Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en MCMS (CVE-2018-17366)
    Severidad: ALTA
    Fecha de publicación: 23/09/2018
    Fecha de última actualización: 19/02/2026
    Se ha descubierto un problema en MCMS 4.6.5. Existe una vulnerabilidad Cross-Site Request Forgery (CSRF) que puede añadir una cuenta administrador a través de /index.php/admin/admin_manage/add.html.
  • Vulnerabilidad en changetection.io (CVE-2024-23329)
    Severidad: BAJA
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 19/02/2026
    changetection.io es una herramienta de código abierto diseñada para monitorizar sitios web en busca de cambios de contenido. En las versiones afectadas, cualquier usuario no autorizado puede acceder al endpoint API `/api/v1/watch//history`. Como resultado, cualquier usuario no autorizado puede comprobar su historial de reproducciones. Sin embargo, debido a que la parte no autorizada primero necesita conocer un UUID de vigilancia, y el punto final del historial de vigilancia solo devuelve rutas a la instantánea en el servidor, el impacto en la privacidad de los datos de los usuarios es mínimo. Este problema se solucionó en la versión 0.45.13. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Zscaler Client Connector (CVE-2023-41970)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 19/02/2026
    Una vulnerabilidad de validación incorrecta del valor de verificación de integridad en Zscaler Client Connector en Windows durante la funcionalidad de la aplicación de reparación puede permitir la ejecución local de código. Este problema afecta a Client Connector en Windows: antes de 4.1.0.62.
  • Vulnerabilidad en Quick.Cart de OpenSolution (CVE-2025-67684)
    Severidad: CRÍTICA
    Fecha de publicación: 22/01/2026
    Fecha de última actualización: 19/02/2026
    Quick.Cart es vulnerable a problemas de inclusión local de ficheros y salto de ruta en el mecanismo de selección de temas. Quick.Cart permite a un usuario privilegiado subir contenido de ficheros arbitrario mientras solo valida la extensión del nombre de fichero. Esto permite a un atacante incluir y ejecutar código PHP subido, lo que resulta en ejecución remota de código en el servidor. El proveedor fue notificado con antelación sobre esta vulnerabilidad, pero no respondió con los detalles de la vulnerabilidad o el rango de versiones vulnerables. Solo la versión 6.7 fue probada y confirmada como vulnerable, otras versiones no fueron probadas y también podrían ser vulnerables.
  • Vulnerabilidad en ADM de ASUSTOR (CVE-2026-24932)
    Severidad: ALTA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 19/02/2026
    La función de actualización de DDNS en ADM no valida correctamente el nombre de host del certificado TLS/SSL del servidor DDNS. Aunque la conexión utiliza HTTPS, un certificado TLS/SSL incorrectamente validado permite a un atacante remoto interceptar la comunicación para realizar un ataque man-in-the-middle (MitM), lo que puede obtener la información sensible del proceso de actualización de DDNS, incluyendo el correo electrónico de la cuenta del usuario, la contraseña con hash MD5 y el número de serie del dispositivo. Este problema afecta a ADM: desde 4.1.0 hasta 4.3.3.ROF1, desde 5.0.0 hasta 5.1.1.RCI1.
  • Vulnerabilidad en ADM de ASUSTOR (CVE-2026-24933)
    Severidad: ALTA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 19/02/2026
    El componente de comunicación de la API no valida el certificado SSL/TLS al enviar solicitudes HTTPS al servidor. Una vulnerabilidad de validación de certificados incorrecta permite que un atacante remoto no autenticado realice un ataque man-in-the-middle (MitM) para interceptar la comunicación en texto claro, lo que podría llevar a la exposición de información sensible del usuario, incluyendo correos electrónicos de cuentas, contraseñas con hash MD5 y números de serie de dispositivos. Los productos y versiones afectados incluyen: desde ADM 4.1.0 hasta ADM 4.3.3.ROF1, así como desde ADM 5.0.0 hasta ADM 5.1.1.RCI1.
  • Vulnerabilidad en ADM de ASUSTOR (CVE-2026-24934)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 19/02/2026
    La función DDNS utiliza una conexión HTTP insegura o no valida el certificado SSL/TLS al consultar un servidor externo para la dirección IP WAN del dispositivo. Un atacante remoto no autenticado puede realizar un ataque man-in-the-middle (MitM) para falsificar la respuesta, lo que lleva al dispositivo a actualizar su registro DDNS con una dirección IP incorrecta. Los productos y versiones afectados incluyen: desde ADM 4.1.0 hasta ADM 4.3.3.ROF1, así como desde ADM 5.0.0 hasta ADM 5.1.1.RCI1.
