Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Synology Active Backup for Business (CVE-2024-47265)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2025
    Fecha de última actualización: 26/02/2026
    La vulnerabilidad de limitación incorrecta de una ruta de acceso a un directorio restringido ('Path Traversal') en la funcionalidad de desmontaje de recursos compartidos cifrados en Synology Active Backup for Business anteriores a 2.7.1-13234, 2.7.1-23234 y 2.7.1-3234 permite que usuarios remotos autenticados escriban archivos específicos a través de vectores no especificados.
  • Vulnerabilidad en Synology Active Backup for Business (CVE-2024-47266)
    Severidad: BAJA
    Fecha de publicación: 13/02/2025
    Fecha de última actualización: 26/02/2026
    La vulnerabilidad de limitación incorrecta de una ruta de acceso a un directorio restringido ('Path Traversal') en la funcionalidad de lista de archivos compartidos en Synology Active Backup for Business anteriores a 2.7.1-13234, 2.7.1-23234 y 2.7.1-3234 permite que usuarios remotos autenticados con privilegios de administrador lean archivos específicos que contienen información no confidencial a través de vectores no especificados.
  • Vulnerabilidad en Backup Configuration de Crafty Controller (CVE-2026-0805)
    Severidad: ALTA
    Fecha de publicación: 30/01/2026
    Fecha de última actualización: 26/02/2026
    Una vulnerabilidad de neutralización de entrada en el componente de Configuración de Copia de Seguridad de Crafty Controller permite a un atacante remoto y autenticado realizar manipulación de archivos y ejecución remota de código mediante salto de ruta.
  • Vulnerabilidad en File Operations API Endpoint de Crafty Controller (CVE-2026-0963)
    Severidad: CRÍTICA
    Fecha de publicación: 30/01/2026
    Fecha de última actualización: 26/02/2026
    Una vulnerabilidad de neutralización de entrada en el componente de punto final de la API de operaciones de archivo de Crafty Controller permite a un atacante remoto y autenticado realizar manipulación de archivos y ejecución remota de código a través de salto de ruta.
  • Vulnerabilidad en Mikogo (CVE-2019-25308)
    Severidad: ALTA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 26/02/2026
    Mikogo 5.2.2.150317 contiene una vulnerabilidad de ruta de servicio sin comillas en la configuración del servicio de Windows Mikogo-Service. Los atacantes pueden explotar la ruta sin comillas para inyectar y ejecutar código malicioso con privilegios de LocalSystem al colocar archivos ejecutables en ubicaciones de ruta específicas.
  • Vulnerabilidad en Statping-ng (CVE-2024-26477)
    Severidad: ALTA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 26/02/2026
    Un problema en Statping-ng v.0.91.0 permite a un atacante obtener información sensible mediante una solicitud manipulada al parámetro API de los endpoints oauth, amazon_sns, export.
  • Vulnerabilidad en Statping-ng (CVE-2024-26478)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 26/02/2026
    Un problema en Statping-ng v.0.91.0 permite a un atacante obtener información sensible a través de una solicitud manipulada al endpoint /API/users.
  • Vulnerabilidad en Statping-ng (CVE-2024-26479)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 26/02/2026
    Un problema en Statping-ng v.0.91.0 permite a un atacante obtener información sensible a través de una solicitud manipulada a la función de ejecución de comandos.
  • Vulnerabilidad en Statping-ng (CVE-2024-26480)
    Severidad: ALTA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 26/02/2026
    Un problema en Statping-ng v.0.91.0 permite a un atacante obtener información sensible mediante una solicitud manipulada al parámetro admin.
  • Vulnerabilidad en Google (CVE-2026-1669)
    Severidad: ALTA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 26/02/2026
    Lectura arbitraria de archivos en el mecanismo de carga de modelos (integración HDF5) en las versiones de Keras 3.0.0 a 3.13.1 en todas las plataformas compatibles permite a un atacante remoto leer archivos locales y divulgar información sensible a través de un archivo de modelo .keras manipulado que utiliza referencias de conjuntos de datos externos de HDF5.
