Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en HP LaserJet (CVE-2024-9423)
    Severidad: MEDIA
    Fecha de publicación: 02/10/2024
    Fecha de última actualización: 24/02/2026
    Algunas impresoras HP LaserJet pueden experimentar una denegación de servicio cuando un usuario envía un archivo JPEG sin procesar a la impresora. La impresora muestra un mensaje de “JPEG no compatible” que puede no borrarse, lo que podría bloquear los trabajos de impresión en cola.
  • Vulnerabilidad en HP DesignJet (CVE-2024-5749)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 24/02/2026
    Algunos productos HP DesignJet pueden ser vulnerables a la reflexión de credenciales que permite ver las credenciales del servidor SMTP.
  • Vulnerabilidad en HP LaserJet Pro (CVE-2025-1004)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2025
    Fecha de última actualización: 24/02/2026
    Es posible que algunas impresoras HP LaserJet Pro experimenten una denegación de servicio cuando un usuario envía un archivo JPEG sin procesar a la impresora a través de IPP (Protocolo de impresión de Internet).
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20909)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 24/02/2026
    El uso de intención implícita para comunicaciones confidenciales en Settings anteriores a la versión 1 de SMR de marzo de 2025 permite que atacantes locales accedan a información confidencial.
  • Vulnerabilidad en HP Touchpoint Analytics Service (CVE-2025-1697)
    Severidad: MEDIA
    Fecha de publicación: 18/04/2025
    Fecha de última actualización: 24/02/2026
    Se ha identificado una posible vulnerabilidad de seguridad en HP Touchpoint Analytics Service para ciertos productos de PC HP con versiones anteriores a la 4.2.2439. Esta vulnerabilidad podría permitir que un atacante local aumente los privilegios. HP está proporcionando actualizaciones de software para mitigar esta posible vulnerabilidad.
  • Vulnerabilidad en HP DesignJet (CVE-2025-3508)
    Severidad: MEDIA
    Fecha de publicación: 25/07/2025
    Fecha de última actualización: 24/02/2026
    Algunos productos HP DesignJet pueden ser vulnerables a la divulgación de información a través de la interfaz web de la impresora, lo que permite que usuarios no autenticados vean información confidencial del trabajo de impresión.
  • Vulnerabilidad en HP LaserJet Pro (CVE-2025-43018)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 24/02/2026
    Algunas impresoras HP LaserJet Pro pueden ser vulnerables a la divulgación de información cuando un usuario no autenticado consulta la libreta de direcciones local de un dispositivo.
  • Vulnerabilidad en Trilium de TriliumNext (CVE-2025-68621)
    Severidad: ALTA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 24/02/2026
    Trilium Notes es una aplicación jerárquica para tomar notas de código abierto y multiplataforma, con enfoque en la construcción de grandes bases de conocimiento personales. Antes de 0.101.0, una crítica vulnerabilidad de ataque de temporización en el punto final de autenticación de sincronización de Trilium permite a atacantes remotos no autenticados recuperar hashes de autenticación HMAC byte a byte mediante análisis estadístico de temporización. Esto permite una omisión completa de autenticación sin conocimiento de la contraseña, otorgando acceso completo de lectura/escritura a la base de conocimiento de la víctima. Esta vulnerabilidad está corregida en 0.101.0.
  • Vulnerabilidad en Certificate Generation System de Great Developers (CVE-2026-2183)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2026
    Fecha de última actualización: 24/02/2026
    Una vulnerabilidad de seguridad ha sido detectada en el Sistema de Generación de Certificados de Great Developers hasta 97171bb0e5e22e52eacf4e4fa81773e5f3cffb73. Esto afecta una parte desconocida del archivo /restructured/csv.PHP. La manipulación conduce a una carga sin restricciones. La explotación remota del ataque es posible. Este producto sigue un enfoque de lanzamiento continuo para la entrega continua, por lo que no se proporcionan detalles de la versión para las versiones afectadas o actualizadas. El repositorio de código del proyecto no ha estado activo durante muchos años.
  • Vulnerabilidad en Certificate Generation System de Great Developers (CVE-2026-2184)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2026
    Fecha de última actualización: 24/02/2026
    Se detectó una vulnerabilidad en el sistema de generación de certificados de Great Developers hasta 97171bb0e5e22e52eacf4e4fa81773e5f3cffb73. Esta vulnerabilidad afecta a código desconocido del archivo /restructured/csv.PHP. La manipulación del argumento photo resulta en inyección de comandos del sistema operativo. El ataque puede ejecutarse de forma remota. Este producto implementa un lanzamiento continuo para la entrega constante, lo que significa que la información de la versión para las versiones afectadas o actualizadas no está disponible. El repositorio de código del proyecto no ha estado activo durante muchos años.
  • Vulnerabilidad en HP OfficeJet Pro (CVE-2026-1996)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 24/02/2026
    Ciertas impresoras HP OfficeJet Pro pueden ser vulnerables a una posible denegación de servicio cuando las solicitudes IPP se gestionan incorrectamente, al no lograr establecer una conexión TCP.
