Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el motor de scripting Chakra en Microsoft Edge. (CVE-2019-1141)
    Severidad: MEDIA
    Fecha de publicación: 14/08/2019
    Fecha de última actualización: 20/02/2026
    Existe una vulnerabilidad de ejecución de código remota en la manera en que el motor de scripting Chakra maneja objetos en la memoria en Microsoft Edge, también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-1131, CVE-2019-1139, CVE-2019-1140, CVE-2019-1195, CVE-2019-1196, CVE-2019-1197.
  • Vulnerabilidad en El archivo MpSigStub.exe en Windows Defender (CVE-2019-1161)
    Severidad: ALTA
    Fecha de publicación: 14/08/2019
    Fecha de última actualización: 20/02/2026
    Existe una vulnerabilidad de elevación de privilegios cuando el archivo MpSigStub.exe para Defender permite la eliminación de archivos en ubicaciones arbitrarias. Para explotar la vulnerabilidad, un atacante primero tiene que iniciar sesión en el sistema, también se conoce como "Microsoft Defender Elevation of Privilege Vulnerability".
  • Vulnerabilidad en Brocade Fabric OS (CVE-2023-4162)
    Severidad: MEDIA
    Fecha de publicación: 31/08/2023
    Fecha de última actualización: 20/02/2026
    Puede producirse un fallo de segmentación en Brocade Fabric OS después de Brocade Fabric OS v9.0 y antes de Brocade Fabric OS v9.2.0a a través del comando "passwdcfg". Esto podría permitir que un usuario privilegiado autenticado local bloquease un Brocade Fabric OS swith utilizando el cli "passwdcfg --set -expire -minDiff".
  • Vulnerabilidad en HP Enterprise LaserJet y HP LaserJet Managed (CVE-2024-0407)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 20/02/2026
    Ciertas impresoras HP Enterprise LaserJet y HP LaserJet Managed son potencialmente vulnerables a la divulgación de información, cuando las conexiones realizadas por el dispositivo a los servicios habilitados por algunas soluciones pueden haber sido confiables sin el certificado CA apropiado en el almacén de certificados del dispositivo.
  • Vulnerabilidad en HP OfficeJet Pro (CVE-2023-4063)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 20/02/2026
    Ciertas impresoras HP OfficeJet Pro son potencialmente vulnerables a una denegación de servicio cuando utilizan una solicitud GET de URL eSCL incorrecta.
  • Vulnerabilidad en HP Inc. (CVE-2024-2209)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 20/02/2026
    Un usuario con privilegios administrativos puede crear un archivo dll comprometido con el mismo nombre que el dll original dentro del paquete Firmware Update Utility (FUU) de la impresora HP y colocarlo en el directorio de descargas predeterminado de Microsoft Windows, lo que puede conducir a una posible ejecución de código arbitrario.
  • Vulnerabilidad en HP Inc. (CVE-2024-3281)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 20/02/2026
    Se descubrió una vulnerabilidad en las versiones de firmware posteriores a 8.0.2.3267 y anteriores a 8.1.3.1301 en dispositivos CCX. Una falla en el proceso de creación del firmware no restringió adecuadamente el acceso a un recurso por parte de un actor no autorizado.
  • Vulnerabilidad en Brocade Fabric OS (CVE-2024-7517)
    Severidad: ALTA
    Fecha de publicación: 21/11/2024
    Fecha de última actualización: 20/02/2026
    Una vulnerabilidad de inyección de comandos en Brocade Fabric OS anterior a la versión 9.2.0c y de la 9.2.1 a la 9.2.1a en plataformas de extensión IP podría permitir que un atacante autenticado local realice una escalada de privilegios mediante el uso manipulado del comando portcfg. Esta explotación específica solo es posible en plataformas de extensión IP: Brocade 7810, Brocade 7840, Brocade 7850 y en directores Brocade X6 o X7 con un blade de extensión SX-6 instalado. El atacante debe iniciar sesión en el conmutador a través de SSH o una consola serial para realizar el ataque.
  • Vulnerabilidad en Brocade Fabric OS (CVE-2025-4663)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 20/02/2026
    Una vulnerabilidad de Comprobación Incorrecta de Condiciones Inusuales o Excepcionales en Brocade Fabric OS anterior a la versión 9.2.2.a podría permitir que un atacante autenticado basado en la red provoque una Denegación de Servicio (DoS). La vulnerabilidad se detecta cuando se invoca supportave remotamente mediante el comando ssh o SANnav inline ssh, y la sesión ssh correspondiente se finaliza con Control C (^c) antes de que se complete supportave. Este problema afecta a Brocade Fabric OS 9.0.0 a 9.2.2.
  • Vulnerabilidad en WP Shopify para WordPress (CVE-2025-7808)
    Severidad: MEDIA
    Fecha de publicación: 14/08/2025
    Fecha de última actualización: 20/02/2026
    El complemento WP Shopify para WordPress anterior a la versión 1.5.4 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en NanoMQ MQTT Broker (CVE-2025-68699)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 20/02/2026
    NanoMQ MQTT Broker (NanoMQ) es una Plataforma de Mensajería de Borde integral. En la versión 0.24.6, NanoMQ presenta una inconsistencia en el análisis / reenvío de protocolos al manejar suscripciones compartidas ($share/). Un tema SUBSCRIBE malformado como $share/ab (falta la segunda /) no se valida estrictamente durante la etapa de suscripción, por lo que el Topic Filter inválido se almacena en la tabla de suscripciones. Posteriormente, cuando cualquier PUBLISH coincide con esta suscripción, la ruta de envío del broker (nmq_pipe_send_start_v4/v5) realiza un segundo análisis de $share/ usando strchr() e incrementa el puntero devuelto sin comprobaciones de NULL. Si el segundo strchr() devuelve NULL, sub_topic++ convierte el puntero en una dirección inválida (p. ej., 0x1). Este puntero inválido se pasa entonces a topic_filtern(), lo que activa strlen() y provoca un fallo con SIGSEGV. El fallo es estable y se puede activar remotamente. Este problema ha sido parcheado en la versión 0.24.7.
  • Vulnerabilidad en Sliver (CVE-2026-25765)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 20/02/2026
    Faraday es una capa de abstracción de biblioteca cliente HTTP que proporciona una interfaz común sobre muchos adaptadores. Antes de la versión 2.14.1, el método build_exclusive_url de Faraday (en lib/faraday/connection.rb) utiliza URI#merge de Ruby para combinar la URL base de la conexión con una ruta proporcionada por el usuario. Según la RFC 3986, las URL relativas al protocolo (por ejemplo, //evil.com/path) se tratan como referencias de ruta de red que anulan el componente de host/autoridad de la URL base. Esto significa que si alguna aplicación pasa entrada controlada por el usuario a los métodos get(), post(), build_url() u otros métodos de petición de Faraday, un atacante puede proporcionar una URL relativa al protocolo como //attacker.com/endpoint para redirigir la petición a un host arbitrario, lo que permite la falsificación de petición del lado del servidor (SSRF). Esta vulnerabilidad se corrige en la versión 2.14.1.