Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en WooCommerce de Gravity Master Product Enquiry (CVE-2023-47512)
    Severidad: ALTA
    Fecha de publicación: 16/11/2023
    Fecha de última actualización: 27/02/2026
    Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento WooCommerce de Gravity Master Product Enquiry versiones <=3.0.
  • Vulnerabilidad en El complemento Product Enquiry for WooCommerce para WordPress (CVE-2023-7151)
    Severidad: MEDIA
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 27/02/2026
    El complemento Product Enquiry for WooCommerce para WordPress anterior a 3.2 no sanitiza ni escapa el parámetro page antes de devolverlo en un atributo, lo que genera cross site scripting reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
  • Vulnerabilidad en Live Composer Team Page Builder: Live Composer (CVE-2023-52193)
    Severidad: MEDIA
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 27/02/2026
    La vulnerabilidad de neutralización incorrecta de la entrada durante de generación de páginas web ('Cross-site Scripting') en Live Composer Team Page Builder: Live Composer permite XSS almacenado. Este problema afecta a Page Builder: Live Composer: desde n/a hasta 1.5.23.
  • Vulnerabilidad en Page Builder: Live Composer (CVE-2024-35779)
    Severidad: MEDIA
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 27/02/2026
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Live Composer Team Page Builder: Live Composer permite XSS Almacenado. Este problema afecta a Page Builder: Live Composer: desde n/a hasta 1.5.42.
  • Vulnerabilidad en Page Builder: Live Composer (CVE-2024-35768)
    Severidad: MEDIA
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 27/02/2026
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Live Composer Team Page Builder: Live Composer permite XSS Almacenado. Este problema afecta a Page Builder: Live Composer: desde n/a hasta 1.5.42.
  • Vulnerabilidad en Ali2Woo Lite (CVE-2024-37212)
    Severidad: ALTA
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 27/02/2026
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Ali2Woo Ali2Woo Lite. Este problema afecta a Ali2Woo Lite: desde n/a hasta 3.3.5.
  • Vulnerabilidad en Xerox (CVE-2024-55925)
    Severidad: ALTA
    Fecha de publicación: 23/01/2025
    Fecha de última actualización: 28/02/2026
    Omisión de seguridad de API mediante manipulación de encabezado
  • Vulnerabilidad en Xerox (CVE-2024-55926)
    Severidad: ALTA
    Fecha de publicación: 23/01/2025
    Fecha de última actualización: 28/02/2026
    Carga, eliminación y lectura arbitraria de archivos mediante manipulación del encabezado
  • Vulnerabilidad en Xerox (CVE-2024-55927)
    Severidad: ALTA
    Fecha de publicación: 23/01/2025
    Fecha de última actualización: 28/02/2026
    Implementación de generación de tokens defectuosa e implementación de clave codificada
  • Vulnerabilidad en Xerox (CVE-2024-55928)
    Severidad: MEDIA
    Fecha de publicación: 23/01/2025
    Fecha de última actualización: 28/02/2026
    Secretos texto plano devueltos y secretos sistema remotos en texto plano
  • Vulnerabilidad en mruby (CVE-2026-1979)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 28/02/2026
    Se ha encontrado una vulnerabilidad en mruby hasta la versión 3.4.0. Esto afecta a la función mrb_vm_exec del archivo src/vm.c del componente Optimización JMPNOT-a-JMPIF. La ejecución de una manipulación puede conducir a un uso después de liberar. El ataque debe lanzarse localmente. El exploit ha sido publicado y puede ser utilizado. Este parche se llama e50f15c1c6e131fa7934355eb02b8173b13df415. Es aconsejable implementar un parche para corregir este problema.
  • Vulnerabilidad en DeepAudit (CVE-2026-25729)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 28/02/2026
    DeepAudit es un sistema multiagente para el descubrimiento de vulnerabilidades de código. En 3.0.4 y anteriores, existe una vulnerabilidad de control de acceso inadecuado en el endpoint /api/v1/users/ que permite a cualquier usuario autenticado enumerar todos los usuarios del sistema y recuperar información sensible, incluyendo direcciones de correo electrónico, números de teléfono, nombres completos e información de rol.
