Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Khoj (CVE-2025-69207)
    Severidad: MEDIA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 27/02/2026
    Khoj es una aplicación de inteligencia artificial autoalojable. Antes de la 2.0.0-beta.23, una IDOR en la devolución de llamada de OAuth de Notion permite a un atacante secuestrar la integración de Notion de cualquier usuario manipulando el parámetro state. El endpoint de devolución de llamada acepta cualquier UUID de usuario sin verificar que el flujo de OAuth fue iniciado por ese usuario, permitiendo a los atacantes reemplazar las configuraciones de Notion de las víctimas con las suyas propias, lo que resulta en envenenamiento de datos y acceso no autorizado al índice de búsqueda de Khoj de la víctima. Este ataque requiere conocer el UUID del usuario, que puede filtrarse a través de conversaciones compartidas donde una imagen generada por IA está presente. Esta vulnerabilidad está corregida en la 2.0.0-beta.23.
  • Vulnerabilidad en OpenTelemetry-Go (CVE-2026-24051)
    Severidad: ALTA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 27/02/2026
    OpenTelemetry-Go es la implementación de Go de OpenTelemetry. El SDK de Go de OpenTelemetry en la versión v1.20.0-1.39.0 es vulnerable a Secuestro de Ruta (Rutas de Búsqueda No Confiables) en sistemas macOS/Darwin. El código de detección de recursos en sdk/resource/host_id.go ejecuta el comando de sistema ioreg utilizando una ruta de búsqueda. Un atacante con la capacidad de modificar localmente la variable de entorno PATH puede lograr Ejecución de Código Arbitrario (ACE) dentro del contexto de la aplicación. Una corrección fue lanzada con la v1.40.0.
  • Vulnerabilidad en unstructured de Unstructured-IO (CVE-2025-64712)
    Severidad: CRÍTICA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 27/02/2026
    La librería 'unstructured' proporciona componentes de código abierto para la ingesta y el preprocesamiento de imágenes y documentos de texto, como PDF, HTML, documentos de Word y muchos más. Antes de la versión 0.18.18, una vulnerabilidad de salto de ruta en la función 'partition_msg' permite a un atacante escribir o sobrescribir archivos arbitrarios en el sistema de archivos al procesar archivos MSG maliciosos con archivos adjuntos. Este problema ha sido parcheado en la versión 0.18.18.
  • Vulnerabilidad en Compressing (CVE-2026-24884)
    Severidad: ALTA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 27/02/2026
    Compressing es una librería de compresión y descompresión para node. En las versiones 2.0.0 y 1.10.3 y anteriores, Compressing extrae archivos TAR mientras restaura enlaces simbólicos sin validar sus destinos. Al incrustar enlaces simbólicos que se resuelven fuera del directorio de extracción previsto, un atacante puede hacer que las entradas de archivos subsiguientes se escriban en ubicaciones arbitrarias en el sistema de archivos del host. Dependiendo de cómo el extractor maneje los archivos existentes, este comportamiento puede permitir sobrescribir archivos sensibles o crear nuevos archivos en ubicaciones críticas para la seguridad. Este problema ha sido parcheado en las versiones 1.10.4 y 2.0.1.
  • Vulnerabilidad en Bambuddy (CVE-2026-25505)
    Severidad: CRÍTICA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 27/02/2026
    Bambuddy es un sistema autoalojado de archivo y gestión de impresiones para impresoras 3D Bambu Lab. Antes de la versión 0.1.7, una clave secreta codificada utilizada para firmar JWTs está incluida en el código fuente y las rutas de ManyAPI no verifican la autenticación. Este problema ha sido parcheado en la versión 0.1.7.
