Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en OpenSlides (CVE-2026-25519)
    Severidad: ALTA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 18/02/2026
    OpenSlides es un sistema de presentación y asamblea gratuito, basado en web, para gestionar y proyectar la agenda, las mociones y las elecciones de una asamblea. Antes de la versión 4.2.29, OpenSlides soporta inicios de sesión locales con nombre de usuario y contraseña o un inicio de sesión único (single sign-on) opcionalmente configurable con SAML a través de un IDP externo. Para los usuarios sincronizados con OpenSlides a través de un IDP externo, existe un control de acceso incorrecto con respecto al inicio de sesión local de estos usuarios. Los usuarios pueden iniciar sesión exitosamente utilizando el formulario de inicio de sesión local y el nombre de usuario de OpenSlides de un usuario SAML y una contraseña trivial. Esta contraseña es válida para todos los usuarios SAML. Este problema ha sido parcheado en la versión 4.2.29.
  • Vulnerabilidad en WeKan (CVE-2026-25566)
    Severidad: ALTA
    Fecha de publicación: 07/02/2026
    Fecha de última actualización: 18/02/2026
    Las versiones de WeKan anteriores a la 8.19 contienen una vulnerabilidad de autorización en la lógica de movimiento de tarjetas. Un usuario puede especificar un tablero/lista/carril de destino sin comprobaciones de autorización adecuadas para el destino y sin validar que los objetos de destino pertenezcan al tablero de destino, lo que podría permitir movimientos no autorizados entre tableros.
  • Vulnerabilidad en JetBrains (CVE-2026-25846)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 18/02/2026
    En JetBrains YouTrack antes de 2025.3.119033 los tokens de acceso podrían ser expuestos en los registros del buzón.
  • Vulnerabilidad en Open5GS (CVE-2026-2517)
    Severidad: MEDIA
    Fecha de publicación: 15/02/2026
    Fecha de última actualización: 18/02/2026
    Se ha descubierto una falla de seguridad en Open5GS hasta 2.7.6. Esta vulnerabilidad afecta la función ogs_gtp2_parse_tft en la biblioteca lib/gtp/v2/types.c del componente SMF. Realizar una manipulación del argumento pf[0].content.length resulta en denegación de servicio. El ataque es posible de llevar a cabo remotamente. El exploit ha sido publicado y puede ser utilizado para ataques. El proyecto fue informado del problema con antelación a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en LigeroSmart (CVE-2026-2547)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Una vulnerabilidad fue detectada en LigeroSmart hasta 6.1.26. El elemento afectado es la función AgentDashboard del archivo /otrs/index.pl. Realizar una manipulación del argumento Subaction resulta en cross site scripting. La explotación remota del ataque es posible. El exploit ahora es público y puede ser utilizado. El proyecto fue informado del problema tempranamente a través de un informe de problema, pero aún no ha respondido.
  • Vulnerabilidad en Mattermost (CVE-2025-13821)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Las versiones de Mattermost 11.1.x <= 11.1.2, 10.11.x <= 10.11.9, 11.2.x <= 11.2.1 no sanean datos sensibles en mensajes de WebSocket, lo que permite a usuarios autenticados exfiltrar hashes de contraseñas y secretos MFA mediante actualizaciones de alias de perfil o eventos de verificación de correo electrónico. ID de aviso de Mattermost: MMSA-2025-00560
  • Vulnerabilidad en sermonSpeaker (com_sermonspeaker) component (CVE-2026-2555)
    Severidad: BAJA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Una debilidad ha sido identificada en JeecgBoot 3.9.1. Esta vulnerabilidad afecta la función importDocumentFromZip del archivo org/jeecg/modules/airag/llm/controller/AiragKnowledgeController.java del componente Generación Aumentada por Recuperación. Ejecutar una manipulación puede conducir a la deserialización. El ataque puede ser lanzado remotamente. Ataques de esta naturaleza son altamente complejos. Se afirma que la explotabilidad es difícil. El proyecto fue informado del problema tempranamente a través de un informe de incidencias pero aún no ha respondido.
  • Vulnerabilidad en Firefox (CVE-2026-2032)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Scripts maliciosos que interrumpen la carga de la página de nueva pestaña podrían causar desincronización entre la barra de direcciones y el contenido de la página, permitiendo al atacante suplantar HTML arbitrario bajo un dominio de confianza. Esta vulnerabilidad afecta a Firefox para iOS < 147.2.1.
  • Vulnerabilidad en Firefox (CVE-2026-2447)
    Severidad: ALTA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 18/02/2026
    Desbordamiento de búfer en el heap en libvpx. Esta vulnerabilidad afecta a Firefox < 147.0.4, Firefox ESR < 140.7.1, Firefox ESR < 115.32.1, Thunderbird < 140.7.2, y Thunderbird < 147.0.2.
  • Vulnerabilidad en jizhicms (CVE-2025-70397)
    Severidad: ALTA
    Fecha de publicación: 17/02/2026
    Fecha de última actualización: 18/02/2026
    jizhicms 2.5.6 es vulnerable a inyección SQL en Article/deleteAll y Extmolds/deleteAll a través del parámetro data.