Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en itsourcecode Simple Online Hotel Reservation System 1.0 (CVE-2024-6115)
    Severidad: MEDIA
    Fecha de publicación: 18/06/2024
    Fecha de última actualización: 18/02/2026
    Una vulnerabilidad fue encontrada en itsourcecode Simple Online Hotel Reservation System 1.0 y clasificada como crítica. Una función desconocida del archivo add_room.php es afectada por esta vulnerabilidad. La manipulación de la foto del argumento da lugar a una subida sin restricciones. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-268867.
  • Vulnerabilidad en itsourcecode Simple Online Hotel Reservation System 1.0 (CVE-2024-6116)
    Severidad: MEDIA
    Fecha de publicación: 18/06/2024
    Fecha de última actualización: 18/02/2026
    Una vulnerabilidad fue encontrada en itsourcecode Simple Online Hotel Reservation System 1.0 y clasificada como crítica. Una función desconocida del archivo edit_room.php es afectada por esta vulnerabilidad. La manipulación de la foto del argumento da lugar a una subida sin restricciones. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-268868.
  • Vulnerabilidad en itsourcecode Simple Online Hotel Reservation System 1.0 (CVE-2024-6308)
    Severidad: MEDIA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 18/02/2026
    Se encontró una vulnerabilidad en itsourcecode Simple Online Hotel Reservation System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta a un código desconocido del archivo index.php. La manipulación del argumento nombre de usuario conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-269620.
  • Vulnerabilidad en Moxa (CVE-2026-0714)
    Severidad: ALTA
    Fecha de publicación: 05/02/2026
    Fecha de última actualización: 18/02/2026
    Existe una vulnerabilidad de ataque físico en ciertas computadoras industriales Moxa que utilizan cifrado de disco completo LUKS respaldado por TPM en Moxa Industrial Linux 3, donde el TPM discreto está conectado a la CPU a través de un bus SPI. La explotación requiere acceso físico invasivo, incluyendo abrir el dispositivo y conectar equipo externo al bus SPI para capturar las comunicaciones del TPM. Si tiene éxito, los datos capturados pueden permitir el descifrado fuera de línea del contenido de la eMMC. Este ataque no puede realizarse mediante acceso físico breve u oportunista y requiere acceso físico prolongado, posesión del dispositivo, equipo apropiado y tiempo suficiente para la captura y análisis de señales. La explotación remota no es posible.
  • Vulnerabilidad en gogs (CVE-2025-64111)
    Severidad: CRÍTICA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 18/02/2026
    Gogs es un servicio Git autoalojado de código abierto. En la versión 0.13.3 y anteriores, debido al parche insuficiente para CVE-2024-56731, todavía es posible actualizar archivos en el directorio .git y lograr la ejecución remota de comandos. Este problema ha sido parcheado en las versiones 0.13.4 y 0.14.0+dev.
  • Vulnerabilidad en Homarr de Homarr-labs (CVE-2026-25123)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 18/02/2026
    Homarr es un panel de control de código abierto. Antes de la versión 1.52.0, un endpoint tRPC público (no autenticado) widget.app.ping acepta una URL arbitraria y realiza una solicitud del lado del servidor a esa URL. Esto permite a un atacante no autenticado activar solicitudes HTTP salientes desde el servidor de Homarr, lo que habilita el comportamiento SSRF y una primitiva fiable de escaneo de puertos (los puertos abiertos frente a los cerrados pueden inferirse del código de estado frente a la falla de la solicitud y el tiempo). Esta vulnerabilidad está corregida en la versión 1.52.0.
  • Vulnerabilidad en Open5GS (CVE-2026-2521)
    Severidad: MEDIA
    Fecha de publicación: 15/02/2026
    Fecha de última actualización: 18/02/2026
    Se ha identificado una debilidad en Open5GS hasta la versión 2.7.6. Este problema afecta a la función sgwc_s5c_handle_create_session_response del componente SGW-C. La ejecución de una manipulación puede llevar a corrupción de memoria. El ataque puede realizarse de forma remota. El exploit se ha puesto a disposición del público y podría utilizarse para ataques. El proyecto fue informado del problema con antelación a través de un informe de problema, pero aún no ha respondido.
