Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en skill-scanner de cisco-ai-defense (CVE-2026-26057)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 26/02/2026
    Skill Scanner es un escáner de seguridad para Habilidades de Agentes de IA que detecta inyección de prompts, exfiltración de datos y patrones de código malicioso. Una vulnerabilidad en el API Server de Skill Scanner podría permitir a un atacante remoto no autenticado interactuar con la API del servidor y o bien desencadenar una condición de denegación de servicio (DoS) o cargar archivos arbitrarios. Esta vulnerabilidad se debe a una vinculación errónea a múltiples interfaces. Un atacante podría explotar esta vulnerabilidad enviando solicitudes de API a un dispositivo que expone el API Server afectado. Un exploit exitoso podría permitir al atacante consumir una cantidad excesiva de recursos (agotamiento de memoria) o cargar archivos en carpetas arbitrarias en el dispositivo afectado. Esta vulnerabilidad afecta a Skill-scanner 1.0.1 y versiones anteriores cuando el API Server está habilitado. El API Server no está habilitado por defecto. Las versiones de software de Skill-scanner 1.0.2 y posteriores contienen la corrección para esta vulnerabilidad.
  • Vulnerabilidad en Trivy Action (CVE-2026-26189)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 26/02/2026
    Trivy Action ejecuta Trivy como acción de GitHub para escanear una imagen de contenedor Docker en busca de vulnerabilidades. Una vulnerabilidad de inyección de comandos existe en las versiones 0.31.0 a 0.33.1 de `aquasecurity/trivy-action` debido a un manejo inadecuado de las entradas de la acción al exportar variables de entorno. La acción escribe líneas 'export VAR=' en `trivy_envs.txt` basándose en entradas proporcionadas por el usuario y posteriormente carga este archivo en `entrypoint.sh`. Debido a que los valores de entrada se escriben sin el escape de shell adecuado, la entrada controlada por el atacante que contiene metacaracteres de shell (por ejemplo, '$(...)', comillas invertidas u otra sintaxis de sustitución de comandos) puede ser evaluada durante el proceso de carga. Esto puede resultar en la ejecución arbitraria de comandos dentro del contexto del ejecutor de GitHub Actions. La versión 0.34.0 contiene un parche para este problema. La vulnerabilidad es explotable cuando un flujo de trabajo consumidor pasa datos controlados por el atacante a cualquier entrada de acción que se escriba en `trivy_envs.txt`. Se requiere acceso a la entrada del usuario por parte del actor malicioso. Los flujos de trabajo que no pasan datos controlados por el atacante a las entradas de `trivy-action`, los flujos de trabajo que se actualizan a una versión parcheada que escapa correctamente los valores de shell o elimina el patrón 'source ./trivy_envs.txt', y los flujos de trabajo donde la entrada del usuario no es accesible no se ven afectados.
  • Vulnerabilidad en funcionalidad de recuperación de contraseña en FormaLMS (CVE-2026-26744)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 26/02/2026
    Hay una vulnerabilidad de enumeración de usuarios en FormaLMS 4.1.18 y versiones anteriores en la funcionalidad de recuperación de contraseña accesible a través del endpoint /lostpwd. La aplicación devuelve mensajes de error diferentes para nombres de usuario válidos e inválidos, permitiendo a un atacante no autenticado determinar qué nombres de usuario están registrados en el sistema a través de la discrepancia observable en la respuesta.
  • Vulnerabilidad en opentext directory services (CVE-2026-1658)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 26/02/2026
    La vulnerabilidad de Representación Errónea de Información Crítica en la Interfaz de Usuario (IU) en OpenText™ Directory Services permite el Envenenamiento de Caché. La vulnerabilidad podría ser explotada por un actor malicioso para inyectar texto manipulado en la aplicación OpenText, lo que podría engañar a los usuarios. Este problema afecta a Directory Services: desde la 20.4.1 hasta la 25.2.
  • Vulnerabilidad en Monica (CVE-2026-26747)
    Severidad: CRÍTICA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 26/02/2026
    Una vulnerabilidad de envenenamiento de encabezado Host existe en Monica 4.1.2 debido a un manejo inadecuado del encabezado HTTP Host en app/Providers/AppServiceProvider.php, combinado con la configuración errónea predeterminada donde 'app.force_url' no está configurado y su valor predeterminado es 'false'. La aplicación genera URLs absolutas (como las utilizadas en los correos electrónicos de restablecimiento de contraseña) utilizando el encabezado Host proporcionado por el usuario. Esto permite a atacantes remotos envenenar el enlace de restablecimiento de contraseña enviado a una víctima.