  • Vulnerabilidad en cert-manager (CVE-2026-25518)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 27/02/2026
    cert-manager añade certificados y emisores de certificados como tipos de recursos en clústeres de Kubernetes, y simplifica el proceso de obtención, renovación y uso de esos certificados. En las versiones desde la 1.18.0 hasta antes de la 1.18.5 y desde la 1.19.0 hasta antes de la 1.19.3, el cert-manager-controller realiza búsquedas DNS durante el procesamiento ACME DNS-01 (para el descubrimiento de zonas y las autocomprobaciones de propagación). Por defecto, estas búsquedas utilizan DNS estándar sin cifrar. Un atacante que puede interceptar y modificar el tráfico DNS desde el pod del cert-manager-controller puede insertar una entrada manipulada en la caché DNS de cert-manager. Acceder a esta entrada provocará un pánico, lo que resultará en una denegación de servicio (DoS) del controlador de cert-manager. El problema también puede ser explotado si el servidor DNS autoritativo para el dominio que se está validando es controlado por un actor malicioso. Este problema ha sido parcheado en las versiones 1.18.5 y 1.19.3.
  • Vulnerabilidad en Bytes (CVE-2026-25541)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 27/02/2026
    Bytes es una librería de utilidad para trabajar con bytes. Desde la versión 1.2.1 hasta antes de la 1.11.1, Bytes es vulnerable a desbordamiento de entero en BytesMut::reserve. En la ruta de recuperación única de BytesMut::reserve, si la condición 'v_capacity >= new_cap + offset' utiliza una adición sin verificar. Cuando new_cap + offset desborda usize en compilaciones de lanzamiento, esta condición puede pasar incorrectamente, haciendo que self.cap se establezca en un valor que excede la capacidad asignada real. Las API posteriores, como spare_capacity_mut(), confían entonces en este valor de cap corrupto y pueden crear segmentos fuera de límites, lo que lleva a UB. Este comportamiento es observable en compilaciones de lanzamiento (el desbordamiento de entero se ajusta), mientras que las compilaciones de depuración entran en pánico debido a las comprobaciones de desbordamiento. Este problema ha sido parcheado en la versión 1.11.1.
  • Vulnerabilidad en kalyan02 (CVE-2026-1978)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 27/02/2026
    Una vulnerabilidad fue detectada en kalyan02 NanoCMS hasta 0.4. Afectada por este problema es alguna funcionalidad desconocida del archivo /data/pagesdata.txt del componente User Information Handler. Realizar una manipulación resulta en solicitud directa. Es posible iniciar el ataque remotamente. El exploit es ahora público y puede ser usado. Debería cambiar la configuración.
  • Vulnerabilidad en DouPHP (CVE-2026-2226)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 27/02/2026
    Una vulnerabilidad ha sido encontrada en DouPHP hasta 1.9. Este problema afecta a un procesamiento desconocido del archivo /admin/file.php del componente ZIP File Handler. Dicha manipulación del argumento sql_filename conduce a una carga sin restricciones. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en Craft (CVE-2026-27126)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 27/02/2026
    Craft es un sistema de gestión de contenido (CMS). En las versiones 4.5.0-RC1 a 4.16.18 y 5.0.0-RC1 a 5.8.22, existe una vulnerabilidad de cross-site scripting (XSS) almacenado en el componente 'editableTable.twig' al usar el tipo de columna 'html'. La aplicación no sanitiza la entrada, permitiendo a un atacante ejecutar JavaScript arbitrario cuando otro usuario ve una página con el campo de tabla malicioso. Para explotar la vulnerabilidad, un atacante debe tener una cuenta de administrador, y 'allowAdminChanges' debe estar habilitado en producción, lo cual va en contra de las recomendaciones de seguridad de Craft. Las versiones 4.16.19 y 5.8.23 parchean el problema.
  • Vulnerabilidad en Craft (CVE-2026-27128)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 27/02/2026
    Craft es un sistema de gestión de contenidos (CMS). En las versiones 4.5.0-RC1 a 4.16.18 y 5.0.0-RC1 a 5.8.22, existe una condición de carrera Time-of-Check-Time-of-Use (TOCTOU) en el servicio de validación de tokens de Craft CMS para tokens que establecen explícitamente un uso limitado. El método `getTokenRoute()` lee el recuento de uso de un token, verifica si está dentro de los límites y luego actualiza la base de datos en operaciones no atómicas separadas. Al enviar solicitudes concurrentes, un atacante puede usar un token de suplantación de un solo uso varias veces antes de que se complete la actualización de la base de datos. Para que esto funcione, un atacante necesita obtener una URL de suplantación de cuenta de usuario válida con un token no caducado por otros medios y explotar una condición de carrera mientras elude cualquier regla de limitación de velocidad existente. Para que esto sea una escalada de privilegios, la URL de suplantación debe incluir un token para una cuenta de usuario con más permisos que el usuario actual. Las versiones 4.16.19 y 5.8.23 aplican un parche al problema.