  • Vulnerabilidad en MobileGo de Wondershare (CVE-2019-25344)
    Severidad: ALTA
    Fecha de publicación: 12/02/2026
    Fecha de última actualización: 26/02/2026
    Wondershare MobileGo 8.5.0 contiene una vulnerabilidad de permisos de archivo inseguros que permite a usuarios locales modificar archivos ejecutables en el directorio de la aplicación. Los atacantes pueden reemplazar el MobileGo.exe original con un ejecutable malicioso para crear una nueva cuenta de usuario y añadirla al grupo de Administradores con acceso total al sistema.
  • Vulnerabilidad en Dokuwiki (CVE-2019-25338)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2026
    Fecha de última actualización: 26/02/2026
    DokuWiki 2018-04-22b contiene una vulnerabilidad de enumeración de nombres de usuario en su funcionalidad de restablecimiento de contraseña que permite a los atacantes identificar cuentas de usuario válidas. Los atacantes pueden enviar diferentes nombres de usuario al punto final de restablecimiento de contraseña y distinguir entre cuentas existentes y no existentes analizando los mensajes de respuesta de error del servidor.
  • Vulnerabilidad en eNet SMART HOME server (CVE-2026-26366)
    Severidad: CRÍTICA
    Fecha de publicación: 15/02/2026
    Fecha de última actualización: 26/02/2026
    El servidor eNet SMART HOME 2.2.1 y 2.3.1 se envía con credenciales predeterminadas (usuario:usuario, admin:admin) que permanecen activas después de la instalación y puesta en marcha sin forzar un cambio de contraseña obligatorio. Atacantes no autenticados pueden usar estas credenciales predeterminadas para obtener acceso administrativo a funciones sensibles de configuración y control del hogar inteligente.
  • Vulnerabilidad en eNet SMART HOME server (CVE-2026-26367)
    Severidad: ALTA
    Fecha de publicación: 15/02/2026
    Fecha de última actualización: 26/02/2026
    eNet SMART HOME server 2.2.1 y 2.3.1 contiene una vulnerabilidad de autorización faltante en el método JSON-RPC deleteUserAccount que permite a cualquier usuario autenticado con privilegios bajos (UG_USER) eliminar cuentas de usuario arbitrarias, excepto la cuenta de administrador integrada. La aplicación no aplica control de acceso basado en roles en esta función, permitiendo a un usuario estándar enviar una solicitud POST manipulada a /jsonrpc/management especificando otro nombre de usuario para que esa cuenta sea eliminada sin permisos elevados ni confirmación adicional.
  • Vulnerabilidad en IBM (CVE-2025-33124)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2026
    Fecha de última actualización: 26/02/2026
    IBM DB2 Merge Backup para Linux, UNIX y Windows 12.1.0.0 podría permitir a un usuario autenticado provocar que el programa falle debido al cálculo incorrecto de un tamaño de búfer.
  • Vulnerabilidad en Dell (CVE-2026-22284)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2026
    Fecha de última actualización: 26/02/2026
    El software Dell SmartFabric OS10, versiones anteriores a la 10.5.6.12, contiene una vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un comando ('inyección de comandos'). Un atacante con altos privilegios y acceso remoto podría potencialmente explotar esta vulnerabilidad, lo que llevaría a la ejecución de comandos.
  • Vulnerabilidad en historial médico en PHPGurukul Hospital Management System (CVE-2025-70063)
    Severidad: MEDIA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 26/02/2026
    El módulo 'Medical History' en PHPGurukul Hospital Management System v4.0 contiene una vulnerabilidad de Referencia Directa Insegura a Objeto (IDOR). La aplicación no verifica que el parámetro 'viewid' solicitado pertenezca al paciente actualmente autenticado. Esto permite a un usuario acceder a los registros médicos confidenciales de otros pacientes al iterar el entero 'viewid'.