  • Vulnerabilidad en Open5GS (CVE-2026-2522)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Una vulnerabilidad de seguridad ha sido detectada en Open5GS hasta la versión 2.7.6. Afecta a una función desconocida del archivo /src/mme/esm-build.c del componente MME. La manipulación conduce a corrupción de memoria. Es posible iniciar el ataque remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. Se informó al proyecto del problema con antelación a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en Open5GS (CVE-2026-2523)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Se detectó una vulnerabilidad en Open5GS hasta la versión 2.7.6. El elemento afectado es la función smf_gn_handle_create_pdp_context_request del archivo /src/smf/gn-handler.c del componente SMF. La manipulación resulta en una aserción alcanzable. Es posible lanzar el ataque de forma remota. El exploit ahora es público y puede ser utilizado. Se informó al proyecto del problema con antelación a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en Open5GS (CVE-2026-2524)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Se ha encontrado una vulnerabilidad en Open5GS 2.7.6. El elemento afectado es la función mme_s11_handle_create_session_response del componente MME. Esta manipulación causa denegación de servicio. El ataque puede iniciarse remotamente. El exploit ha sido publicado y puede ser utilizado. El proyecto fue informado del problema con antelación a través de un informe de problema, pero aún no ha respondido.
  • Vulnerabilidad en Mattermost (CVE-2026-0997)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Las versiones de Mattermost 11.1.x <= 11.1.2, 10.11.x <= 10.11.9, 11.2.x <= 11.2.1 y las versiones del plugin de Mattermost Zoom <=1.11.0 no validan al usuario autenticado al procesar {{/plugins/zoom/api/v1/channel-preference}}, lo que permite a cualquier usuario con sesión iniciada cambiar las restricciones de las reuniones de Zoom para canales arbitrarios a través de solicitudes de API manipuladas. ID de aviso de Mattermost: MMSA-2025-00558.
  • Vulnerabilidad en Mattermost (CVE-2026-0998)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Las versiones de Mattermost 11.1.x <= 11.1.2, 10.11.x <= 10.11.9, 11.2.x <= 11.2.1 y las versiones del plugin de Mattermost Zoom <=1.11.0 no validan la identidad del usuario y la propiedad de la publicación en el endpoint {{/api/v1/askPMI}}, lo que permite a usuarios no autorizados iniciar reuniones de Zoom como cualquier usuario y sobrescribir publicaciones arbitrarias a través de llamadas directas a la API con ID de usuario y datos de publicación manipulados. ID de aviso de Mattermost: MMSA-2025-00534
  • Vulnerabilidad en Mattermost (CVE-2026-0999)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Las versiones de Mattermost 11.1.x <= 11.1.2, 10.11.x <= 10.11.9, 11.2.x <= 11.2.1 no validan correctamente las restricciones del método de inicio de sesión, lo que permite a un usuario autenticado eludir los requisitos de inicio de sesión solo por SSO mediante autenticación basada en ID de usuario. ID de aviso de Mattermost: MMSA-2025-00548
  • Vulnerabilidad en Mattermost (CVE-2025-14350)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Las versiones de Mattermost 11.1.x <= 11.1.2, 10.11.x <= 10.11.9, 11.2.x <= 11.2.1 no validan correctamente la membresía del equipo al procesar menciones de canal, lo que permite a usuarios autenticados determinar la existencia de equipos y sus nombres de URL mediante la publicación de enlaces cortos de canal y observando la propiedad channel_mentions en la respuesta de la API. ID de Aviso de Mattermost: MMSA-2025-00563
  • Vulnerabilidad en Mattermost (CVE-2025-14573)
    Severidad: BAJA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Las versiones de Mattermost 10.11.x <= 10.11.9 no aplican los permisos de invitación al actualizar la configuración del equipo, lo que permite a los administradores de equipo sin los permisos adecuados eludir las restricciones y añadir usuarios a su equipo a través de solicitudes API. ID de Aviso de Mattermost: MMSA-2025-00561