Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en interfaces objeto-serializado en algunos productos Cisco Collaboration y Social Media (CVE-2015-6420)
    Severidad: CRÍTICA
    Fecha de publicación: 15/12/2015
    Fecha de última actualización: 24/02/2026
    Interfaces serialized-object en algunos productos Cisco Collaboration y Social Media; Endpoint Clients y Client Software; Network Application, Service y Acceleration; Network y Content Security Devices; Network Management y Provisioning; Routing y Switching - Enterprise y Service Provider; Unified Computing; Voice y Unified Communications Devices; Video, Streaming, TelePresence y Transcoding Devices; Wireless y Cisco Hosted Services permite atacantes remotos ejecutar comandos arbitrarios a través de un objeto Java serializado manipulado, relacionado con la librería Apache Commons Collections (ACC).
  • Vulnerabilidad en la política predeterminada de RBAC en el servidor API de Kubernetes (CVE-2019-11253)
    Severidad: ALTA
    Fecha de publicación: 17/10/2019
    Fecha de última actualización: 24/02/2026
    La comprobación de entrada inapropiada en el servidor API de Kubernetes en las versiones v1.0 hasta 1.12 y versiones anteriores a v1.13.12, v1.14.8, v1.15.5 y v1.16.2, permite a los usuarios autorizados enviar cargas maliciosas de YAML o JSON, causando que el servidor API consuma demasiada CPU o memoria, fallando potencialmente y dejando de estar disponible. En versiones anteriores a v1.14.0, la política predeterminada de RBAC autorizaba a los usuarios anónimos para enviar peticiones que pudieran desencadenar esta vulnerabilidad. Los clústeres actualizados desde una versión anterior a v1.14.0 mantienen la política más permisiva por defecto para la compatibilidad con versiones anteriores.
  • Vulnerabilidad en el firmware UEFI (BIOS) de algunos productos de PC (CVE-2021-39298)
    Severidad: ALTA
    Fecha de publicación: 16/02/2022
    Fecha de última actualización: 24/02/2026
    Una potencial vulnerabilidad en el manejador de interrupciones del Modo de Gestión del Sistema (SMM) de AMD puede permitir a un atacante con altos privilegios acceder al SMM resultando en la ejecución de código arbitrario que podría ser utilizado por actores maliciosos para eludir los mecanismos de seguridad proporcionados en el firmware UEFI
  • Vulnerabilidad en El complemento Dokan WordPress (CVE-2022-3915)
    Severidad: CRÍTICA
    Fecha de publicación: 12/12/2022
    Fecha de última actualización: 24/02/2026
    El complemento Dokan WordPress anterior a 3.7.6 no sanitiza ni escapa adecuadamente un parámetro antes de usarlo en una declaración SQL, lo que genera una inyección de SQL explotable por usuarios no autenticados.
  • Vulnerabilidad en MyPrestaModules ordersexport (CVE-2023-40923)
    Severidad: ALTA
    Fecha de publicación: 15/11/2023
    Fecha de última actualización: 24/02/2026
    Se descubrió que MyPrestaModules ordersexport anterior a v5.0 contenía múltiples vulnerabilidades de inyección SQL en send.php a través de los parámetros key y save_setting.
  • Vulnerabilidad en weDevs Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy (CVE-2023-34382)
    Severidad: MEDIA
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 24/02/2026
    Vulnerabilidad de deserialización de datos no confiables en weDevs Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy. Este problema afecta a Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy: desde n/a hasta 3.7 .19.
  • Vulnerabilidad en weDevs Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy (CVE-2023-26525)
    Severidad: ALTA
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 24/02/2026
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en weDevs Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy. Este problema afecta a Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy: desde n/a hasta el 3.7.12.
  • Vulnerabilidad en El complemento Dokan WordPress (CVE-2022-3194)
    Severidad: MEDIA
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 24/02/2026
    El complemento Dokan WordPress anterior a 3.6.4 permite a los proveedores inyectar javascript arbitrario en reseñas de productos, lo que puede permitirles ejecutar ataques de XSS almacenado contra otros usuarios, como administradores de sitios.