  • Vulnerabilidad en Mapnik (CVE-2025-15564)
    Severidad: MEDIA
    Fecha de publicación: 07/02/2026
    Fecha de última actualización: 28/02/2026
    Una vulnerabilidad ha sido encontrada en Mapnik hasta 4.2.0. Esta vulnerabilidad afecta a la función mapnik::detail::mod<...>::operator del archivo src/value.cpp. La manipulación conduce a una división por cero. El ataque necesita ser realizado localmente. El exploit ha sido divulgado al público y puede ser utilizado. El proyecto fue informado del problema tempranamente a través de un informe de problema pero no ha respondido aún.
  • Vulnerabilidad en Fiber (CVE-2025-66630)
    Severidad: CRÍTICA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 28/02/2026
    Fiber es un framework web inspirado en Express escrito en Go. Antes de la versión 2.52.11, en versiones de Go anteriores a la 1.24, la implementación subyacente de crypto/rand puede devolver un error si no se puede obtener aleatoriedad segura. Dado que las funciones UUID de Fiber v2 no devuelven ningún error, el código de la aplicación puede depender sin saberlo de identificadores predecibles, repetidos o de baja entropía en rutas críticas para la seguridad. Esto es especialmente impactante porque muchos componentes de middleware de Fiber v2 (middleware de sesión, CSRF, limitación de velocidad, generación de ID de solicitud, etc.) utilizan por defecto utils.UUIDv4(). Esta vulnerabilidad se corrige en la versión 2.52.11.
  • Vulnerabilidad en Harden-Runner (CVE-2026-25598)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 28/02/2026
    Harden-Runner es un agente de seguridad de CI/CD que funciona como un EDR para los runners de GitHub Actions. Antes de 2.14.2, se ha identificado una vulnerabilidad de seguridad en la acción de GitHub Harden-Runner (Nivel Comunitario) que permite que las conexiones de red salientes evadan el registro de auditoría. Específicamente, el tráfico saliente que utiliza las llamadas al sistema de socket sendto, sendmsg y sendmmsg puede eludir la detección y el registro cuando se utiliza egress-policy: audit. Esta vulnerabilidad está corregida en 2.14.2.
  • Vulnerabilidad en Super-linter (CVE-2026-25761)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 28/02/2026
    Super-linter es una combinación de múltiples linters para ejecutar como una Acción de GitHub o de forma independiente. Desde la 6.0.0 hasta la 8.3.0, la Acción de GitHub Super-linter es vulnerable a inyección de comandos a través de nombres de archivo manipulados. Cuando esta acción se utiliza en flujos de trabajo de GitHub Actions posteriores, un atacante puede enviar una solicitud de extracción que introduce un archivo cuyo nombre contiene sintaxis de sustitución de comandos de shell, como $(...). En las versiones afectadas de Super-linter, los scripts en tiempo de ejecución pueden ejecutar el comando incrustado durante el procesamiento de descubrimiento de archivos, lo que permite la ejecución arbitraria de comandos en el contexto del ejecutor del flujo de trabajo. Esto puede usarse para divulgar el GITHUB_TOKEN del trabajo dependiendo de cómo el flujo de trabajo configure los permisos. Esta vulnerabilidad se corrige en la 8.3.1.
  • Vulnerabilidad en FroshPlatformAdminer (CVE-2026-25878)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 28/02/2026
    FroshAdminer es el plugin de Adminer para la plataforma Shopware. Antes de la versión 2.2.1, la ruta de Adminer (/admin/adminer) era accesible sin autenticación de administrador de Shopware. La ruta estaba configurada con auth_required=false y no realizaba ninguna validación de sesión, exponiendo la interfaz de usuario de Adminer a usuarios no autenticados. Esta vulnerabilidad se corrige en la versión 2.2.1.
  • Vulnerabilidad en Hollo DMs (CVE-2026-25808)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 28/02/2026
    Hollo es un software de microblogging de un solo usuario federado diseñado para ser federado a través de ActivityPub. Antes de 0.6.20 y 0.7.2, existe una vulnerabilidad de seguridad donde los mensajes directos (MD) y las publicaciones solo para seguidores fueron expuestos a través del endpoint de bandeja de salida de ActivityPub sin autorización. Esta vulnerabilidad está corregida en 0.6.20 y 0.7.2.
  • Vulnerabilidad en unity-cli (CVE-2026-25918)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 28/02/2026
    unity-cli es una utilidad de línea de comandos para el motor de juego Unity. Antes de 1.8.2, el comando sign-package en @rage-against-the-pixel/unity-cli registra credenciales sensibles en texto plano cuando se utiliza la bandera --verbose. Los argumentos de línea de comandos, incluyendo --email y --password, se emiten a través de JSON.stringify sin sanitización, exponiendo secretos al historial de la shell, a los registros de CI/CD y a los sistemas de agregación de registros. Esta vulnerabilidad está corregida en 1.8.2.