  • Vulnerabilidad en Hitachi Configuration Manager (CVE-2025-0976)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 27/02/2026
    Vulnerabilidad de Exposición de Información en Hitachi Ops Center API Configuration Manager, Hitachi Configuration Manager. Este problema afecta a Hitachi Ops Center API Configuration Manager: desde 10.0.0-00 antes de 11.0.4-00; Hitachi Configuration Manager: desde 8.6.1-00 antes de 11.0.5-00.
  • Vulnerabilidad en Coturn (CVE-2026-27624)
    Severidad: ALTA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 27/02/2026
    Coturn es una implementación de código abierto gratuita de servidor TURN y STUN. Coturn se configura comúnmente para bloquear rangos de loopback e internos usando 'denied-peer-ip' y/o restricciones de loopback predeterminadas. CVE-2020-26262 abordó evasiones que involucran '0.0.0.0', '[::1]' y '[::]', pero IPv6 mapeado a IPv4 no está cubierto. Al enviar una solicitud 'CreatePermission' o 'ChannelBind' con el valor 'XOR-PEER-ADDRESS' de '::ffff:127.0.0.1', se recibe una respuesta exitosa, aunque '127.0.0.0/8' está bloqueado a través de 'denied-peer-ip'. La causa raíz es que, antes de la corrección actualizada implementada en la versión 4.9.0, tres funciones en 'src/client/ns_turn_ioaddr.c' no verifican 'IN6_IS_ADDR_V4MAPPED'. 'ioa_addr_is_loopback()' verifica '127.x.x.x' (AF_INET) y '::1' (AF_INET6), pero no '::ffff:127.0.0.1'. 'ioa_addr_is_zero()' verifica '0.0.0.0' y '::', pero no '::ffff:0.0.0.0'. 'addr_less_eq()' utilizada por 'ioa_addr_in_range()' para la coincidencia de 'denied-peer-ip': cuando el rango es AF_INET y el par es AF_INET6, la comparación devuelve 0 sin extraer el IPv4 incrustado. La versión 4.9.0 contiene una corrección actualizada para abordar la evasión de la corrección para CVE-2020-26262.
  • Vulnerabilidad en FreeRDP (CVE-2026-26986)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 27/02/2026
    FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la versión 3.23.0, 'rail_window_free' desreferencia un puntero 'xfAppWindow' liberado durante la limpieza de 'HashTable_Free' porque 'xf_rail_window_common' llama a 'free(appWindow)' en caso de fallo en la asignación del título sin antes eliminar la entrada de la tabla hash 'railWindows', dejando un puntero colgante que se libera de nuevo al desconectarse. La versión 3.23.0 corrige la vulnerabilidad.
  • Vulnerabilidad en FreeRDP (CVE-2026-27950)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 27/02/2026
    FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la versión 3.23.0, la corrección para el uso después de liberación del montón descrita en CVE-2026-24680 está incompleta. Aunque el flujo de ejecución vulnerable referenciado en el aviso existe en la implementación de SDL2, la corrección parece haberse aplicado solo a la ruta de código de SDL3. En la implementación de SDL2, el puntero no se anula después de la liberación. Esto crea una situación donde el aviso sugiere que la vulnerabilidad está completamente resuelta, mientras que las compilaciones o entornos que aún usan SDL2 pueden retener la lógica vulnerable. Una corrección completa está disponible en la versión 3.23.0.