  • Vulnerabilidad en ADM de ASUSTOR (CVE-2026-24935)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 19/02/2026
    Un módulo de recorrido NAT de terceros no valida los certificados SSL/TLS al conectarse al servidor de señalización. Si bien el acceso posterior a los servicios del dispositivo requiere autenticación adicional, un atacante man-in-the-middle (MitM) puede interceptar o redirigir el establecimiento del túnel NAT. Esto podría permitir a un atacante interrumpir la disponibilidad del servicio o facilitar ataques dirigidos adicionales actuando como un proxy entre el usuario y los servicios del dispositivo. Los productos y versiones afectados incluyen: desde ADM 4.1.0 hasta ADM 4.3.3.ROF1, así como desde ADM 5.0.0 hasta ADM 5.1.1.RCI1.
  • Vulnerabilidad en ADM de ASUSTOR (CVE-2026-24936)
    Severidad: CRÍTICA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 19/02/2026
    Cuando una función específica está habilitada al unirse a un Dominio AD desde ADM, una vulnerabilidad de validación de parámetros de entrada incorrecta en un programa CGI específico permite a un atacante remoto no autenticado escribir datos arbitrarios en cualquier archivo del sistema. Al explotar esta vulnerabilidad, los atacantes pueden sobrescribir archivos críticos del sistema, lo que lleva a un compromiso completo del sistema. Los productos y versiones afectados incluyen: desde ADM 4.1.0 hasta ADM 4.3.3.ROF1, así como desde ADM 5.0.0 hasta ADM 5.1.1.RCI1.
  • Vulnerabilidad en Spree (CVE-2026-25758)
    Severidad: ALTA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 19/02/2026
    Spree es una solución de comercio electrónico de código abierto construida con Ruby on Rails. Existe una vulnerabilidad IDOR crítica en el flujo de pago como invitado de Spree Commerce que permite a cualquier usuario invitado vincular direcciones de invitado arbitrarias a su pedido manipulando los parámetros de ID de dirección. Esto permite el acceso no autorizado a la información de identificación personal (PII) de otros invitados, incluyendo nombres, direcciones y números de teléfono. La vulnerabilidad elude las comprobaciones de validación de propiedad existentes y afecta a todas las transacciones de pago como invitado. Esta vulnerabilidad está corregida en 4.10.3, 5.0.8, 5.1.10, 5.2.7 y 5.3.2.
  • Vulnerabilidad en E-commerce de detronetdip (CVE-2026-2164)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2026
    Fecha de última actualización: 19/02/2026
    Se ha descubierto una vulnerabilidad de seguridad en detronetdip E-commerce 1.0.0. Este problema afecta un procesamiento desconocido del archivo /seller/assets/backend/profile/addadhar.PHP. Realizar una manipulación del argumento File resulta en una carga sin restricciones. La explotación remota del ataque es posible. El exploit ha sido publicado y puede ser utilizado para ataques. Se informó al proyecto del problema con antelación a través de un informe de problemas, pero aún no ha respondido.
  • Vulnerabilidad en E-commerce de detronetdip (CVE-2026-2165)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2026
    Fecha de última actualización: 19/02/2026
    Se ha identificado una debilidad en detronetdip E-commerce 1.0.0. Se ve afectada una función desconocida del archivo /Admin/assets/backend/seller/add_seller.PHP del componente Punto final de creación de cuenta. La ejecución de una manipulación del argumento email puede llevar a una falta de autenticación. El ataque puede ejecutarse de forma remota. El exploit se ha puesto a disposición del público y podría usarse para ataques. Se informó al proyecto del problema con antelación a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en MarkUs (CVE-2026-24900)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    MarkUs es una aplicación web para la entrega y calificación de tareas de estudiantes. Antes de 2.9.1, la ruta courses/<:course_id>/assignments/<:assignment_id>/submissions/html_content aceptaba un parámetro select_file_id para servir objetos SubmissionFile que contenían un registro de los archivos entregados por los estudiantes. Este parámetro no estaba correctamente acotado al usuario solicitante, permitiendo a los usuarios acceder a contenidos arbitrarios de archivos de entrega por ID. Esta vulnerabilidad está corregida en 2.9.1.