  • Vulnerabilidad en PowerDocu (CVE-2026-25925)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 28/02/2026
    PowerDocu contiene un ejecutable GUI de Windows para realizar documentaciones técnicas. Antes de la versión 2.4.0, PowerDocu contenía una vulnerabilidad de seguridad crítica en la forma en que analiza los archivos JSON dentro de paquetes de Flow o de aplicaciones. La aplicación confía ciegamente en la propiedad $type en los archivos JSON, permitiendo a un atacante instanciar objetos .NET arbitrarios y ejecutar código. Esta vulnerabilidad está corregida en la versión 2.4.0.
  • Vulnerabilidad en AXIS OS (CVE-2025-11142)
    Severidad: ALTA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 28/02/2026
    La API VAPIX mediaclip.cgi que no tenía una validación de entrada suficiente permitiendo una posible ejecución remota de código. Esta vulnerabilidad solo puede ser explotada después de autenticarse con una cuenta de servicio con privilegios de operador o administrador.
  • Vulnerabilidad en eNet SMART HOME server (CVE-2026-26368)
    Severidad: ALTA
    Fecha de publicación: 15/02/2026
    Fecha de última actualización: 28/02/2026
    eNet SMART HOME servidor 2.2.1 y 2.3.1 contiene una vulnerabilidad de autorización faltante en el método JSON-RPC resetUserPassword que permite a cualquier usuario autenticado con bajos privilegios (UG_USER) restablecer la contraseña de cuentas arbitrarias, incluidas las de los grupos UG_ADMIN y UG_SUPER_ADMIN, sin proporcionar la contraseña actual o tener privilegios suficientes. Al enviar una solicitud JSON-RPC manipulada a /jsonrpc/management, un atacante puede sobrescribir credenciales existentes, lo que resulta en una toma de control directa de la cuenta con acceso administrativo completo y escalada de privilegios persistente.
  • Vulnerabilidad en eNet SMART HOME server (CVE-2026-26369)
    Severidad: CRÍTICA
    Fecha de publicación: 15/02/2026
    Fecha de última actualización: 28/02/2026
    eNet SMART HOME servidor 2.2.1 y 2.3.1 contiene una vulnerabilidad de escalada de privilegios debido a comprobaciones de autorización insuficientes en el método JSON-RPC setUserGroup. Un usuario con pocos privilegios (UG_USER) puede enviar una solicitud POST manipulada a /jsonrpc/management especificando su propio nombre de usuario para elevar su cuenta al grupo UG_ADMIN, eludiendo los controles de acceso previstos y obteniendo capacidades administrativas como modificar configuraciones de dispositivos, ajustes de red y otras funciones del sistema de hogar inteligente.
  • Vulnerabilidad en DeepAudit de lintsinghua (CVE-2026-2532)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 28/02/2026
    Una vulnerabilidad fue detectada en lintsinghua DeepAudit hasta 3.0.3. Este problema afecta algún procesamiento desconocido del archivo backend/app/API/v1/endpoints/embedding_config.py del componente Manejador de Dirección IP. Realizar una manipulación resulta en falsificación de petición del lado del servidor. Es posible iniciar el ataque remotamente. Actualizar a la versión 3.0.4 y 3.1.0 es capaz de abordar este problema. El parche se llama da853fdd8cbe9d42053b45d83f25708ba29b8b27. Se sugiere actualizar el componente afectado.
  • Vulnerabilidad en Hewlett Packard Enterprise (HPE) (CVE-2026-23595)
    Severidad: ALTA
    Fecha de publicación: 17/02/2026
    Fecha de última actualización: 28/02/2026
    Una omisión de autenticación en la API de la aplicación permite la creación de una cuenta administrativa no autorizada. Un atacante remoto podría explotar esta vulnerabilidad para crear cuentas de usuario privilegiadas. La explotación exitosa podría permitir a un atacante obtener acceso administrativo, modificar configuraciones del sistema y acceder o manipular datos sensibles.
  • Vulnerabilidad en HPE Aruba Networking Private 5G Core (CVE-2026-23596)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2026
    Fecha de última actualización: 28/02/2026
    Una vulnerabilidad en la API de gestión del producto afectado podría permitir a un atacante remoto no autenticado desencadenar reinicios del servicio. La explotación exitosa podría permitir a un atacante interrumpir los servicios y afectar negativamente la disponibilidad del sistema.
