Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en FTP Utility de Konica Minolta (CVE-2020-37068)
    Severidad: ALTA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 25/02/2026
    Konica Minolta FTP Utility 1.0 contiene una vulnerabilidad de desbordamiento de búfer en el comando LIST que permite a los atacantes sobrescribir registros del sistema. Los atacantes pueden enviar un búfer sobredimensionado de 1500 caracteres 'A' para bloquear el servidor FTP y potencialmente ejecutar código no autorizado.
  • Vulnerabilidad en FTP Utility de Konica Minolta (CVE-2020-37069)
    Severidad: ALTA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 25/02/2026
    Konica Minolta FTP Utility 1.0 contiene una vulnerabilidad de desbordamiento de búfer en el comando NLST que permite a los atacantes sobrescribir registros del sistema. Los atacantes pueden enviar un búfer sobredimensionado de 1500 caracteres 'A' para colapsar el servidor FTP y potencialmente ejecutar código no autorizado.
  • Vulnerabilidad en IBM (CVE-2025-36033)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 25/02/2026
    IBM Engineering Lifecycle Management - Gestión de Configuración Global 7.0.3 hasta 7.0.3 Interim Fix 017, y 7.1.0 hasta 7.1.0 Interim Fix 004 IBM Gestión de Configuración Global es vulnerable a cross-site scripting. Esta vulnerabilidad permite a un usuario autenticado incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría llevar a la divulgación de credenciales dentro de una sesión de confianza.
  • Vulnerabilidad en IBM (CVE-2025-36094)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 25/02/2026
    IBM Cloud Pak for Business Automation 25.0.0 hasta 25.0.0 Interim Fix 002, 24.0.1 hasta 24.0.1 Interim Fix 005, y 24.0.0 hasta 24.0.0 Interim Fix 007 podría permitir a un usuario autenticado causar una denegación de servicio o corromper datos existentes debido a la validación incorrecta de la longitud de entrada.
  • Vulnerabilidad en Samsung Members (CVE-2026-20985)
    Severidad: ALTA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 25/02/2026
    Validación de entrada incorrecta en Samsung Members anterior a la versión 5.6.00.11 permite a atacantes remotos conectar una URL arbitraria y lanzar una actividad arbitraria con privilegios de Samsung Members. Se requiere interacción del usuario para activar esta vulnerabilidad.
  • Vulnerabilidad en Samsung Members (CVE-2026-20986)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 25/02/2026
    Salto de ruta en Samsung Members anterior a la versión china 15.5.05.4 permite a atacantes locales sobrescribir datos dentro de Samsung Members.
  • Vulnerabilidad en Water-Melon Melon (CVE-2025-71031)
    Severidad: ALTA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 25/02/2026
    Water-Melon Melon commit 9df9292 y versiones anteriores es vulnerable a Denegación de Servicio. El componente HTTP no tiene una longitud máxima. Como resultado, una cabecera de solicitud excesiva podría causar una denegación de servicio al consumir memoria RAM.
  • Vulnerabilidad en Visual Studio Code Extensions Markdown Preview Enhanced (CVE-2025-65716)
    Severidad: ALTA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 25/02/2026
    Un problema en Visual Studio Code Extensions Markdown Preview Enhanced v0.8.18 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo .Md manipulado.
  • Vulnerabilidad en Visual Studio Code Live Server (CVE-2025-65717)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 25/02/2026
    Un problema en las extensiones de Visual Studio Code Live Server v5.7.9 permite a los atacantes exfiltrar archivos mediante la interacción del usuario con una página HTML manipulada.
  • Vulnerabilidad en IBM (CVE-2025-27901)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2026
    Fecha de última actualización: 25/02/2026
    IBM DB2 Recovery Expert para LUW 5.5 Corrección Provisional 002 IBM Db2 Recovery Expert para Linux, UNIX y Windows es vulnerable a la inyección de encabezados HTTP, causada por una validación incorrecta de la entrada por parte de los encabezados HOST. Esto podría permitir a un atacante realizar varios ataques contra el sistema vulnerable, incluyendo cross-site scripting, envenenamiento de caché o secuestro de sesión.