  • Vulnerabilidad en plataforma de Comando y Despacho Integrado Visual Rongzhitong (CVE-2026-2667)
    Severidad: MEDIA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 26/02/2026
    Se ha encontrado una vulnerabilidad en la Plataforma de Comando y Despacho Integrado Visual Rongzhitong hasta el 20260206. El elemento afectado es una función desconocida del archivo /dispatch/API?cmd=userinfo. Su manipulación provoca que se realicen controles de acceso inadecuados. El ataque puede iniciarse en remoto. El exploit ha sido divulgado al público y puede ser utilizado. Se contactó pronto con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Plataforma de Comando y Despacho Integrado Visual Rongzhitong (CVE-2026-2668)
    Severidad: MEDIA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 26/02/2026
    Se encontró una vulnerabilidad en la Plataforma de Comando y Despacho Integrado Visual Rongzhitong hasta 20260206. Esto afecta una función desconocida del archivo /dm/dispatch/user/add del componente User Handler. Se se manipula se puede lograr realizar controles de acceso inadecuados. El ataque puede ser lanzado en remoto. El exploit ha sido hecho público y podría ser usado. Se contactó pronto con el proveedor sobre esta divulgación pero no respondió de ninguna manera.
  • Vulnerabilidad en WMV to AVI MPEG DVD WMV Convertor (CVE-2019-25362)
    Severidad: CRÍTICA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 26/02/2026
    WMV to AVI MPEG DVD WMV Convertor 4.6.1217 contiene una vulnerabilidad de desbordamiento de búfer que permite a los atacantes ejecutar código arbitrario sobrescribiendo los campos de nombre de licencia y código de licencia. Los atacantes pueden crear una carga útil maliciosa de 6000 bytes para activar un bind shell en el puerto 4444 explotando un desbordamiento de búfer basado en pila en el manejo de entrada de la aplicación.
  • Vulnerabilidad en WMV to AVI MPEG DVD WMV Convertor (CVE-2019-25363)
    Severidad: ALTA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 26/02/2026
    WMV to AVI MPEG DVD WMV Convertor 4.6.1217 contiene una vulnerabilidad de desbordamiento de búfer que permite a los atacantes bloquear la aplicación al proporcionar una entrada de licencia sobredimensionada. Los atacantes pueden generar una carga útil de 6000 bytes y pegarla en el campo 'License Name and License Code' para provocar un bloqueo de la aplicación.
  • Vulnerabilidad en plataforma de Comando y Despacho Integrado Visual Rongzhitong (CVE-2026-2669)
    Severidad: MEDIA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 26/02/2026
    Se encontró una vulnerabilidad en la Plataforma de Comando y Despacho Integrado Visual Rongzhitong hasta 20260206. Esto afecta una función desconocida del archivo /dm/dispatch/user/delete del componente User Handler. La manipulación del argumento ID provoca que no se realicen adecuadamente los controles de acceso. Es posible explotar el ataque en remoto. El exploit ha sido divulgado públicamente y puede ser utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Smanga (CVE-2025-70831)
    Severidad: CRÍTICA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 26/02/2026
    Se encontró una vulnerabilidad de ejecución remota de código (RCE) en Smanga 3.2.7 en la interfaz /php/path/rescan.php. La aplicación no sanea adecuadamente la entrada proporcionada por el usuario en el parámetro mediaId antes de usarla en un comando de shell del sistema. Esto permite a un atacante no autenticado inyectar comandos arbitrarios del sistema operativo, lo que lleva a la completa compromiso del servidor.
  • Vulnerabilidad en Smanga (CVE-2025-70833)
    Severidad: CRÍTICA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 26/02/2026
    Una vulnerabilidad de omisión de autenticación en Smanga 3.2.7 permite a un atacante no autenticado restablecer la contraseña de cualquier usuario (incluido el administrador) y tomar control total de la cuenta manipulando los parámetros POST. El problema se origina en una validación de permisos insegura en check-power.PHP.
  • Vulnerabilidad en Business Solutions Print Shop Pro WebDesk (CVE-2026-26725)
    Severidad: CRÍTICA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 26/02/2026
    Un problema en edu Business Solutions Print Shop Pro WebDesk v.18.34 permite a un atacante remoto escalar privilegios a través del parámetro AccessID.
