solicitudes generan PDFs simultáneamente, el contenido JavaScript destinado a un usuario puede ser sobrescrito por una solicitud subsiguiente antes de que se genere el documento. Esto resulta en una Fuga de Datos entre Usuarios (Cross-User Data Leakage), donde el PDF generado para el Usuario A contiene la carga útil de JavaScript (y cualquier dato sensible incrustado) destinada al Usuario B. Típicamente, esto solo afecta a entornos del lado del servidor, aunque las mismas condiciones de carrera podrían ocurrir si jsPDF se ejecuta del lado del cliente. La vulnerabilidad ha sido corregida en jsPDF@4.1.0.
  • Vulnerabilidad en jsPDF de parallax (CVE-2026-24043)
    Severidad: MEDIA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 18/02/2026
    jsPDF es una biblioteca para generar PDFs en JavaScript. Anteriormente a la versión 4.1.0, el control del usuario sobre el primer argumento de la función addMetadata permite a los usuarios inyectar XML arbitrario. Si se le ofrece la posibilidad de pasar entrada no saneada al método addMetadata, un usuario puede inyectar metadatos XMP arbitrarios en el PDF generado. Si el PDF generado es firmado, almacenado o procesado de alguna otra manera posteriormente, la integridad del PDF ya no puede garantizarse. La vulnerabilidad ha sido corregida en jsPDF@4.1.0.
  • Vulnerabilidad en jsPDF (CVE-2026-24133)
    Severidad: ALTA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 18/02/2026
    jsPDF es una biblioteca para generar PDFs en JavaScript. Anterior a la 4.1.0, el control del usuario sobre el primer argumento del método addImage resulta en denegación de servicio. Si se le da la posibilidad de pasar datos de imagen o URLs no saneados al método addImage, un usuario puede proporcionar un archivo BMP malicioso que resulta en errores de falta de memoria y denegación de servicio. Los archivos BMP maliciosos tienen entradas grandes de ancho y/o alto en sus cabeceras, lo que lleva a una asignación de memoria excesiva. El método html también se ve afectado. La vulnerabilidad ha sido corregida en jsPDF@4.1.0.
  • Vulnerabilidad en jsPDF (CVE-2026-24737)
    Severidad: ALTA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 18/02/2026
    jsPDF es una biblioteca para generar PDFs en JavaScript. Antes de 4.1.0, el control del usuario sobre las propiedades y métodos del módulo Acroform permite a los usuarios inyectar objetos PDF arbitrarios, como acciones JavaScript. Si se da la posibilidad de pasar entrada no saneada a uno de los siguientes métodos o propiedades, un usuario puede inyectar objetos PDF arbitrarios, como acciones JavaScript, que se ejecutan cuando la víctima abre el documento. Los miembros de la API vulnerables son AcroformChoiceField.addOption, AcroformChoiceField.setOptions, AcroFormCheckBox.appearanceState y AcroFormRadioButton.appearanceState. La vulnerabilidad ha sido corregida en jsPDF@4.1.0.
  • Vulnerabilidad en SandboxJS (CVE-2026-25142)
    Severidad: CRÍTICA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 18/02/2026
    SandboxJS es una biblioteca de sandboxing de JavaScript. Antes de la versión 0.8.27, SandboxJS no restringe adecuadamente __lookupGetter__, que puede usarse para obtener prototipos, lo que puede usarse para escapar del sandbox / ejecución remota de código. Esta vulnerabilidad está corregida en la versión 0.8.27.
  • Vulnerabilidad en pdfonline.foxit.com (CVE-2026-1591)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 18/02/2026
    Foxit PDF Editor Cloud (pdfonline) contiene una vulnerabilidad de cross-site scripting almacenado en la función de carga de archivos. Un nombre de usuario malicioso se incrusta en la lista de archivos cargados sin el escape adecuado, permitiendo la ejecución arbitraria de JavaScript cuando se muestra la lista. Este problema afecta a pdfonline.foxit.com: antes del 03-02-2026.
  • Vulnerabilidad en pdfonline.foxit.com (CVE-2026-1592)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 18/02/2026
    Foxit PDF Editor Cloud (pdfonline) contiene una vulnerabilidad de cross-site scripting almacenada en la función 'Crear nueva capa'. La entrada de usuario no saneada se incrusta en la salida HTML, permitiendo la ejecución arbitraria de JavaScript cuando se hace referencia a la capa. Este problema afecta a pdfonline.foxit.com: antes del 2026?02?03.