  • Vulnerabilidad en SourceCodester Petshop Management System 1.0 (CVE-2024-8342)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2024
    Fecha de última actualización: 24/02/2026
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Petshop Management System 1.0. Este problema afecta a algunos procesos desconocidos del archivo /controllers/add_client.php. La manipulación del argumento image_profile provoca una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en Zyxel VMG8825-T50K (CVE-2024-5412)
    Severidad: ALTA
    Fecha de publicación: 03/09/2024
    Fecha de última actualización: 24/02/2026
    Una vulnerabilidad de desbordamiento de búfer en la librería "libclinkc" de la versión de firmware 5.50(ABOM.8)C0 del Zyxel VMG8825-T50K podría permitir que un atacante no autenticado provoque condiciones de denegación de servicio (DoS) al enviar una solicitud HTTP manipulada a un dispositivo vulnerable.
  • Vulnerabilidad en Zyxel VMG8825-T50K (CVE-2024-38266)
    Severidad: MEDIA
    Fecha de publicación: 24/09/2024
    Fecha de última actualización: 24/02/2026
    Una restricción incorrecta de las operaciones dentro de los límites de un búfer de memoria en el analizador de tipo de parámetro de las versiones de firmware Zyxel VMG8825-T50K hasta la 5.50(ABOM.8)C0 podría permitir que un atacante autenticado con privilegios de administrador provoque posibles corrupciones de memoria, lo que resultaría en un bloqueo del hilo en un dispositivo afectado.
  • Vulnerabilidad en Zyxel VMG8825-T50K (CVE-2024-38267)
    Severidad: MEDIA
    Fecha de publicación: 24/09/2024
    Fecha de última actualización: 24/02/2026
    Una restricción incorrecta de las operaciones dentro de los límites de un búfer de memoria en el analizador de direcciones IPv6 de las versiones de firmware Zyxel VMG8825-T50K hasta la 5.50(ABOM.8)C0 podría permitir que un atacante autenticado con privilegios de administrador provoque posibles corrupciones de memoria, lo que resultaría en un bloqueo del hilo en un dispositivo afectado.
  • Vulnerabilidad en Zyxel VMG8825-T50K (CVE-2024-38268)
    Severidad: MEDIA
    Fecha de publicación: 24/09/2024
    Fecha de última actualización: 24/02/2026
    Una restricción incorrecta de las operaciones dentro de los límites de un búfer de memoria en el analizador de direcciones MAC de las versiones de firmware Zyxel VMG8825-T50K hasta la 5.50(ABOM.8)C0 podría permitir que un atacante autenticado con privilegios de administrador provoque posibles corrupciones de memoria, lo que resultaría en un bloqueo del hilo en un dispositivo afectado.
  • Vulnerabilidad en Zyxel VMG8825-T50K (CVE-2024-38269)
    Severidad: MEDIA
    Fecha de publicación: 24/09/2024
    Fecha de última actualización: 24/02/2026
    Una restricción incorrecta de las operaciones dentro de los límites de un búfer de memoria en el controlador de uso compartido de archivos USB de las versiones de firmware Zyxel VMG8825-T50K hasta la 5.50(ABOM.8)C0 podría permitir que un atacante autenticado con privilegios de administrador provoque posibles corrupciones de memoria, lo que resultaría en un bloqueo del hilo en un dispositivo afectado.
  • Vulnerabilidad en PyTorch 2.6.0+cu124 (CVE-2025-2148)
    Severidad: BAJA
    Fecha de publicación: 10/03/2025
    Fecha de última actualización: 24/02/2026
    Se ha encontrado una vulnerabilidad en PyTorch 2.6.0+cu124. Se ha declarado como crítica. Esta vulnerabilidad afecta a la función Torch.ops.profiler._call_end_callbacks_on_jit_fut del componente Tuple Handler. La manipulación del argumento None provoca la corrupción de la memoria. El ataque se puede lanzar de forma remota. Es un ataque de complejidad bastante alta. Parece difícil de explotar.