  • Vulnerabilidad en Markus (CVE-2026-25057)
    Severidad: CRÍTICA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    MarkUs es una aplicación web para la entrega y calificación de trabajos de estudiantes. Antes de 2.9.1, los instructores pueden subir un archivo zip para crear una tarea a partir de una configuración exportada (courses/<:course_id>/assignments/upload_config_files). Los nombres de las entradas del archivo zip subido se utilizan para crear rutas para escribir archivos en el disco sin verificar estas rutas. Esta vulnerabilidad está corregida en 2.9.1.
  • Vulnerabilidad en FileRise (CVE-2026-25230)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    FileRise es un gestor de archivos web / servidor WebDAV autoalojado. Antes de la versión 3.3.0, una vulnerabilidad de inyección HTML permite a un usuario autenticado modificar el DOM y añadir, por ejemplo, elementos de formulario que llaman a ciertos puntos finales o elementos de enlace que redirigen al usuario tras una interacción activa. Esta vulnerabilidad está corregida en la versión 3.3.0.
  • Vulnerabilidad en FileRise (CVE-2026-25231)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    FileRise es un gestor de archivos web autoalojado / servidor WebDAV. En versiones anteriores a la 3.3.0, la aplicación contiene una vulnerabilidad de lectura de archivos no autenticada debido a la falta de control de acceso en el directorio /uploads. Los archivos subidos a este directorio pueden ser accedidos directamente por cualquier usuario que conozca o pueda adivinar la ruta del archivo, sin requerir autenticación. Como resultado, datos sensibles podrían quedar expuestos y la privacidad podría verse comprometida. Esta vulnerabilidad está corregida en la 3.3.0.
  • Vulnerabilidad en Craft (CVE-2026-25491)
    Severidad: BAJA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    Craft es una plataforma para crear experiencias digitales. Desde la 5.0.0-RC1 hasta la 5.8.21, Craft tiene un XSS almacenado a través de los nombres de los tipos de entrada. El nombre no se sanea cuando se muestra en la lista de tipos de entrada. Esta vulnerabilidad está corregida en la 5.8.22.
  • Vulnerabilidad en Craft CMS (CVE-2026-25492)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    Craft CMS es un sistema de gestión de contenido. En las versiones de Craft 3.5.0 a 4.16.17 y 5.0.0-RC1 a 5.8.21, la mutación GraphQL save_images_Asset puede ser utilizada indebidamente para obtener URLs internas al proporcionar un nombre de dominio que se resuelve en una dirección IP interna, eludiendo la validación del nombre de host. Cuando se permite una extensión de archivo que no es de imagen, como .txt, se elude la validación de imagen posterior, lo que puede permitir a un atacante autenticado con permiso para usar save_images_Asset recuperar datos sensibles como credenciales de metadatos de instancia de AWS del host subyacente. Este problema está parcheado en las versiones 4.16.18 y 5.8.22.
  • Vulnerabilidad en Craft (CVE-2026-25493)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    Craft es una plataforma para crear experiencias digitales. En las versiones de Craft 4.0.0-RC1 a 4.16.17 y 5.0.0-RC1 a 5.8.21, la mutación GraphQL saveAsset valida el nombre de host de la URL inicial y la IP resuelta contra una lista de bloqueo, pero Guzzle sigue las redirecciones HTTP por defecto. Un atacante puede eludir todas las protecciones SSRF al alojar una redirección que apunta a puntos finales de metadatos en la nube o a cualquier dirección IP interna. Este problema está parcheado en las versiones 4.16.18 y 5.8.22.
  • Vulnerabilidad en Craft (CVE-2026-25494)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    Craft es una plataforma para crear experiencias digitales. En las versiones de Craft 4.0.0-RC1 a 4.16.17 y 5.0.0-RC1 a 5.8.21, la mutación GraphQL saveAsset utiliza filter_var(..., FILTER_VALIDATE_IP) para bloquear una lista específica de direcciones IP. Sin embargo, las notaciones IP alternativas (hexadecimal, mixta) no son reconocidas por esta función, lo que permite a los atacantes eludir la lista de bloqueo y acceder a los servicios de metadatos en la nube. Este problema está parcheado en las versiones 4.16.18 y 5.8.22.
  • Vulnerabilidad en Craft (CVE-2026-25495)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    Craft es una plataforma para crear experiencias digitales. En las versiones de Craft 4.0.0-RC1 hasta 4.16.17 y 5.0.0-RC1 hasta 5.8.21, el endpoint element-indexes/get-elements es vulnerable a inyección SQL a través del parámetro criteria[orderBy] (cuerpo JSON). La aplicación no sanea esta entrada antes de usarla en la consulta de la base de datos. Un atacante con acceso al Panel de Control puede inyectar SQL arbitrario en la cláusula ORDER BY al omitir viewState[order] (o al establecer ambos con la misma carga útil). Este problema está parcheado en las versiones 4.16.18 y 5.8.22.