  • Vulnerabilidad en QuantumNous (CVE-2026-25802)
    Severidad: ALTA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    Nueva API es una pasarela de modelo de lenguaje grande (LLM) y un sistema de gestión de activos de inteligencia artificial (IA). Antes de la versión 0.10.8-alpha.9, ocurre una operación potencialmente insegura en el componente `MarkdownRenderer.jsx`, permitiendo cross-site scripting (XSS) cuando el modelo genera elementos que contienen la etiqueta `
  • Vulnerabilidad en itsourcecode E-Logbook (CVE-2026-3046)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    Una vulnerabilidad de seguridad ha sido detectada en itsourcecode E-Logbook con Sistema de Monitoreo de Salud para COVID-19 1.0. Esta vulnerabilidad afecta código desconocido del archivo /check_profile_old.PHP. La manipulación del argumento profile_id lleva a inyección SQL. La explotación remota del ataque es posible. El exploit ha sido divulgado públicamente y puede ser usado.
  • Vulnerabilidad en horilla-opensource (CVE-2026-3049)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    Una vulnerabilidad fue detectada en horilla-opensource horilla hasta 1.0.2. Este problema afecta la función get del archivo horilla_generics/global_search.py del componente Gestor de Parámetros de Consulta. La manipulación del argumento prev_url resulta en redirección abierta. El ataque puede ser ejecutado remotamente. El exploit es ahora público y puede ser usado. La actualización a la versión 1.0.3 es capaz de solucionar este problema. El parche se identifica como 730b5a44ff060916780c44a4bdbc8ced70a2cd27. El componente afectado debería ser actualizado.
  • Vulnerabilidad en horilla-opensource (CVE-2026-3050)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    Se ha encontrado una vulnerabilidad en horilla-opensource horilla hasta 1.0.2. Afectada es una función desconocida del archivo static/assets/js/global.js del componente Leads Module. Esta manipulación del argumento Notes causa cross site scripting. El ataque es posible de ser llevado a cabo remotamente. El exploit ha sido publicado y puede ser usado. La actualización a la versión 1.0.3 es recomendada para abordar este problema. Nombre del parche: fc5c8e55988e89273012491b5f097b762b474546. Se sugiere actualizar el componente afectado.
  • Vulnerabilidad en DataLinkDC (CVE-2026-3051)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    Una vulnerabilidad ha sido encontrada en DataLinkDC dinky hasta la versión 1.2.5. El elemento afectado es la función getProjectDir del archivo dinky-admin/src/main/java/org/dinky/utils/GitRepository.java del componente Gestor de Nombres de Proyecto. Dicha manipulación del argumento projectName conduce a un salto de ruta. El ataque puede ser realizado de forma remota. El exploit ha sido divulgado al público y puede ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación pero no respondió de ninguna manera.
  • Vulnerabilidad en DataLinkDC dinky (CVE-2026-3052)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    Se encontró una vulnerabilidad en DataLinkDC dinky hasta 1.2.5. La cual impacta a la función proxyUba del archivo dinky-admin/src/main/java/org/dinky/controller/FlinkProxyController.java del componente Flink Proxy Controller. Si se manipula se puede lograr una falsificación de petición del lado del servidor. Es posible iniciar el ataque en remoto. El exploit ha sido hecho público y podría ser usado. El proveedor fue contactado con antelación sobre esta divulgación pero no respondió de ninguna manera.
  • Vulnerabilidad en DataLinkDC dinky (CVE-2026-3053)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    Se encontró una vulnerabilidad en DataLinkDC dinky hasta 1.2.5. Esta afecta la función addInterceptors del archivo dinky-admin/src/main/java/org/dinky/configure/AppConfig.java del componente OpenAPI Endpoint. Si se manipula y ejecuta se puede provocar una falta de autenticación. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado con anterioridad sobre esta divulgación pero no respondió de ninguna manera.