  • Vulnerabilidad en PyTorch 2.6.0+cu124 (CVE-2025-2149)
    Severidad: BAJA
    Fecha de publicación: 10/03/2025
    Fecha de última actualización: 24/02/2026
    Se ha encontrado una vulnerabilidad en PyTorch 2.6.0+cu124. Se ha calificado como problemática. La función nnq_Sigmoid del componente Quantized Sigmoid Module está afectada por este problema. La manipulación del argumento scale/zero_point provoca una inicialización incorrecta. El ataque debe abordarse localmente. Es un ataque de complejidad bastante alta. Se sabe que su explotación es difícil. La explotación se ha hecho pública y puede utilizarse.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-21014)
    Severidad: MEDIA
    Fecha de publicación: 06/08/2025
    Fecha de última actualización: 24/02/2026
    La exportación incorrecta del componente de la aplicación Android en Emergency SoS anterior a la versión 1 de SMR de agosto de 2025 permite que atacantes locales accedan a información confidencial.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-21015)
    Severidad: MEDIA
    Fecha de publicación: 06/08/2025
    Fecha de última actualización: 24/02/2026
    Path Traversal en el escáner de documentos anterior a la versión 1 de SMR de agosto de 2025 permite a atacantes locales eliminar archivos con el privilegio del escáner de documentos.
  • Vulnerabilidad en Ghost (CVE-2025-9862)
    Severidad: MEDIA
    Fecha de publicación: 17/09/2025
    Fecha de última actualización: 24/02/2026
    Una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en Ghost permite a un atacante acceder a recursos internos. Este problema afecta a Ghost: desde la versión 6.0.0 hasta la 6.0.8, y desde la 5.99.0 hasta la 5.130.3.
  • Vulnerabilidad en FreePBX Endpoint Manager (CVE-2025-64328)
    Severidad: ALTA
    Fecha de publicación: 07/11/2025
    Fecha de última actualización: 24/02/2026
    FreePBX Endpoint Manager es un módulo para gestionar puntos finales de telefonía en sistemas FreePBX. En las versiones 17.0.2.36 y superiores anteriores a la 17.0.3, el módulo filestore dentro de la interfaz Administrativa es vulnerable a una inyección de comandos post-autenticación por un usuario conocido autenticado a través de la función testconnection -> check_ssh_connect(). Un atacante puede aprovechar esta vulnerabilidad para obtener acceso remoto al sistema como usuario asterisk. Este problema está solucionado en la versión 17.0.3.
  • Vulnerabilidad en Fast DDS (CVE-2025-62599)
    Severidad: BAJA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 24/02/2026
    Fast DDS es una implementación en C++ del estándar DDS (Data Distribution Service) del OMG (Object Management Group). Antes de las versiones 3.4.1, 3.3.1 y 2.6.11, cuando el modo de seguridad está habilitado, la modificación del Submensaje DATA dentro de un paquete SPDP enviado por un publicador provoca una condición de falta de memoria (OOM), lo que resulta en la terminación remota de Fast-DDS. Si se modifican los campos de PID_IDENTITY_TOKEN o PID_PERMISSION_TOKEN en el Submensaje DATA —específicamente al manipular el campo de longitud en readPropertySeq—, se produce un desbordamiento de entero, lo que lleva a una OOM durante la operación de redimensionamiento. Las versiones 3.4.1, 3.3.1 y 2.6.11 parchean el problema.
  • Vulnerabilidad en Fast DDS (CVE-2025-62600)
    Severidad: BAJA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 24/02/2026
    Fast DDS es una implementación en C++ del estándar DDS (Data Distribution Service) de la OMG (Object Management Group). Antes de las versiones 3.4.1, 3.3.1 y 2.6.11, cuando el modo de seguridad está habilitado, modificar el Submensaje DATA dentro de un paquete SPDP enviado por un publicador causa una condición de falta de memoria (OOM), lo que resulta en la terminación remota de Fast-DDS. Si los campos de PID_IDENTITY_TOKEN o PID_PERMISSION_TOKEN en el Submensaje DATA — específicamente al manipular el campo de longitud en readBinaryPropertySeq — son modificados, ocurre un desbordamiento de entero, lo que lleva a una OOM durante la operación de redimensionamiento. Las versiones 3.4.1, 3.3.1 y 2.6.11 aplican un parche al problema.
  • Vulnerabilidad en HiPER 810G de UTT (CVE-2026-2086)
    Severidad: ALTA
    Fecha de publicación: 07/02/2026
    Fecha de última actualización: 24/02/2026
    Una vulnerabilidad fue detectada en UTT HiPER 810G hasta 1.7.7-171114. Afectada por esta vulnerabilidad es la función strcpy del archivo /goform/formFireWall del componente Interfaz de Gestión. La manipulación del argumento GroupName resulta en desbordamiento de búfer. El ataque puede ser lanzado remotamente. El exploit es ahora público y puede ser usado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
  • Vulnerabilidad en ZAI Shell (CVE-2026-25807)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 24/02/2026
    ZAI Shell es un agente SysOps autónomo diseñado para navegar, reparar y asegurar entornos complejos. Prior a la versión 9.0.3, la función de compartición de terminal P2P (share start) abre un socket TCP en el puerto 5757 sin ningún mecanismo de autenticación. Cualquier atacante remoto puede conectarse a este puerto usando un script de socket simple. Un atacante que se conecta a una sesión P2P de ZAI-Shell ejecutándose en modo --no-ai puede enviar comandos de sistema arbitrarios. Si el usuario anfitrión aprueba el comando sin revisar su contenido, el comando se ejecuta directamente con los privilegios del usuario, eludiendo todas las comprobaciones de seguridad de Sentinel. Esta vulnerabilidad está corregida en la versión 9.0.3.
  • Vulnerabilidad en Cube de Cube-js (CVE-2026-25957)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 24/02/2026
    Cube es una capa semántica para construir aplicaciones de datos. Desde la versión 1.1.17 hasta antes de la 1.5.13 y la 1.4.2, es posible inhabilitar la totalidad de la API de Cube mediante el envío de una solicitud especialmente diseñada a un endpoint de la API de Cube. Esta vulnerabilidad está corregida en las versiones 1.5.13 y 1.4.2.
  • Vulnerabilidad en Tanium (CVE-2025-15310)
    Severidad: ALTA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 24/02/2026
    Tanium abordó una vulnerabilidad de escalada de privilegios local en las Herramientas de Parche de Endpoint.
  • Vulnerabilidad en Tanium (CVE-2025-15313)
    Severidad: MEDIA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 24/02/2026
    Tanium abordó una vulnerabilidad de eliminación arbitraria de archivos en Tanium EUSS.
  • Vulnerabilidad en `arrayLimit` en qs (CVE-2026-2391)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2026
    Fecha de última actualización: 24/02/2026
    ### Resumen La opción `arrayLimit` en qs no aplica límites para valores separados por comas cuando `comma: true` está habilitado, permitiendo a los atacantes causar denegación de servicio a través del agotamiento de memoria. Esto es un bypass de la aplicación del límite de array, similar al bypass de notación de corchetes abordado en GHSA-6rw7-vpxm-498p (CVE-2025-15284). ### Detalles Cuando la opción `comma` se establece en `true` (no es el valor predeterminado, pero es configurable en las aplicaciones), qs permite analizar cadenas separadas por comas como arrays (por ejemplo, `?param=a,b,c` se convierte en `['a', 'b', 'c']`). Sin embargo, la verificación de límite para `arrayLimit` (predeterminado: 20) y la opción throwOnLimitExceeded ocurren después de la lógica de manejo de comas en `parseArrayValue`, lo que permite un bypass. Esto permite la creación de arrays arbitrariamente grandes a partir de un solo parámetro, lo que lleva a una asignación excesiva de memoria. Código vulnerable (lib/parse.js: líneas ~40-50): ```js if (val && typeof val === 'string' && options.comma && val.indexOf(',') > -1) { return val.split(','); } if (options.throwOnLimitExceeded && currentArrayLength >= options.arrayLimit) { throw new RangeError('Array limit exceeded. Only ' + options.arrayLimit + ' element' + (options.arrayLimit === 1 ? '' : 's') + ' allowed in an array.'); } return val; ``` El `split(',')` devuelve el array inmediatamente, omitiendo la verificación de límite subsiguiente. La fusión posterior a través de `utils.combine` no evita la asignación, incluso si marca desbordamientos para arrays dispersos. Esta discrepancia permite a los atacantes enviar un solo parámetro con millones de comas (por ejemplo, `?param=,,,,,,,,...`), asignando arrays masivos en memoria sin activar los límites. Bypassea la intención de `arrayLimit`, que se aplica correctamente para las notaciones indexadas (`a[0]=`) y de corchetes (`a[]=`) (esta última corregida en v6.14.1 según GHSA-6rw7-vpxm-498p). ### PoC Prueba 1 - Bypass básico: ``` npm install qs ``` ```js const qs = require('qs'); const payload = 'a=' + ','.repeat(25); // 26 elements after split (bypasses arrayLimit: 5) const options = { comma: true, arrayLimit: 5, throwOnLimitExceeded: true }; try { const result = qs.parse(payload, options); console.log(result.a.length); // Outputs: 26 (bypass successful) } catch (e) { console.log('Limit enforced:', e.message); // Not thrown } ``` Configuración: - `comma: true` - `arrayLimit: 5` - `throwOnLimitExceeded: true` Esperado: Lanza el error 'Array limit exceeded'. Real: Analiza con éxito, creando un array de longitud 26. ### Impacto Denegación de Servicio (DoS) a través del agotamiento de memoria.
  • Vulnerabilidad en Caido (CVE-2026-24853)
    Severidad: ALTA
    Fecha de publicación: 13/02/2026
    Fecha de última actualización: 24/02/2026
    Caido es un kit de herramientas de auditoría de seguridad web. Antes de la versión 0.55.0, Caido bloquea los dominios no incluidos en la lista blanca para acceder a través del puerto 8080, y muestra 'Host/IP no tiene permiso para conectarse a Caido' en todos los puntos finales. Pero esto es eludible inyectando una cabecera X-Forwarded-Host: 127.0.0.1:8080. Esta vulnerabilidad está corregida en la versión 0.55.0.
  • Vulnerabilidad en Win10 MailCarrier (CVE-2019-25364)
    Severidad: CRÍTICA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 24/02/2026
    MailCarrier 2.51 contiene una vulnerabilidad de desbordamiento de búfer en el comando POP3 USER que permite a atacantes remotos ejecutar código arbitrario. Los atacantes pueden enviar un búfer sobredimensionado y manipulado al servicio POP3, sobrescribiendo la memoria y potencialmente obteniendo acceso remoto al sistema.
  • Vulnerabilidad en SPIP (CVE-2026-26223)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 24/02/2026
    SPIP anterior a 4.4.8 permite cross-site scripting (XSS) en el área privada a través de etiquetas iframe maliciosas. La aplicación no aísla correctamente en un sandbox ni escapa el contenido de iframe en el back-office, permitiendo a un atacante inyectar y ejecutar scripts maliciosos. La solución añade un atributo sandbox a las etiquetas iframe en el área privada. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.
  • Vulnerabilidad en SPIP (CVE-2026-26345)
    Severidad: ALTA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 24/02/2026
    SPIP anterior a 4.4.8 permite cross-site scripting (XSS) en el área pública para ciertos patrones de uso de casos límite. La función echapper_html_suspect() no detecta adecuadamente todas las formas de contenido malicioso, permitiendo a un atacante inyectar scripts que se ejecutan en el navegador de un visitante. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.
  • Vulnerabilidad en SPIP (CVE-2026-27472)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 24/02/2026
    SPIP anterior a la versión 4.4.9 permite la Falsificación de Petición del Lado del Servidor Ciega (SSRF) a través de sitios sindicados en el área privada. Al editar un sitio sindicado, la aplicación no verifica que la URL de sindicación sea una URL remota válida, lo que permite a un atacante autenticado hacer que el servidor emita peticiones a destinos internos o externos arbitrarios. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.
  • Vulnerabilidad en SPIP (CVE-2026-27473)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 24/02/2026
    SPIP anterior a 4.4.9 permite Cross-Site Scripting Almacenado (XSS) a través de sitios sindicados en el área privada. La salida #URL_SYNDIC no se sanea correctamente en la página privada del sitio sindicado, permitiendo a un atacante que puede establecer una URL de sindicación maliciosa inyectar scripts persistentes que se ejecutan cuando otros administradores ven los detalles del sitio sindicado.
  • Vulnerabilidad en SPIP (CVE-2026-27474)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 24/02/2026
    SPIP anterior a la versión 4.4.9 permite cross-site scripting (XSS) en el área privada, complementando una corrección incompleta de SPIP 4.4.8. La función echappe_anti_xss() no se aplicó sistemáticamente a las etiquetas HTML input, form, button y anchor (a), permitiendo a un atacante inyectar scripts maliciosos a través de estos elementos. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.
  • Vulnerabilidad en SPIP (CVE-2026-27475)
    Severidad: CRÍTICA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 24/02/2026
    SPIP anterior a 4.4.9 permite la deserialización insegura en el área pública a través del filtro table_valeur y el iterador DATA, que aceptan datos serializados. Un atacante que puede colocar contenido serializado malicioso (una precondición que requiere acceso previo u otra vulnerabilidad) puede desencadenar la instanciación arbitraria de objetos y potencialmente lograr la ejecución de código. El uso de datos serializados en estos componentes ha sido desaprobado y será eliminado en SPIP 5. Esta vulnerabilidad no es mitigada por la pantalla de seguridad de SPIP.
  • Vulnerabilidad en OpenClaw (CVE-2026-26316)
    Severidad: ALTA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 24/02/2026
    OpenClaw es un asistente personal de IA. Antes de 2026.2.13, el plugin opcional del canal iMessage de BlueBubbles podía aceptar solicitudes de webhook como autenticadas basándose únicamente en que la dirección de par TCP fuera de bucle invertido ('127.0.0.1', '::1', '::ffff:127.0.0.1') incluso cuando el secreto de webhook configurado faltaba o era incorrecto. Esto no afecta a la integración predeterminada de iMessage a menos que BlueBubbles esté instalado y habilitado. La versión 2026.2.13 contiene un parche. Otras mitigaciones incluyen establecer una contraseña de webhook de BlueBubbles no vacía y evitar implementaciones donde un proxy inverso de cara al público reenvíe a un Gateway vinculado a loopback sin una fuerte autenticación ascendente.
  • Vulnerabilidad en JeecgBoot (CVE-2026-2822)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 24/02/2026
    Se ha detectado una vulnerabilidad de seguridad en JeecgBoot hasta 3.9.1. El elemento afectado es una función desconocida del archivo /jeecgboot/sys/dict/loadDict/airag_app,1,create_by del componente Interfaz de Backend. Manipular el argumento 'keyword' provoca una inyección SQL. El ataque puede ser ejecutado en remoto. El exploit ha sido divulgado públicamente y puede ser utilizado.