  • Vulnerabilidad en Craft (CVE-2026-25496)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    Craft es una plataforma para crear experiencias digitales. En las versiones de Craft 4.0.0-RC1 hasta 4.16.17 y 5.0.0-RC1 hasta 5.8.21, existe una vulnerabilidad de XSS almacenado en la configuración del tipo de campo Número. Los campos Prefijo y Sufijo se renderizan utilizando el filtro Twig |md|raw sin el escape adecuado, lo que permite la ejecución de scripts cuando el campo Número se muestra en los perfiles de los usuarios. Este problema está parcheado en las versiones 4.16.18 y 5.8.22.
  • Vulnerabilidad en Craft (CVE-2026-25497)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    Craft es una plataforma para crear experiencias digitales. En las versiones de Craft desde la 4.0.0-RC1 hasta antes de la 4.17.0-beta.1 y la 5.9.0-beta.1, existe una vulnerabilidad de escalada de privilegios en la API GraphQL de Craft CMS que permite a un usuario autenticado con acceso de escritura a un volumen de activos escalar sus privilegios y modificar/transferir activos pertenecientes a cualquier otro volumen, incluidos volúmenes restringidos o privados a los que no deberían tener acceso. La mutación GraphQL saveAsset valida la autorización contra el volumen resuelto por el esquema, pero recupera el activo objetivo por ID sin verificar que el activo pertenezca al volumen autorizado. Esto permite la modificación y transferencia no autorizada de activos entre volúmenes. Esta vulnerabilidad está corregida en las versiones 4.17.0-beta.1 y 5.9.0-beta.1.
  • Vulnerabilidad en Craft (CVE-2026-25498)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    Craft es una plataforma para crear experiencias digitales. En las versiones 4.0.0-RC1 hasta la 4.16.17 y 5.0.0-RC1 hasta la 5.8.21, existe una vulnerabilidad de ejecución remota de código (RCE) en Craft CMS donde la función assembleLayoutFromPost() en src/services/Fields.PHP no logra sanear los datos de configuración proporcionados por el usuario antes de pasarlos a Craft::createObject(). Esto permite a los administradores autenticados inyectar configuraciones de comportamiento maliciosas de Yii2 que ejecutan comandos de sistema arbitrarios en el servidor. Esta vulnerabilidad representa una variante sin parchear de la vulnerabilidad de inyección de comportamiento abordada en CVE-2025-68455, afectando a diferentes puntos finales a través de una ruta de código separada. Esta vulnerabilidad se corrige en la 5.8.22.
  • Vulnerabilidad en Cube de Cube-js (CVE-2026-25958)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 19/02/2026
    Cube es una capa semántica para construir aplicaciones de datos. Desde 0.27.19 hasta antes de 1.5.13, 1.4.2 y 1.0.14, es posible realizar una solicitud especialmente diseñada con un token de API válido que conduce a una escalada de privilegios. Esta vulnerabilidad está corregida en 1.5.13, 1.4.2 y 1.0.14.
  • Vulnerabilidad en Free5GC PFCP UDP Endpoint denial of service (CVE-2026-2525)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 19/02/2026
    Se ha encontrado una vulnerabilidad en Free5GC hasta la versión 4.1.0. Esto afecta a una función desconocida del componente PFCP UDP Endpoint. Dicha manipulación conduce a una denegación de servicio. El ataque puede lanzarse de forma remota. El exploit ha sido revelado al público y puede ser utilizado.
  • Vulnerabilidad en MindsDB (CVE-2026-2531)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 19/02/2026
    Se ha detectado una vulnerabilidad de seguridad en MindsDB hasta la versión 25.14.1. Esta vulnerabilidad afecta a la función clear_filename del archivo mindsdb/utilities/security.py del componente Carga de Archivos. Dicha manipulación conduce a una falsificación de petición del lado del servidor. El ataque puede realizarse de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. El nombre del parche es 74d6f0fd4b630218519a700fbee1c05c7fd4b1ed. Es una buena práctica aplicar un parche para resolver este problema.