  • Vulnerabilidad en API de servidor HPE Aruba Networking 5G Core (CVE-2026-23597)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2026
    Fecha de última actualización: 28/02/2026
    Vulnerabilidades en el manejo de errores de una API de servidor HPE Aruba Networking 5G Core podrían permitir a un atacante en remoto no autenticado obtener información sensible. si se explota éxito podría permitir a un atacante acceder a detalles como cuentas de usuario, roles y configuración del sistema, así como obtener información sobre servicios internos y flujos de trabajo, aumentando el riesgo de acceso no autorizado e incremento de privilegios cuando se combina con otras vulnerabilidades.
  • Vulnerabilidad en API del servidor HPE Aruba Networking 5G Core (CVE-2026-23598)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2026
    Fecha de última actualización: 28/02/2026
    Vulnerabilidades en el manejo de errores de una API del servidor HPE Aruba Networking 5G Core podrían permitir a un atacante en remoto no autenticado obtener información sensible. Si se explota con éxito podría permitir a un atacante acceder a detalles como cuentas de usuario, roles y configuración del sistema, así como obtener información sobre servicios internos y flujos de trabajo, aumentando el riesgo de acceso no autorizado e incremento de privilegios cuando se combina con otras vulnerabilidades.
  • Vulnerabilidad en Hyland Alfresco Transformation Service (CVE-2026-26338)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 28/02/2026
    Hyland Alfresco Transformation Service permite a atacantes no autenticados lograr falsificación de petición del lado del servidor (SSRF) a través de la funcionalidad de procesamiento de documentos.
  • Vulnerabilidad en Hyland Alfresco Transformation Service (CVE-2026-26339)
    Severidad: CRÍTICA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 28/02/2026
    Hyland Alfresco Transformation Service permite a atacantes no autenticados lograr ejecución remota de código a través de la vulnerabilidad de inyección de argumentos, que existe en la funcionalidad de procesamiento de documentos.
  • Vulnerabilidad en OpenText™ Web Site Management Server (CVE-2025-13671)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 27/02/2026
    Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en OpenText™ Web Site Management Server permite la falsificación de petición en sitios cruzados. La vulnerabilidad podría hacer que un usuario, con sesión activa dentro del producto, haga clic en una página que contiene este HTML malicioso, desencadenando la realización de cambios inconscientemente. Este problema afecta a Web Site Management Server: 16.7.0, 16.7.1.
  • Vulnerabilidad en openText™ Web Site Management Server (CVE-2025-13672)
    Severidad: ALTA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 27/02/2026
    Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web (XSS o 'cross-site scripting') vulnerabilidad en OpenText™ Web Site Management Server permite XSS Reflejado. La vulnerabilidad podría permitir la inyección de JavaScript malicioso dentro de los parámetros de la URL que luego se renderizaba con la vista previa de la página, de modo que los scripts maliciosos pudieran ejecutarse en el lado del cliente. Este problema afecta a Web Site Management Server: 16.7.0, 16.7.1.
  • Vulnerabilidad en xm fax (CVE-2025-8054)
    Severidad: ALTA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 27/02/2026
    La vulnerabilidad de Limitación Inadecuada de un Nombre de Ruta a un Directorio Restringido ('Salto de Ruta') en OpenText™ XM Fax permite el Salto de Ruta. La vulnerabilidad podría permitir a un atacante divulgar arbitrariamente el contenido de archivos en el sistema de archivos local. Este problema afecta a XM Fax: 24.2.
  • Vulnerabilidad en opentext xm fax (CVE-2025-8055)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 27/02/2026
    La vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en OpenText™ XM Fax permite la falsificación de petición del lado del servidor. La vulnerabilidad podría permitir a un atacante realizar SSRF ciego a otros sistemas accesibles desde el servidor XM Fax. Este problema afecta a XM Fax: 24.2.
  • Vulnerabilidad en OpenText™ Web Site Management Server (CVE-2025-9208)
    Severidad: ALTA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 27/02/2026
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'cross-site scripting') en OpenText™ Web Site Management Server permite XSS almacenado. La vulnerabilidad podría ejecutar scripts maliciosos en el lado del cliente cuando el parámetro de consulta de descarga se elimina de la URL del archivo, permitiendo a los atacantes comprometer las sesiones y los datos de los usuarios. Este problema afecta a Web Site Management Server: 16.7.X, 16.8, 16.8.1.