  • Vulnerabilidad en yeqifu (CVE-2026-2849)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 26/02/2026
    Una vulnerabilidad ha sido encontrada en el almacén yeqifu hasta aaf29962ba407d22d991781de28796ee7b4670e4. Afectada por este problema es la función deleteCache/removeAllCache/syncCache del archivo dataset\repos\warehouse\src\main\java\com\yeqifu\sys\controller\CacheController.java del componente Gestor de Sincronización de Caché. Dicha manipulación conduce a controles de acceso inadecuados. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser usado. Este producto opera sobre una base de lanzamiento continuo, asegurando la entrega continua. Consecuentemente, no hay detalles de versión ni para las versiones afectadas ni para las actualizadas. El proyecto fue informado del problema tempranamente a través de un informe de problema, pero aún no ha respondido.
  • Vulnerabilidad en yeqifu (CVE-2026-2850)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 26/02/2026
    Se encontró una vulnerabilidad en el almacén yeqifu hasta aaf29962ba407d22d991781de28796ee7b4670e4. Esto afecta a la función addCustomer/updateCustomer/deleteCustomer del archivo dataset\repos\warehouse\src\main\java\com\yeqifu\bus\controller\CustomerController.java del componente Customer Endpoint. Realizar una manipulación resulta en controles de acceso inadecuados. La explotación remota del ataque es posible. El exploit se ha hecho público y podría ser utilizado. Este producto sigue un enfoque de lanzamiento continuo para la entrega continua, por lo que no se proporcionan detalles de la versión para las versiones afectadas o actualizadas. Se informó al proyecto del problema con antelación a través de un informe de incidencia, pero aún no ha respondido.
  • Vulnerabilidad en yeqifu (CVE-2026-2851)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 26/02/2026
    Se determinó una vulnerabilidad en el almacén yeqifu hasta aaf29962ba407d22d991781de28796ee7b4670e4. Esta vulnerabilidad afecta a la función addInport/updateInport/deleteInport del archivo dataset\repos\warehouse\src\main\java\com\yeqifu\bus\controller\InportController.java del componente Inport Endpoint. La ejecución de una manipulación puede llevar a controles de acceso inadecuados. El ataque puede ejecutarse remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado. Este producto implementa un lanzamiento continuo para la entrega constante, lo que significa que la información de la versión para las versiones afectadas o actualizadas no está disponible. Se informó al proyecto del problema con antelación a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en wren-lang (CVE-2026-2858)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 26/02/2026
    Una vulnerabilidad fue identificada en wren-lang wren hasta 0.4.0. Esto afecta a la función peekChar del archivo src/vm/wren_compiler.c del componente Source File Parser. Dicha manipulación conduce a una lectura fuera de límites. El ataque necesita ser realizado localmente. El exploit está disponible públicamente y podría ser utilizado. El proyecto fue informado del problema tempranamente a través de un informe de incidencia pero aún no ha respondido.
  • Vulnerabilidad en DICOM Viewer Pro de Sante (CVE-2026-2034)
    Severidad: ALTA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 26/02/2026
    Vulnerabilidad de desbordamiento de búfer de análisis de archivos DCM con ejecución remota de código de Sante DICOM Viewer Pro. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Sante DICOM Viewer Pro. Se requiere interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe dentro del análisis de archivos DCM. El problema resulta de la falta de validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-28129.
  • Vulnerabilidad en Foswiki (CVE-2026-2861)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2026
    Fecha de última actualización: 26/02/2026
    Se detectó una vulnerabilidad en Foswiki hasta 2.1.10 que afecta a una función desconocida del componente Changes/Viewfile/Oops. Si se manipula se puede lograr una revelación de información. Es posible lanzar el ataque en remoto. El exploit es ahora público y puede ser utilizado. Con actualizar a la versión 2.1.11 es suficiente para solucionar este problema. El parche se identifica como 31aeecb58b64/d8ed86b10e46. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en itsourcecode Agri-Trading Online Shopping System (CVE-2026-2865)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2026
    Fecha de última actualización: 26/02/2026
    Se encontró una vulnerabilidad en itsourcecode Agri-Trading Online Shopping System 1.0. Esto afecta a una función desconocida del archivo admin/productcontroller.php del componente Gestor de Solicitudes HTTP POST. Manipular el argumento Product resulta en inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y podría usarse.