  • Vulnerabilidad en Craft Commerce (CVE-2026-25522)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 18/02/2026
    Craft Commerce es una plataforma de comercio electrónico para Craft CMS. En las versiones desde la 4.0.0-RC1 hasta la 4.10.0 y desde la 5.0.0 hasta la 5.5.1, una vulnerabilidad XSS almacenada en Craft Commerce permite a los atacantes ejecutar JavaScript malicioso en el navegador de un administrador. Esto ocurre porque los campos de Zona de Envío (Nombre y Descripción) en la sección de Gestión de la Tienda no se sanean correctamente antes de ser mostrados en el panel de administración. Este problema ha sido parcheado en las versiones 4.10.1 y 5.5.2.
  • Vulnerabilidad en Fast DDS (CVE-2025-62601)
    Severidad: BAJA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 18/02/2026
    Fast DDS es una implementación en C++ del estándar DDS (Data Distribution Service) de la OMG (Object Management Group). Antes de las versiones 3.4.1, 3.3.1 y 2.6.11, cuando el modo de seguridad está habilitado, la modificación del Submensaje DATA dentro de un paquete SPDP enviado por un publicador provoca un desbordamiento de búfer de pila, lo que resulta en la terminación remota de Fast-DDS. Si los campos de 'PID_IDENTITY_TOKEN' o 'PID_PERMISSIONS_TOKEN' en el Submensaje DATA — específicamente al manipular el valor 'str_size' leído por 'readString' (llamado desde 'readBinaryProperty') — son modificados, puede ocurrir un desbordamiento de entero de 32 bits, haciendo que 'std::vector::resize' utilice un tamaño controlado por el atacante y desencadene rápidamente un desbordamiento de búfer de pila y la terminación remota del proceso. Las versiones 3.4.1, 3.3.1 y 2.6.11 corrigen el problema.
  • Vulnerabilidad en Fast DDS (CVE-2025-62602)
    Severidad: BAJA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 18/02/2026
    Fast DDS es una implementación en C++ del estándar DDS (Data Distribution Service) de la OMG (Object Management Group). Antes de las versiones 3.4.1, 3.3.1 y 2.6.11, cuando el modo de seguridad está habilitado, modificar el Submensaje DATA dentro de un paquete SPDP enviado por un publicador causa un desbordamiento de búfer de pila, lo que resulta en la terminación remota de Fast-DDS. Si los campos de `PID_IDENTITY_TOKEN` o `PID_PERMISSIONS_TOKEN` en el Submensaje DATA son manipulados — especialmente `readOctetVector` lee un `vecsize` no verificado que se propaga sin cambios a `readData` como el parámetro `length` — el `vecsize` controlado por el atacante puede desencadenar un desbordamiento de entero de 32 bits durante el cálculo de `length`. Ese desbordamiento puede causar un intento de asignación grande que rápidamente lleva a OOM, habilitando una denegación de servicio activable remotamente y la terminación remota del proceso. Las versiones 3.4.1, 3.3.1 y 2.6.11 corrigen el problema.
  • Vulnerabilidad en Fast DDS (CVE-2025-62603)
    Severidad: BAJA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 18/02/2026
    Fast DDS es una implementación en C++ del estándar DDS (Data Distribution Service) de la OMG (Object Management Group). ParticipantGenericMessage es el contenedor de mensajes de control de DDS Security que transporta no solo el handshake sino también el tráfico de control de seguridad continuo después del handshake, como el intercambio de cripto-tokens, el rekeying, la re-autenticación y la entrega de tokens para los endpoints que aparecen recientemente. Al recibir, el analizador CDR se invoca primero y deserializa el 'message_data' (es decir, el 'DataHolderSeq') a través de la ruta 'readParticipantGenericMessage ? readDataHolderSeq'. El 'DataHolderSeq' se analiza secuencialmente: un recuento de secuencia ('uint32'), y para cada DataHolder la cadena 'class_id' (por ejemplo, 'DDS:Auth:PKI-DH:1.0+Req'), propiedades de cadena (una secuencia de pares clave/valor), y propiedades binarias (un nombre más un vector de octetos). El analizador opera a un nivel sin estado y no conoce el estado de capas superiores (por ejemplo, si el handshake ya se ha completado), por lo que despliega completamente la estructura antes de distinguir el tráfico legítimo del malformado. Debido a que RTPS permite duplicados, retrasos y retransmisiones, un receptor debe realizar al menos un análisis estructural mínimo para verificar la identidad y los números de secuencia antes de descartar o procesar un mensaje; la implementación actual, sin embargo, no 'echa un vistazo' solo a una cabecera mínima y en su lugar analiza todo el 'DataHolderSeq'. Como resultado, antes de las versiones 3.4.1, 3.3.1 y 2.6.11, este comportamiento de análisis puede desencadenar una condición de falta de memoria y terminar el proceso de forma remota. Las versiones 3.4.1, 3.3.1 y 2.6.11 parchean el problema.