  • Vulnerabilidad en Ormar (CVE-2026-26198)
    Severidad: CRÍTICA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    Ormar es un mini ORM asíncrono para Python. En las versiones 0.9.9 a 0.22.0, al realizar consultas agregadas, Ormar ORM construye expresiones SQL pasando los nombres de columna proporcionados por el usuario directamente a `sqlalchemy.text()` sin ninguna validación o saneamiento. Los métodos `min()` y `max()` en la clase `QuerySet` aceptan una entrada de cadena arbitraria como parámetro de columna. Mientras que `sum()` y `avg()` están parcialmente protegidos por una verificación de tipo `is_numeric` que rechaza campos inexistentes, `min()` y `max()` omiten esta validación por completo. Como resultado, una cadena controlada por el atacante se incrusta como SQL sin procesar dentro de la llamada a la función agregada. Cualquier usuario no autorizado puede explotar esta vulnerabilidad para leer todo el contenido de la base de datos, incluidas las tablas no relacionadas con el modelo consultado, inyectando una subconsulta como parámetro de columna. La versión 0.23.0 contiene un parche.
  • Vulnerabilidad en yt-dlp (CVE-2026-26331)
    Severidad: ALTA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    yt-dlp es un descargador de audio/vídeo de línea de comandos. A partir de la versión 2023.06.21 y antes de la versión 2026.02.21, cuando se utiliza la opción de línea de comandos '--netrc-cmd' de yt-dlp (o el parámetro de API de Python 'netrc_cmd'), un atacante podría lograr una inyección de comandos arbitraria en el sistema del usuario con una URL creada maliciosamente. Los encargados del mantenimiento de yt-dlp asumen que el impacto de esta vulnerabilidad es alto para cualquiera que use '--netrc-cmd' en su comando/configuración o 'netrc_cmd' en sus scripts de Python. Aunque la URL creada maliciosamente en sí parecerá muy sospechosa para muchos usuarios, sería trivial explotar encubiertamente esta vulnerabilidad a través de una redirección HTTP para una página web creada maliciosamente con una URL discreta . Los usuarios sin '--netrc-cmd' en sus argumentos o 'netrc_cmd' en sus scripts no se ven afectados. No se ha encontrado evidencia de que este exploit se esté utilizando. La versión 2026.02.21 de yt-dlp soluciona este problema validando todos los valores de 'machine' de netrc y generando un error ante una entrada inesperada. Como solución alternativa, los usuarios que no puedan actualizarse deben evitar usar la opción de línea de comandos '--netrc-cmd' (o el parámetro de API de Python 'netrc_cmd'), o al menos no deben pasar un marcador de posición ('{}') en su argumento '--netrc-cmd'.
  • Vulnerabilidad en Craft (CVE-2026-27127)
    Severidad: ALTA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 25/02/2026
    Craft es un sistema de gestión de contenido (CMS). En las versiones 4.5.0-RC1 hasta la 4.16.18 y 5.0.0-RC1 hasta la 5.8.22, la validación de SSRF en la mutación GraphQL Asset de Craft CMS realiza la resolución DNS separadamente de la solicitud HTTP. Esta vulnerabilidad de Tiempo de Verificación-Tiempo de Uso (TOCTOU) permite ataques de reencuadernación de DNS, donde el servidor DNS de un atacante devuelve diferentes direcciones IP para la validación en comparación con la solicitud real. Esto es un bypass de la corrección de seguridad para CVE-2025-68437 que permite el acceso a todas las IP bloqueadas, no solo a los puntos finales IPv6. La explotación requiere permisos de esquema GraphQL para editar activos en el volumen `` y crear activos en el volumen ``. Estos permisos pueden ser otorgados a usuarios autenticados con acceso apropiado al esquema GraphQL y/o Esquema Público (si está mal configurado con permisos de escritura). Las versiones 4.16.19 y 5.8.23 parchean el problema.