  • Vulnerabilidad en yeqifu (CVE-2026-2852)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 26/02/2026
    Se identificó una vulnerabilidad en el almacén yeqifu hasta aaf29962ba407d22d991781de28796ee7b4670e4. Este problema afecta a la función addSales/updateSales/deleteSales del archivo dataset\repos\warehouse\src\main\java\com\yeqifu\bus\controller\SalesController.java del componente Sales Endpoint. La manipulación conduce a controles de acceso inadecuados. El ataque puede ser llevado a cabo de forma remota. El exploit está disponible públicamente y podría ser utilizado. Este producto adopta una estrategia de lanzamiento continuo para mantener la entrega continua. Por lo tanto, los detalles de la versión para las versiones afectadas o actualizadas no pueden ser especificados. Se informó al proyecto del problema con antelación a través de un informe de problema, pero aún no ha respondido.
  • Vulnerabilidad en aardappel lobster (CVE-2026-2887)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2026
    Fecha de última actualización: 26/02/2026
    Se ha detectado una vulnerabilidad de seguridad en aardappel lobster hasta 2025.4. Esta afecta a la función lobster::TypeName de la biblioteca dev/src/lobster/idents.h. Su manipulación conduce a recursión incontrolada. El ataque solo puede ser realizado desde un entorno local. El exploit ha sido divulgado públicamente y puede ser utilizado. La actualización de la versión 2026.1 soluciona este problema. El nombre del parche es 8ba49f98ccfc9734ef352146806433a41d9f9aa6. Es aconsejable actualizar el componente afectado.
  • Vulnerabilidad en Tosei Online Store Management System (CVE-2026-2944)
    Severidad: MEDIA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 26/02/2026
    Una falla de seguridad ha sido descubierta en Tosei Online Store Management System ??????????? 1.01. Se ve afectado el sistema de funciones del archivo /cgi-bin/monitor.php del componente Gestor de Solicitudes POST HTTP. La manipulación del argumento DevId da como resultado una inyección de comandos del sistema operativo. El ataque puede iniciarse remotamente. El exploit ha sido publicado y puede ser utilizado para ataques. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Web Wiz Forums (CVE-2019-25442)
    Severidad: ALTA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 26/02/2026
    Web Wiz Forums 12.01 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través del parámetro PF. Los atacantes pueden enviar solicitudes GET a member_profile.asp con valores PF maliciosos para extraer información sensible de la base de datos.
  • Vulnerabilidad en Web Ofisi E-Ticaret (CVE-2019-25455)
    Severidad: ALTA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 26/02/2026
    Web Ofisi E-Ticaret v3 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través del parámetro 'a'. Los atacantes pueden enviar solicitudes GET con valores maliciosos para el parámetro 'a' para extraer información sensible de la base de datos.
  • Vulnerabilidad en Web Ofisi Emlak (CVE-2019-25456)
    Severidad: ALTA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 26/02/2026
    Web Ofisi Emlak v2 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de la base de datos inyectando código SQL a través del parámetro GET 'ara'. Los atacantes pueden enviar solicitudes con cargas útiles de inyección SQL basadas en tiempo para extraer información sensible de la base de datos o causar denegación de servicio.
  • Vulnerabilidad en Web Ofisi Firma (CVE-2019-25457)
    Severidad: ALTA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 26/02/2026
    Web Ofisi Firma v13 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de base de datos inyectando código SQL a través del parámetro de array 'oz'. Los atacantes pueden enviar solicitudes GET a páginas de categoría con valores 'oz[]' maliciosos utilizando cargas útiles de inyección SQL ciega basada en tiempo para extraer información sensible de la base de datos.
  • Vulnerabilidad en Web Ofisi Firma Rehberi (CVE-2019-25458)
    Severidad: ALTA
    Fecha de publicación: 22/02/2026
    Fecha de última actualización: 26/02/2026
    Web Ofisi Firma Rehberi v1 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas de la base de datos inyectando código SQL a través de parámetros GET. Los atacantes pueden enviar solicitudes con cargas útiles maliciosas en los parámetros 'il', 'kat' o 'kelime' para extraer información sensible de la base de datos o realizar ataques de inyección SQL ciega basados en tiempo.