  • Vulnerabilidad en Fast DDS (CVE-2025-62799)
    Severidad: ALTA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 18/02/2026
    Fast DDS es una implementación en C++ del estándar DDS (Data Distribution Service) de la OMG (Object Management Group). Antes de las versiones 3.4.1, 3.3.1 y 2.6.11, existe un desbordamiento de búfer de pila en la ruta de recepción DATA_FRAG de Fast-DDS. Un remitente no autenticado puede transmitir un único paquete RTPS DATA_FRAG malformado donde 'fragmentSize' y 'sampleSize' están manipulados para violar suposiciones internas. Debido a un paso de alineación de 4 bytes durante la inicialización de los metadatos del fragmento, el código escribe más allá del final del búfer de carga útil asignado, causando un fallo inmediato (DoS) y potencialmente permitiendo la corrupción de memoria (riesgo de RCE). Las versiones 3.4.1, 3.3.1 y 2.6.11 parchean el problema.
  • Vulnerabilidad en Fast DDS (CVE-2025-64098)
    Severidad: BAJA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 18/02/2026
    Fast DDS es una implementación en C++ del estándar DDS (Data Distribution Service) de la OMG (Object Management Group). Antes de las versiones 3.4.1, 3.3.1 y 2.6.11, cuando el modo de seguridad está habilitado, modificar el Submensaje DATA dentro de un paquete SPDP enviado por un publicador causa una condición de Out-Of-Memory (OOM), lo que resulta en la terminación remota de Fast-DDS. Si los campos de PID_IDENTITY_TOKEN o PID_PERMISSIONS_TOKEN en el Submensaje DATA son manipulados — específicamente al manipular el valor vecsize leído por readOctetVector — puede ocurrir un desbordamiento de entero de 32 bits, haciendo que std::vector::resize solicite un tamaño controlado por el atacante y desencadene rápidamente OOM y la terminación remota del proceso. Las versiones 3.4.1, 3.3.1 y 2.6.11 parchean el problema.
  • Vulnerabilidad en Fast-DDS (CVE-2025-64438)
    Severidad: BAJA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 18/02/2026
    Fast DDS es una implementación en C++ del estándar DDS (Data Distribution Service) de la OMG (Object Management Group). Antes de las versiones 3.4.1, 3.3.1 y 2.6.11, existe una denegación de servicio por falta de memoria (OOM) que puede ser activada remotamente en Fast-DDS al procesar submensajes RTPS GAP bajo QoS RELIABLE. Al enviar un pequeño paquete GAP con un enorme rango de brecha ('gapList.base - gapStart'), un atacante lleva a 'StatefulReader::processGapMsg()' a un bucle ilimitado que inserta millones de números de secuencia en 'WriterProxy::changes_received_' ('std::set'), causando un crecimiento de la pila de varios GB y la terminación del proceso. No se requiere autenticación más allá de la accesibilidad de red al lector en el dominio DDS. En entornos sin un límite de RSS (no-ASan / ilimitado), se observó que el consumo de memoria aumentaba a ~64 GB. Las versiones 3.4.1, 3.3.1 y 2.6.11 corrigen el problema.