  • Vulnerabilidad en janet-lang (CVE-2026-2869)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2026
    Fecha de última actualización: 26/02/2026
    Se identificó una vulnerabilidad en janet-lang janet hasta la versión 1.40.1. Afectada por esta vulnerabilidad es la función janetc_varset del archivo src/core/specials.c del componente gestor handleattr. La manipulación conduce a una lectura fuera de límites. El ataque solo puede realizarse desde un entorno local. El exploit está disponible públicamente y podría ser utilizado. La actualización a la versión 1.41.0 soluciona este problema. El identificador del parche es 2fabc80151a2b8834ee59cda8a70453f848b40e5. El componente afectado debería ser actualizado.
  • Vulnerabilidad en TOTOLINK X5000R (CVE-2025-70327)
    Severidad: CRÍTICA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 26/02/2026
    TOTOLINK X5000R v9.1.0cu_2415_B20250515 contiene una vulnerabilidad de inyección de argumentos en el gestor setDiagnosisCfg del ejecutable /usr/sbin/lighttpd. El parámetro ip se recupera a través de websGetVar y se pasa a un comando ping a través de CsteSystem sin validar si la entrada comienza con un guion (-). Esto permite a atacantes remotos autenticados inyectar opciones arbitrarias de línea de comandos en la utilidad ping, lo que podría llevar a una Denegación de Servicio (DoS) al causar un consumo excesivo de recursos o una ejecución prolongada.
  • Vulnerabilidad en TOTOLINK X6000R (CVE-2025-70328)
    Severidad: ALTA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 26/02/2026
    TOTOLINK X6000R v9.4.0cu.1498_B20250826 contiene una vulnerabilidad de inyección de comandos del sistema operativo en el gestor NTPSyncWithHost del ejecutable /usr/sbin/shttpd. El parámetro host_time se recupera a través de sub_40C404 y se pasa a un comando de shell date -s a través de CsteSystem. Aunque los dos primeros tokens de la entrada son validados, el resto de la cadena no se sanea, permitiendo a atacantes autenticados ejecutar comandos de shell arbitrarios a través de metacaracteres de shell.
  • Vulnerabilidad en Bludit (CVE-2026-27741)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 26/02/2026
    La versión 3.16.1 de Bludit contiene una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en los endpoints /admin/uninstall-plugin/ y /admin/install-theme/. La aplicación no implementa tokens anti-CSRF u otros mecanismos de validación de origen de la petición para estas acciones de administración. Un atacante puede inducir a un administrador autenticado a visitar una página maliciosa que envía silenciosamente peticiones manipuladas, lo que resulta en la desinstalación no autorizada de un plugin o la instalación de un tema. Esto puede llevar a la pérdida de funcionalidad, la ejecución de código no confiable a través de temas maliciosos y el compromiso de la integridad del sistema.
  • Vulnerabilidad en Bludit (CVE-2026-27742)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 26/02/2026
    Bludit versión 3.16.2 contiene una vulnerabilidad de cross-site scripting (XSS) almacenada en la funcionalidad de contenido de publicaciones. La aplicación realiza saneamiento del lado del cliente de la entrada de contenido, pero no aplica un saneamiento equivalente en el lado del servidor. Un usuario autenticado puede inyectar JavaScript arbitrario en el campo de contenido de una publicación, que se almacena y luego se renderiza a otros usuarios sin una codificación de salida adecuada. Cuando se visualiza, el script inyectado se ejecuta en el contexto del navegador de la víctima, permitiendo el secuestro de sesión, el robo de credenciales, la manipulación de contenido u otras acciones dentro de los privilegios del usuario.
  • Vulnerabilidad en erzhongxmu JEEWMS (CVE-2026-3028)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 26/02/2026
    Se encontró una vulnerabilidad en erzhongxmu JEEWMS hasta la versión 3.7. Esta vulnerabilidad afecta la función doAdd del archivo src/main/java/com/jeecg/demo/controller/JeecgListDemoController.java. Manipular el argumento Name causa un cross-site scripting. El ataque puede ser iniciado en remoto. El exploit ha sido divulgado públicamente y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.