  • Vulnerabilidad en Tanium (CVE-2026-1292)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 27/02/2026
    Tanium abordó una vulnerabilidad de inserción de información sensible en archivo de registro en Trends.
  • Vulnerabilidad en Tanium (CVE-2026-2350)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 27/02/2026
    Tanium abordó una vulnerabilidad de inserción de información sensible en archivo de registro en Interact y TDS.
  • Vulnerabilidad en Cloud Workloads (CVE-2026-2408)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 27/02/2026
    Tanium abordó una vulnerabilidad de uso después de liberación en la extensión de cliente de Cloud Workloads Enforce.
  • Vulnerabilidad en Asset (CVE-2026-2435)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 27/02/2026
    Tanium abordó una vulnerabilidad de inyección SQL en Asset.
  • Vulnerabilidad en strimzi-kafka-operator (CVE-2026-27133)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 27/02/2026
    Strimzi proporciona una forma de ejecutar un clúster de Apache Kafka en Kubernetes u OpenShift en varias configuraciones de despliegue. Desde la versión 0.47.0 hasta antes de la 0.50.1, cuando se utiliza una cadena que consta de múltiples certificados de CA (Autoridad de Certificación) en la configuración de certificados de confianza de un operando de Kafka Connect o del clúster de destino en el operando de Kafka MirrorMaker 2, todos los certificados que forman parte de la cadena de CA serán confiados individualmente al conectarse al clúster de Apache Kafka. Debido a este error, el operando afectado (Kafka Connect o Kafka MirrorMaker 2) podría aceptar conexiones a brokers de Kafka utilizando certificados de servidor firmados por una de las otras CA en la cadena de CA y no solo por la última CA de la cadena. Este problema está solucionado en Strimzi 0.50.1.
  • Vulnerabilidad en Alinto SOGo (CVE-2026-3054)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 28/02/2026
    Se ha identificado una vulnerabilidad en Alinto SOGo 5.12.3/5.12.4. Esto afecta a una función desconocida. Manipular el argumento 'hint' puede provocar un cross-site scripting. El ataque puede ser iniciado en remoto. El exploit está disponible públicamente y podría ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en GitLab (CVE-2026-1388)
    Severidad: ALTA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 28/02/2026
    GitLab ha remediado un problema en GitLab CE/EE que afecta a todas las versiones desde la 9.2 anterior a la 18.7.5, la 18.8 anterior a la 18.8.5, y la 18.9 anterior a la 18.9.1 que podría haber permitido a un usuario no autenticado causar una denegación de servicio por expresión regular mediante el envío de una entrada especialmente diseñada a un endpoint de solicitud de fusión bajo ciertas condiciones.
  • Vulnerabilidad en GitLab (CVE-2026-1662)
    Severidad: ALTA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 28/02/2026
    GitLab ha remediado un problema en GitLab CE/EE que afecta a todas las versiones desde la 14.4 y anteriores a la 18.7.5, la 18.8 y anteriores a la 18.8.5, y la 18.9 y anteriores a la 18.9.1 que podría haber permitido a un usuario no autenticado causar denegación de servicio mediante el envío de solicitudes especialmente diseñadas al endpoint de eventos de Jira.
  • Vulnerabilidad en GitLab (CVE-2026-1725)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 28/02/2026
    GitLab ha remediado un problema en GitLab CE/EE que afectaba a las versiones desde la 18.9 antes de la 18.9.1 que, bajo ciertas condiciones, podría haber permitido a un usuario no autenticado causar una denegación de servicio enviando solicitudes especialmente diseñadas a un endpoint de la API de trabajos de CI.
  • Vulnerabilidad en GitLab (CVE-2026-1747)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 28/02/2026
    GitLab ha remediado un problema en GitLab EE que afectaba a todas las versiones desde la 17.11 anteriores a la 18.7.5, la 18.8 anteriores a la 18.8.5, y la 18.9 anteriores a la 18.9.1 que, bajo ciertas condiciones, podría haber permitido a usuarios con rol de Desarrollador con privilegios insuficientes realizar modificaciones no autorizadas a paquetes Conan protegidos.
  • Vulnerabilidad en GitLab CE/EE (CVE-2026-2845)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 28/02/2026
    Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 11.2 anterior a la 18.7.5, la 18.8 anterior a la 18.8.5 y la 18.9 anterior a la 18.9.1 que podría haber permitido a un usuario autenticado causar una denegación de servicio al explotar un endpoint de importación del servidor de Bitbucket mediante el envío repetido de respuestas grandes.