  • Vulnerabilidad en OpenSTAManager (CVE-2025-69213)
    Severidad: ALTA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 18/02/2026
    OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. En la versión 2.9.8 y anteriores, existe una vulnerabilidad de inyección SQL en el endpoint ajax_complete.php al manejar la operación get_sedi. Un atacante autenticado puede inyectar código SQL malicioso a través del parámetro idanagrafica, lo que lleva a un acceso no autorizado a la base de datos. En el momento de la publicación, no existe ningún parche conocido.
  • Vulnerabilidad en OpenSTAManager (CVE-2025-69215)
    Severidad: ALTA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 18/02/2026
    OpenSTAManager es un software de gestión de código abierto para asistencia técnica y facturación. En la versión 2.9.8 y anteriores, existe una vulnerabilidad de inyección SQL en el Módulo Stampe. Al momento de la publicación, no existe ningún parche conocido.
  • Vulnerabilidad en melange de Chainguard-dev (CVE-2026-24843)
    Severidad: ALTA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 18/02/2026
    melange permite a los usuarios construir paquetes apk utilizando pipelines declarativos. En las versiones 0.11.3 hasta antes de la 0.40.3, un atacante que puede influir en el flujo tar desde una VM invitada de QEMU podría escribir archivos fuera del directorio de espacio de trabajo previsto en el host. La función retrieveWorkspace extrae entradas tar sin validar que las rutas permanezcan dentro del espacio de trabajo, permitiendo el salto de ruta a través de secuencias ../. Este problema ha sido parcheado en la versión 0.40.3.
  • Vulnerabilidad en melange de Chainguard-dev (CVE-2026-24844)
    Severidad: ALTA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 18/02/2026
    melange permite a los usuarios construir paquetes apk usando pipelines declarativos. Desde la versión 0.3.0 hasta antes de la 0.40.3, un atacante que puede proporcionar valores de entrada de construcción, pero no modificar las definiciones de pipeline, podría ejecutar comandos de shell arbitrarios si el pipeline usa sustituciones ${{vars.*}} o ${{inputs.*}} en working-directory. El campo se incrusta en scripts de shell sin el escape de comillas adecuado. Este problema ha sido parcheado en la versión 0.40.3.
  • Vulnerabilidad en melange de Chainguard-dev (CVE-2026-25143)
    Severidad: ALTA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 18/02/2026
    melange permite a los usuarios construir paquetes apk usando pipelines declarativos. Desde la versión 0.10.0 hasta antes de la 0.40.3, un atacante que pueda influir en las entradas del pipeline de parche podría ejecutar comandos de shell arbitrarios en el host de compilación. El pipeline de parche en pkg/build/pipelines/patch.yaml incrusta valores derivados de la entrada (rutas de series, nombres de archivo de parche y parámetros numéricos) en scripts de shell sin la debida entrecomillado o validación, permitiendo que los metacaracteres de shell salgan de su contexto previsto. La vulnerabilidad afecta al pipeline de parche incorporado que puede ser invocado a través de las operaciones melange build y melange license-check. Un atacante que pueda controlar las entradas relacionadas con el parche (por ejemplo, a través de CI impulsado por solicitudes de extracción, build-as-a-service, o influyendo en las configuraciones de melange) puede inyectar metacaracteres de shell como backticks, sustituciones de comandos $(…), puntos y coma, pipes o redirecciones para ejecutar comandos arbitrarios con los privilegios del proceso de compilación de melange. Este problema ha sido parcheado en la versión 0.40.3.
  • Vulnerabilidad en melange de Chainguard-dev (CVE-2026-25145)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 18/02/2026
    melange permite a los usuarios construir paquetes apk utilizando pipelines declarativos. Desde la versión 0.14.0 hasta antes de la 0.40.3, un atacante que pueda influir en un archivo de configuración de melange (por ejemplo, a través de CI impulsado por solicitudes de extracción o escenarios de construcción como servicio) podría leer archivos arbitrarios del sistema anfitrión. La función LicensingInfos en pkg/config/config.go lee archivos de licencia especificados en copyright[].license-path sin validar que las rutas permanezcan dentro del directorio del espacio de trabajo, permitiendo el salto de ruta a través de secuencias ../. El contenido del archivo recorrido se incrusta en el SBOM generado como texto de licencia, lo que permite la exfiltración de datos sensibles a través de artefactos de construcción. Este problema ha sido parcheado en la versión 0.40.3.