Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en una consulta HTTP en Lightmeter ControlCenter (CVE-2026-25156)
    Severidad: ALTA
    Fecha de publicación: 30/01/2026
    Fecha de última actualización: 19/02/2026
    HotCRP es un software de revisión de conferencias. Las versiones de HotCRP desde octubre de 2025 hasta enero de 2026 entregaron documentos de todo tipo con Content-Disposition en línea, haciendo que se renderizaran en el navegador del usuario en lugar de descargarse. (El comportamiento previsto era que solo 'text/plain', 'application/pdf', 'image/gif', 'image/jpeg' e 'image/png' se entregaran en línea, aunque añadir 'save=0' a la URL del documento podía solicitar la entrega en línea para cualquier documento.) Esto hizo que los usuarios que hacían clic en un enlace de documento fueran vulnerables a ataques de cross-site scripting. Un documento HTML o SVG subido se ejecutaría en el navegador del visor con acceso a sus credenciales de HotCRP, y Javascript en ese documento podría eventualmente hacer llamadas arbitrarias a la API de HotCRP. Los documentos maliciosos podían subirse a campos de envío con tipo 'carga de archivo' o 'adjunto', o como adjuntos a comentarios. Los campos de carga de PDF no eran vulnerables. Una búsqueda de documentos subidos a hotcrp.com no encontró evidencia de explotación. La vulnerabilidad fue introducida en el commit aa20ef288828b04550950cf67c831af8a525f508 (11 de octubre de 2025), presente en versiones de desarrollo y v3.2, y corregida en el commit 8933e86c9f384b356dc4c6e9e2814dee1074b323 y v3.2.1. Además, c3d88a7e18d52119c65df31c2cc994edd2beccc5 y v3.2.1 eliminan el soporte para 'save=0'.
  • Vulnerabilidad en función de correo electrónico de cybozu garoon (CVE-2026-20711)
    Severidad: MEDIA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 19/02/2026
    Vulnerabilidad de cross-site scripting existe en la función de correo electrónico de Cybozu Garoon 5.0.0 a 6.0.3, lo que puede permitir a un atacante restablecer las contraseñas de usuarios arbitrarios.
  • Vulnerabilidad en la función Mensaje de Cybozu Garoon (CVE-2026-22881)
    Severidad: MEDIA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 19/02/2026
    Vulnerabilidad de Cross-Site Scripting existe en la función Mensaje de Cybozu Garoon 5.15.0 a 6.0.3, lo que podría permitir a un atacante restablecer las contraseñas de usuarios arbitrarios.
  • Vulnerabilidad en en Cybozu Garoon (CVE-2026-22888)
    Severidad: MEDIA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 19/02/2026
    Existe un problema de verificación de entrada incorrecta en Cybozu Garoon 5.0.0 a 6.0.3, lo que puede llevar a la alteración no autorizada de la configuración del portal, bloqueando potencialmente el acceso al producto.
  • Vulnerabilidad en PowerVM Hypervisor de IBM (CVE-2025-36194)
    Severidad: BAJA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 19/02/2026
    IBM PowerVM Hypervisor FW1110.00 hasta FW1110.03, FW1060.00 hasta FW1060.51, y FW950.00 hasta FW950.F0 podrían exponer una cantidad limitada de datos a una partición par en configuraciones específicas de procesador compartido durante ciertas operaciones.
  • Vulnerabilidad en PowerVM Hypervisor de IBM (CVE-2025-36238)
    Severidad: MEDIA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 19/02/2026
    El Hipervisor IBM PowerVM FW1110.00 hasta FW1110.03, FW1060.00 hasta FW1060.51 y FW950.00 hasta FW950.F0 podría permitir a un usuario local con privilegios de administración obtener información sensible de un TPM Virtual a través de una serie de procedimientos de servicio de PowerVM.
  • Vulnerabilidad en Cloud Pak for Business Automation de IBM (CVE-2025-36436)
    Severidad: MEDIA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 19/02/2026
    IBM Cloud Pak for Business Automation 25.0.0 hasta 25.0.0 Interim Fix 002, 24.0.1 hasta 24.0.1 Interim Fix 005, y 24.0.0 hasta 24.0.0 Interim Fix 007 es vulnerable a cross-site scripting almacenado. Esta vulnerabilidad permite a un usuario autenticado incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría llevar a la divulgación de credenciales dentro de una sesión de confianza.