  • Vulnerabilidad en FreeRDP (CVE-2026-27951)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 27/02/2026
    FreeRDP es una implementación gratuita del Protocolo de Escritorio Remoto. Antes de la versión 3.23.0, la función 'Stream_EnsureCapacity' puede crear un bucle de bloqueo infinito. Esto puede afectar a todas las implementaciones de cliente y servidor que utilizan FreeRDP. Para una explotación práctica, esto solo funcionará en sistemas de 32 bits donde la memoria física disponible sea '>= SIZE_MAX'. La versión 3.23.0 contiene un parche. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Manyfold (CVE-2026-27635)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 27/02/2026
    Manyfold es una aplicación web de código abierto y autoalojada para gestionar una colección de modelos 3D, particularmente enfocada en la impresión 3D. Antes de la versión 0.133.0, cuando la generación de renderizados de modelos está habilitada, un usuario autenticado puede lograr RCE al subir un archivo ZIP que contiene un archivo con un metacaracter de shell en su nombre. El nombre del archivo llega a una llamada de backtick de Ruby sin sanear. La versión 0.133.0 corrige el problema.
  • Vulnerabilidad en NanaZip (CVE-2026-27709)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 27/02/2026
    NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y anteriores a las versiones 6.0.1638.0 y 6.5.1638.0, el analizador de 'Aplicación de Archivo Único .NET' de NanaZip tiene una vulnerabilidad de lectura fuera de límites en el análisis del manifiesto. Un paquete manipulado puede proporcionar una 'RelativePathLength' malformada de modo que el analizador construye un 'std::string' a partir de memoria más allá de 'HeaderBuffer', lo que lleva a un fallo y a una posible divulgación de memoria en proceso. Las versiones 6.0.1638.0 y 6.5.1638.0 solucionan el problema.
  • Vulnerabilidad en NanaZip (CVE-2026-27710)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 27/02/2026
    NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y anterior a las versiones 6.0.1638.0 y 6.5.1638.0, existe una vulnerabilidad de denegación de servicio en el analizador de 'aplicación de archivo único .NET' de NanaZip. Un paquete manipulado puede forzar un desbordamiento negativo de enteros en el cálculo del tamaño de la cabecera y desencadenar un intento de asignación de memoria ilimitada durante la apertura del archivo. Las versiones 6.0.1638.0 y 6.5.1638.0 corrigen el problema.
  • Vulnerabilidad en NanaZip (CVE-2026-27711)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 27/02/2026
    NanaZip es un archivador de archivos de código abierto. A partir de la versión 5.0.1252.0 y antes de las versiones 6.0.1638.0 y 6.5.1638.0, una vulnerabilidad de corrupción de memoria en el analizador UFS de NanaZip permite que un archivo '.ufs/.ufs2/.img' manipulado active un acceso a memoria fuera de límites durante la apertura/listado del archivo. El error es accesible a través del flujo normal de apertura de archivos por parte del usuario y puede causar el bloqueo del proceso, el cuelgue y una corrupción de pila potencialmente explotable. Las versiones 6.0.1638.0 y 6.5.1638.0 solucionan el problema.
  • Vulnerabilidad en Vitess (CVE-2026-27969)
    Severidad: CRÍTICA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 27/02/2026
    Vitess es un sistema de clustering de bases de datos para el escalado horizontal de MySQL. Antes de las versiones 23.0.3 y 22.0.4, cualquier persona con acceso de lectura/escritura a la ubicación de almacenamiento de copias de seguridad (por ejemplo, un bucket de S3) puede manipular los archivos de manifiesto de copia de seguridad para que los archivos en el manifiesto — que pueden ser archivos que también hayan añadido al manifiesto y al contenido de la copia de seguridad — se escriban en cualquier ubicación accesible al restaurar. Este es un problema de seguridad común de salto de ruta. Esto puede usarse para proporcionar a ese atacante acceso no intencionado/no autorizado al entorno de despliegue de producción — permitiéndoles acceder a la información disponible en ese entorno, así como ejecutar cualquier comando arbitrario adicional allí. Las versiones 23.0.3 y 22.0.4 contienen un parche. No se conocen soluciones alternativas disponibles.