Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Inyección SQL en el firmware de Ciser System SL
  • Ejecución remota de código en el agente CSV de Langflow

Inyección SQL en el firmware de Ciser System SL

Fecha02/03/2026
Importancia5 - Crítica
Recursos Afectados

CSIP firmware en las versiones de la 3.0 hasta la 5.1.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta al firmware de Ciser System SL, empresa dedicada al sector de las telecomunicaciones. La vulnerabilidad ha sido descubierta por Ciser System SL.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-2584: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:L/SI:N/SA:N | CWE-89
Solución
1. Medidas inmediatas (soluciones provisionales)
  • Si no es posible actualizar inmediatamente el firmware, se deben implementar controles a nivel de red para reducir la superficie de ataque:
    • Restricción de acceso: Limite el acceso al panel de administración o de inicio de sesión mediante una lista de permitidos. Se deben bloquear estrictamente todos los intentos de conexión desde redes no confiables o desde la Internet pública.
    • Segmentación de la red: Aísle la interfaz de gestión dentro de una VLAN de gestión dedicada, accesible solo a través de una VPN corporativa segura.
2. Solución permanente (remediación)
  • El proveedor ha solucionado la vulnerabilidad mediante una lógica de validación de entradas mejorada y consultas parametrizadas.
  • Se recomienda actualizar a la versión 5.3 o superior del firmware. Esta versión mitiga el riesgo al garantizar que las consultas SQL se gestionen de forma segura, neutralizando eficazmente el vector de inyección.
Detalle
  • CVE-2026-2584: se ha identificado una vulnerabilidad crítica de inyección SQL (SQLi) en el módulo de autenticación del sistema. Un atacante remoto no autenticado (AV:N/PR:N) puede aprovechar esta falla enviando consultas SQL especialmente diseñadas a través de la interfaz de inicio de sesión. Debido a la baja complejidad del ataque (AC:L) y a la ausencia de requisitos específicos (AT:N), la vulnerabilidad permite comprometer totalmente los datos de configuración del sistema (VC:H/VI:H). Aunque la disponibilidad del servicio no se ve afectada (VA:N), la brecha puede dar lugar a una exposición limitada de información confidencial relativa a sistemas posteriores o interconectados (SC:L).

Ejecución remota de código en el agente CSV de Langflow

Fecha02/03/2026
Importancia5 - Crítica
Recursos Afectados

Langflow en la versión 1.8.0rc2 y todas las anteriores.

Descripción

amante de la web12, andifilhohub y Adán-Aghili han informado sobre 1 vulnerabilidad crítica que en caso de ser explotada, podría provocar la ejecución remota de código completa.

Solución

No hay ninguna actualización pendiente, por lo que se recomienda:

  • Establecer el parámetro 'allow_dangerous_code=False' de forma predeterminada o eliminarlo.
  • Exponer un interruptor de IU con Default: False.
Detalle

CVE-2026-27966: el nodo Agente CSV de Langflow codifica 'allow_dangerous_code=True', lo que expone la herramienta REPL de Python de LangChain ( python_repl_ast). Como resultado, un atacante podría ejecutar comandos arbitrarios de Python y del sistema operativo en el servidor mediante la inyección de prompt, tomar el control total del entorno del servidor, lo que provoca una ejecución remota de código (RCE) completa en el recurso afectado.

Para más información, consulte el enlace de las referencias.