  • Vulnerabilidad en ERP (CVE-2026-27471)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2026
    Fecha de última actualización: 24/02/2026
    ERP es una herramienta de Planificación de Recursos Empresariales de código abierto y gratuita. En las versiones hasta la 15.98.0 y la 16.0.0-rc.1, y hasta la 16.6.0, ciertos endpoints carecían de validación de acceso, lo que permitía el acceso no autorizado a documentos. Este problema ha sido solucionado en las versiones 15.98.1 y 16.6.1.
  • Vulnerabilidad en libvips (CVE-2026-2913)
    Severidad: BAJA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 24/02/2026
    Una vulnerabilidad fue determinada en libvips hasta 8.19.0. El elemento afectado es la función vips_source_read_to_memory del archivo libvips/iofuncs/source.c. Esta manipulación causa desbordamiento de búfer basado en montículo. Es posible lanzar el ataque en el host local. La complejidad del ataque se califica como alta. La explotabilidad se describe como difícil. El exploit ha sido divulgado públicamente y puede ser utilizado. Nombre del parche: a56feecbe9ed66521d9647ec9fbcd2546eccd7ee. Aplicar un parche es la acción recomendada para solucionar este problema. La confirmación de la corrección del error menciona: 'El impacto de esto es insignificante, ya que esto solo afecta a fuentes personalizadas con capacidad de búsqueda mayores de 4 GiB (y el fallo ocurre en el código de usuario en lugar de en libvips mismo).'
  • Vulnerabilidad en YiFang CMS (CVE-2026-2932)
    Severidad: MEDIA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 24/02/2026
    Se ha descubierto una falla de seguridad en YiFang CMS hasta la versión 2.0.5. El elemento afectado es la función update del archivo app/db/admin/D_adPosition.php del componente Módulo de Gestión Extendida. Realizar una manipulación del argumento name/index resulta en cross-site scripting. El ataque es posible de llevar a cabo de forma remota. El exploit ha sido liberado al público y puede ser utilizado para ataques.
  • Vulnerabilidad en YiFang CMS (CVE-2026-2933)
    Severidad: MEDIA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 24/02/2026
    Se ha identificado una debilidad en YiFang CMS hasta 2.0.5. Esto afecta a la función update del archivo app/db/admin/D_adManage.PHP del componente Módulo de Gestión Extendido. La ejecución de una manipulación del argumento Name puede conducir a cross site scripting. El ataque puede realizarse de forma remota. El exploit se ha puesto a disposición del público y podría utilizarse para ataques.
  • Vulnerabilidad en YiFang CMS (CVE-2026-2934)
    Severidad: MEDIA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 24/02/2026
    Una vulnerabilidad de seguridad ha sido detectada en YiFang CMS hasta 2.0.5. Esto afecta la función update del archivo app/db/admin/D_friendLinkGroup.php del componente Módulo de Gestión Extendido. La manipulación del argumento Name conduce a cross site scripting. Es posible iniciar el ataque remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado.
  • Vulnerabilidad en UTT HiPER 810G (CVE-2026-2935)
    Severidad: ALTA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 24/02/2026
    Se ha identificado una debilidad en UTT HiPER 810G hasta la versión 1.7.7-171114. Este problema afecta a la función strcpy del archivo /goform/ConfigExceptMSN. La ejecución de una manipulación del argumento remark puede conducir a un desbordamiento de búfer. El ataque puede ejecutarse de forma remota. El exploit se ha puesto a disposición del público y podría utilizarse para ataques.
  • Vulnerabilidad en datapizza-labs datapizza-ai (CVE-2026-2969)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 24/02/2026
    Se ha encontrado un fallo en datapizza-labs datapizza-ai 0.0.2 que afecta a la función ChatPromptTemplate del archivo datapizza-ai-core/datapizza/modules/prompt/prompt.py del componente Jinja2 Template Handler. Al manipular el argumento Prompt se provoca una neutralización incorrecta de elementos especiales utilizados en un motor de plantillas. Es posible explotar el ataque en remoto. Se ha publicado el exploit y puede ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en FastApiAdmin (CVE-2026-2975)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 24/02/2026
    Se ha descubierto un fallo de seguridad en FastApiAdmin hasta la versión 2.2.0. Está afectada por esta vulnerabilidad la función reset_api_docs del archivo /backend/app/plugin/init_app.py del componente Custom Documentation Endpoint. Si se manipula se puede lograrse una revelación de información. El ataque puede realizarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
  • Vulnerabilidad en FastApiAdmin (CVE-2026-2976)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 24/02/2026
    Se ha identificado una debilidad en FastApiAdmin hasta la versión 2.2.0. Está afectadapor este problema la función download_controller del archivo /backend/app/api/v1/module_common/file/controller.py del componente 'Download Endpoint'. Esta manipulación del argumento 'file_path' provoca una revelación de información. Es posible iniciar el ataque de forma remota. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques.