Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en una API Java para la creación de archivos y carpetas temporales en JetBrains Kotlin (CVE-2020-29582)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2021
    Fecha de última actualización: 25/02/2026
    En JetBrains Kotlin versiones anteriores a 1.4.21, una API Java vulnerable era usada para la creación de archivos y carpetas temporales. Un atacante era capaz de leer datos de dichos archivos y enumerar directorios debido a permisos no seguros
  • Vulnerabilidad en Apache Airflow de Apache Software Foundation (CVE-2025-65995)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2026
    Fecha de última actualización: 25/02/2026
    Cuando un DAG fallaba durante el análisis, la notificación de errores de Airflow en la interfaz de usuario podía incluir los kwargs completos pasados a los operadores. Si esos kwargs contenían valores sensibles (como secretos), podrían quedar expuestos en los rastreos de la interfaz de usuario a usuarios autenticados que tenían permiso para ver ese DAG. El problema ha sido solucionado en Airflow 3.1.4 y 2.11.1, y se recomienda encarecidamente a los usuarios que actualicen para evitar la posible divulgación de información sensible.
  • Vulnerabilidad en a466350665 Smart-SSO (CVE-2026-2971)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 25/02/2026
    Se encontró una vulnerabilidad en a466350665 Smart-SSO hasta 2.1.1 que afectada a alguna funcionalidad desconocida del archivo smart-sso-server/src/main/resources/templates/login.html del componente Login. Al manipular el argumento redirectUri se provoca un cross site scripting. Es posible llevar a cabo el ataque en remoto. El exploit ha sido hecho público y podría ser usado. El proveedor fue contactado tempranamente sobre esta divulgación pero no respondió de ninguna manera.
  • Vulnerabilidad en a466350665 Smart-SSO (CVE-2026-2972)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 25/02/2026
    Se ha encontrado una vulnerabilidad en a466350665 Smart-SSO hasta 2.1.1. Esta afecta a la función Save del archivo smart-sso-server/src/main/java/openjoe/smart/sso/server/controller/admin/UserController.java del componente 'Role Edit Page'. Ejecutar una manipulación puede provocar un cross-site scripting. El ataque puede realizarse de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Chrome de Google (CVE-2026-3061)
    Severidad: CRÍTICA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 25/02/2026
    Una lectura fuera de límites en Medios en Google Chrome anterior a la versión 145.0.7632.116 permitió a un atacante remoto realizar una lectura de memoria fuera de límites a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Tint en Google Chrome en Mac (CVE-2026-3062)
    Severidad: CRÍTICA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 25/02/2026
    Lectura y escritura fuera de límites en Tint en Google Chrome en Mac anterior a 145.0.7632.116 permitió a un atacante en remoto acceder a memoria fuera de límites a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en DevTools en Google Chrome (CVE-2026-3063)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 25/02/2026
    Implementación inapropiada en DevTools en Google Chrome anterior a 145.0.7632.116 permitió a un atacante, que convenció a un usuario de instalar una extensión maliciosa, inyectar scripts o HTML en una página con privilegios a través de DevTools. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en ImageMagick (CVE-2026-25797)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, los codificadores ps, responsables de escribir archivos PostScript, no sanean la entrada antes de escribirla en la cabecera PostScript. Un atacante puede proporcionar un archivo malicioso e inyectar código PostScript arbitrario. Cuando el archivo resultante es procesado por una impresora o un visor (como Ghostscript), el código inyectado es interpretado y ejecutado. El codificador html no escapa correctamente las cadenas que se escriben en el documento html. Un atacante puede proporcionar un archivo malicioso e inyectar código html arbitrario. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
  • Vulnerabilidad en ImageMagick (CVE-2026-25898)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, el codificador de imágenes UIL y XPM no valida el valor del índice de píxel devuelto por 'GetPixelIndex()' antes de usarlo como subíndice de una matriz. En las compilaciones HDRI, 'Quantum' es un tipo de punto flotante, por lo que los valores del índice de píxel pueden ser negativos. Un atacante puede crear una imagen con valores de índice de píxel negativos para activar una lectura de desbordamiento de búfer global durante la conversión, lo que lleva a la revelación de información o a un fallo del proceso. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
  • Vulnerabilidad en ImageMagick (CVE-2026-25965)
    Severidad: ALTA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, la política de seguridad de ruta de ImageMagick se aplica sobre la cadena de nombre de archivo sin procesar antes de que el sistema de archivos la resuelva. Como resultado, una regla de política como /etc/* puede ser eludida mediante un salto de ruta. El sistema operativo resuelve el salto de ruta y abre el archivo sensible, pero el comparador de políticas solo ve la ruta no normalizada y por lo tanto permite la lectura. Esto permite la divulgación de archivos locales (LFI) incluso cuando se aplica policy-secure.xml. Se han tomado medidas para evitar la lectura de archivos en las versiones .7.1.2-15 y 6.9.13-40. Pero para asegurarse de que la escritura tampoco sea posible, se debe añadir lo siguiente a la política de uno. Esto también se incluirá en las políticas más seguras de ImageMagick por defecto.
  • Vulnerabilidad en ImageMagick (CVE-2026-25966)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. La política de seguridad 'segura' que se distribuye incluye una regla destinada a prevenir la lectura/escritura desde flujos estándar. Sin embargo, ImageMagick también soporta pseudo-nombres de archivo fd: (por ejemplo, fd:0, fd:1). Antes de las versiones 7.1.2-15 y 6.9.13-40, esta forma de ruta no es bloqueada por las plantillas de política segura, y por lo tanto elude el objetivo de protección de 'no stdin/stdout'. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche al incluir un cambio en las políticas más seguras por defecto. Como solución alternativa, añada el cambio a la política de seguridad propia manualmente.
  • Vulnerabilidad en ImageMagick (CVE-2026-25967)
    Severidad: ALTA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de la versión 7.1.2-15, existe un desbordamiento de búfer basado en pila en el lector de imágenes FTXT de ImageMagick. Un archivo FTXT manipulado puede causar escrituras fuera de los límites en la pila, lo que lleva a un fallo. La versión 7.1.2-15 contiene un parche.
  • Vulnerabilidad en ImageMagick (CVE-2026-25968)
    Severidad: ALTA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, ocurre un desbordamiento de búfer de pila al procesar un atributo en msl.c. Un valor largo desborda un búfer de pila de tamaño fijo, lo que lleva a la corrupción de memoria. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
  • Vulnerabilidad en ImageMagick (CVE-2026-25969)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de la versión 7.1.2-15, existe una fuga de memoria en `coders/ashlar.c`. La `WriteASHLARImage` asigna una estructura. Sin embargo, cuando se lanza una excepción, la memoria asignada no se libera correctamente, lo que resulta en una posible fuga de memoria. La versión 7.1.2-15 contiene un parche.
  • Vulnerabilidad en ImageMagick (CVE-2026-25970)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, una vulnerabilidad de desbordamiento de entero con signo en el decodificador SIXEL de ImageMagick permite a un atacante activar la corrupción de memoria y la denegación de servicio al procesar un archivo de imagen SIXEL creado maliciosamente. La vulnerabilidad ocurre durante las operaciones de reasignación de búfer donde la aritmética de punteros que utiliza enteros con signo de 32 bits se desborda. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
  • Vulnerabilidad en ImageMagick (CVE-2026-25982)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, existe una vulnerabilidad de lectura fuera de límites del heap en el módulo 'coders/dcm.c'. Al procesar archivos DICOM con una configuración específica, el bucle del decodificador lee incorrectamente los bytes por iteración. Esto hace que la función lea más allá del final del búfer asignado, lo que podría llevar a una Denegación de Servicio (bloqueo) o Revelación de Información (filtrando memoria del heap en la imagen). Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
  • Vulnerabilidad en ImageMagick (CVE-2026-25985)
    Severidad: ALTA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, un archivo SVG manipulado que contiene un elemento malicioso provoca que ImageMagick intente asignar ~674 GB de memoria, lo que lleva a un aborto por falta de memoria. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
  • Vulnerabilidad en ImageMagick (CVE-2026-25987)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, existe una vulnerabilidad de lectura excesiva del búfer de pila en el decodificador de imágenes MAP al procesar archivos MAP especialmente diseñados, lo que podría provocar fallos o divulgación de memoria no intencionada durante la decodificación de imágenes. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.
  • Vulnerabilidad en ImageMagick (CVE-2026-25988)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    ImageMagick es un software libre y de código abierto utilizado para editar y manipular imágenes digitales. Antes de las versiones 7.1.2-15 y 6.9.13-40, a veces msl.c no actualiza el índice de la pila, por lo que una imagen se almacena en la ranura incorrecta y nunca se libera en caso de error, causando fugas. Las versiones 7.1.2-15 y 6.9.13-40 contienen un parche.