  • Vulnerabilidad en CF-N1 V2 de Comfast (CVE-2026-2534)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 19/02/2026
    Se ha encontrado una vulnerabilidad en Comfast CF-N1 V2 2.6.0.2. El elemento afectado es la función sub_44AC4C del archivo /cgi-bin/mbox-config?method=SET&section=ptest_bandwidth. La manipulación del argumento bandwidth conduce a inyección de comandos. El ataque puede iniciarse remotamente. El exploit ha sido divulgado al público y puede ser usado. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en CF-N1 V2 de Comfast (CVE-2026-2535)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 19/02/2026
    Se encontró una vulnerabilidad en Comfast CF-N1 V2 2.6.0.2. El elemento afectado es la función sub_44AB9C del archivo /cgi-bin/mbox-config?method=SET&section=ptest_channel. La manipulación del argumento channel resulta en inyección de comandos. El ataque puede lanzarse de forma remota. El exploit se ha hecho público y podría ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en LigeroSmart (CVE-2026-2545)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 19/02/2026
    Se ha identificado una debilidad en LigeroSmart hasta 6.1.26. Afectada es una función desconocida del archivo /otrs/index.pl?Action=AgentTicketSearch. Esta manipulación del argumento Profile causa cross-site scripting. El ataque puede ser iniciado remotamente. El exploit ha sido puesto a disposición del público y podría ser usado para ataques. El proyecto fue informado del problema tempranamente a través de un informe de problema pero no ha respondido aún.
  • Vulnerabilidad en LigeroSmart (CVE-2026-2546)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 19/02/2026
    Una vulnerabilidad de seguridad ha sido detectada en LigeroSmart hasta la versión 6.1.26. El elemento afectado es una función desconocida del archivo /otrs/index.pl. Dicha manipulación del argumento SortBy conduce a cross-site scripting. El ataque puede ser lanzado de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. El proyecto fue informado del problema con antelación a través de un informe de problema, pero aún no ha respondido.
  • Vulnerabilidad en JingDong JD Cloud Box AX6600 (CVE-2026-2561)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 19/02/2026
    Se encontró una vulnerabilidad en JingDong JD Cloud Box AX6600 hasta la versión 4.5.1.r4533. Esto afecta a la función web_get_ddns_uptime del archivo /jdcapi del componente jdcweb_rpc. Realizar una manipulación resulta en una escalada de privilegios remota. El ataque es posible de ser llevado a cabo de forma remota. El exploit ha sido hecho público y podría ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en JingDong JD Cloud Box AX6600 (CVE-2026-2562)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 19/02/2026
    Se determinó una vulnerabilidad en JingDong JD Cloud Box AX6600 hasta la versión 4.5.1.r4533. Esto afecta a la función cast_streen del archivo /jdcapi del componente jdcweb_rpc. La ejecución de una manipulación del argumento File puede conducir a una Escalada de Privilegios Remota. El ataque puede realizarse de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. Se contactó con el proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en JingDong JD Cloud Box AX6600 (CVE-2026-2563)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 19/02/2026
    Una vulnerabilidad fue identificada en JingDong JD Cloud Box AX6600 hasta 4.5.1.r4533. Afectada es la función set_stcreenen_deabled_status/get_status del archivo /f/service/controlDevice del componente jdcapp_rpc. La manipulación conduce a una Escalada de Privilegios Remota. Es posible iniciar el ataque de forma remota. El exploit está disponible públicamente y podría ser utilizado. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Beetel 777VR1 (CVE-2026-2616)
    Severidad: ALTA
    Fecha de publicación: 17/02/2026
    Fecha de última actualización: 19/02/2026
    Se ha encontrado una vulnerabilidad en Beetel 777VR1 hasta la versión 01.00.09. El elemento afectado es una función desconocida del componente Interfaz de Gestión Web. La manipulación conduce a credenciales codificadas de forma rígida. El ataque necesita ser iniciado dentro de la red local. El exploit ha sido divulgado al público y puede ser usado. Es aconsejable modificar los ajustes de configuración. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en 777VR1 de Beetel (CVE-2026-2617)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2026
    Fecha de última actualización: 19/02/2026
    Se encontró una vulnerabilidad en Beetel 777VR1 hasta 01.00.09. Esto afecta una función desconocida del componente Servicio Telnet/Servicio SSH. La manipulación resulta en una inicialización predeterminada insegura de recurso. El ataque solo puede realizarse desde la red local. El exploit ha sido hecho público y podría ser usado. El proveedor fue contactado tempranamente sobre esta divulgación, pero no respondió de ninguna manera.