  • Vulnerabilidad en TinyWeb (CVE-2026-27630)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 28/02/2026
    TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Las versiones anteriores a la 2.02 son vulnerables a un ataque de denegación de servicio (DoS) conocido como Slowloris. El servidor genera un nuevo hilo del sistema operativo para cada conexión entrante sin imponer un límite máximo de concurrencia o un tiempo de espera de solicitud adecuado. Un atacante remoto no autenticado puede agotar los límites de concurrencia del servidor y la memoria abriendo numerosas conexiones y enviando datos excepcionalmente lento (por ejemplo, 1 byte cada pocos minutos). Cualquiera que aloje servicios usando TinyWeb se ve afectado. La versión 2.02 corrige el problema. El parche introduce un límite 'CMaxConnections' (establecido en 512) y un tiempo de espera de inactividad 'CConnectionTimeoutSecs' (establecido en 30 segundos). Como solución alternativa temporal si la actualización no es posible de inmediato, considere colocar el servidor detrás de un proxy inverso robusto o un cortafuegos de aplicaciones web (WAF) como nginx, HAProxy o Cloudflare, configurado para almacenar en búfer las solicitudes incompletas y aplicar agresivamente los límites y tiempos de espera de conexión.
  • Vulnerabilidad en TinyWeb (CVE-2026-27633)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 28/02/2026
    TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Las versiones anteriores a la versión 2.02 tienen una vulnerabilidad de denegación de servicio (DoS) a través del agotamiento de la memoria. Atacantes remotos no autenticados pueden enviar una solicitud POST HTTP al servidor con una cabecera 'Content-Length' excepcionalmente grande (p. ej., '2147483647'). El servidor asigna continuamente memoria para el cuerpo de la solicitud ('EntityBody') mientras transmite la carga útil sin imponer ningún límite máximo, lo que lleva a que toda la memoria disponible sea consumida y provoca la caída del servidor. Cualquiera que aloje servicios usando TinyWeb se ve afectado. La versión 2.02 corrige el problema. El parche introduce un límite 'CMaxEntityBodySize' (establecido en 10MB) para el tamaño máximo de las cargas útiles aceptadas. Como solución alternativa temporal si la actualización no es posible de inmediato, considere colocar el servidor detrás de un Cortafuegos de Aplicaciones Web (WAF) o un proxy inverso (como nginx o Cloudflare) configurado para limitar explícitamente el tamaño máximo permitido del cuerpo de la solicitud HTTP (p. ej., 'client_max_body_size' en nginx).
  • Vulnerabilidad en Mailpit (CVE-2026-27808)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 28/02/2026
    Mailpit es una herramienta de prueba de correo electrónico y API para desarrolladores. Antes de la versión 1.29.2, la API de verificación de enlaces (Link Check API) (/api/v1/message/{ID}/link-check) es vulnerable a la falsificación de petición del lado del servidor (SSRF). El servidor realiza peticiones HTTP HEAD a cada URL encontrada en un correo electrónico sin validar los hosts de destino ni filtrar las direcciones IP privadas/internas. La respuesta devuelve códigos de estado y texto de estado por enlace, lo que la convierte en una SSRF no ciega. En la configuración predeterminada (sin autenticación en SMTP o API), esto es totalmente explotable de forma remota con cero interacción del usuario. Esta es la misma clase de vulnerabilidad que se corrigió en la API de verificación de HTML (HTML Check API) (CVE-2026-23845 / GHSA-6jxm-fv7w-rw5j) y el proxy de captura de pantalla (CVE-2026-21859 / GHSA-8v65-47jx-7mfr), pero la ruta de código de verificación de enlaces (Link Check) no se incluyó en ninguna de las correcciones. La versión 1.29.2 corrige esta vulnerabilidad.
  • Vulnerabilidad en Langflow (CVE-2026-27966)
    Severidad: CRÍTICA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 28/02/2026
    Langflow es una herramienta para construir y desplegar agentes y flujos de trabajo impulsados por IA. Antes de la versión 1.8.0, el nodo CSV Agent en Langflow codifica de forma rígida 'allow_dangerous_code=True', lo que expone automáticamente la herramienta Python REPL de LangChain ('python_repl_ast'). Como resultado, un atacante puede ejecutar comandos arbitrarios de Python y del sistema operativo en el servidor a través de inyección de prompts, lo que lleva a una ejecución remota de código (RCE) completa. La versión 1.8.0 soluciona el problema.