Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Zscaler Client Connector (CVE-2024-23463)
    Severidad: ALTA
    Fecha de publicación: 30/04/2024
    Fecha de última actualización: 02/03/2026
    La protección antimanipulación del Zscaler Client Connector se puede omitir bajo ciertas condiciones al ejecutar la funcionalidad de la aplicación de reparación. Esto afecta a Zscaler Client Connector en Windows anteriores a 4.2.1
  • Vulnerabilidad en Zscaler Client Connector (CVE-2024-23457)
    Severidad: ALTA
    Fecha de publicación: 01/05/2024
    Fecha de última actualización: 02/03/2026
    La funcionalidad antimanipulación de Zscaler Client Connector se puede desactivar bajo ciertas condiciones cuando se aplica una contraseña de desinstalación. Esto afecta a Zscaler Client Connector en Windows anteriores a 4.2.0.209
  • Vulnerabilidad en Zscaler Client Connector (CVE-2023-41971)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 02/03/2026
    Una vulnerabilidad de resolución de enlace incorrecta antes del acceso al archivo ("siguiente enlace") en Zscaler Client Connector en Windows permite sobrescribir un archivo del sistema. Este problema afecta a Client Connector en Windows: versiones anteriores a 3.7.
  • Vulnerabilidad en SmartRobot?s Conversational AI Platform (CVE-2024-12652)
    Severidad: CRÍTICA
    Fecha de publicación: 26/12/2024
    Fecha de última actualización: 02/03/2026
    Una vulnerabilidad de control inadecuado de la generación de código ("inyección de código") en SmartRobot?s Conversational AI Platform anterior a v7.2.0 permite a usuarios remotos autenticados realizar comandos arbitrarios del sistema a través de código Groovy.
  • Vulnerabilidad en WatchGuard Fireware OS (CVE-2025-0178)
    Severidad: MEDIA
    Fecha de publicación: 14/02/2025
    Fecha de última actualización: 02/03/2026
    La vulnerabilidad de validación de entrada incorrecta en WatchGuard Fireware OS permite a un atacante manipular el valor del encabezado de host HTTP en las solicitudes enviadas a la interfaz web. Un atacante podría aprovechar esta vulnerabilidad para redirigir a los usuarios a sitios web maliciosos, envenenar la memoria caché web o inyectar JavaScript malicioso en las respuestas enviadas por la interfaz web. Este problema afecta al sistema operativo Fireware: desde la versión 12.0 hasta la 12.11 inclusive.
  • Vulnerabilidad en WatchGuard Fireware OS (CVE-2025-1071)
    Severidad: MEDIA
    Fecha de publicación: 14/02/2025
    Fecha de última actualización: 02/03/2026
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o "Cross-site Scripting") en WatchGuard Fireware OS permite XSS almacenado a través del módulo spamBlocker. Esta vulnerabilidad requiere una sesión de administrador autenticada en un Firebox administrado localmente. Este problema afecta a los sistemas operativos Fireware: desde la versión 12.0 hasta la 12.5.12+701324, desde la versión 12.6 hasta la 12.11.
  • Vulnerabilidad en SmartRobot de INTUMIT (CVE-2025-3572)
    Severidad: ALTA
    Fecha de publicación: 14/04/2025
    Fecha de última actualización: 02/03/2026
    SmartRobot de INTUMIT tiene una vulnerabilidad de Server-Side Request Forgery, que permite a atacantes remotos no autenticados sondear la red interna e incluso acceder a archivos locales arbitrarios en el servidor.
  • Vulnerabilidad en Umbraco.Forms.Issues de umbraco (CVE-2026-24687)
    Severidad: MEDIA
    Fecha de publicación: 29/01/2026
    Fecha de última actualización: 02/03/2026
    Umbraco Forms es un constructor de formularios que se integra con el sistema de gestión de contenidos Umbraco. Es posible que un usuario autenticado del backoffice enumere y recorra rutas/archivos en el sistema de archivos del sistema y lea su contenido, en instalaciones de Umbraco con Forms en Mac/Linux. Dado que Umbraco Cloud se ejecuta en un entorno Windows, los usuarios de Cloud no se ven afectados. Este problema afecta a las versiones 16 y 17 de Umbraco Forms y está parcheado en las versiones 16.4.1 y 17.1.1. Si la actualización no es posible de inmediato, los usuarios pueden mitigar esta vulnerabilidad configurando un WAF o un proxy inverso para bloquear las solicitudes que contengan secuencias de salto de ruta ('../', '..\') en el parámetro 'fileName' del endpoint de exportación, restringiendo el acceso a la red del backoffice de Umbraco a rangos de IP de confianza, y/o bloqueando completamente el endpoint '/umbraco/forms/API/v1/export' si la función de exportación no es necesaria. Sin embargo, la actualización a la versión parcheada es muy recomendable.
  • Vulnerabilidad en Vnet/IP Interface Package (CVE-2025-1924)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2026
    Fecha de última actualización: 02/03/2026
    Se ha encontrado una vulnerabilidad en el paquete de interfaz Vnet/IP proporcionado por Yokogawa Electric Corporation. Si el producto afectado recibe paquetes maliciosos, un ataque DoS puede provocar que las funciones de comunicación Vnet/IP se detengan o que se ejecuten programas arbitrarios. Los productos y versiones afectados son los siguientes: Paquete de interfaz Vnet/IP (para CENTUM VP R6 VP6C3300, CENTUM VP R7 VP7C3300) R1.07.00 o anterior
  • Vulnerabilidad en Vnet/IP Interface Package (CVE-2025-48019)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2026
    Fecha de última actualización: 02/03/2026
    Se ha encontrado una vulnerabilidad en el paquete de interfaz Vnet/IP proporcionado por Yokogawa Electric Corporation. Si el producto afectado recibe paquetes manipulados maliciosamente, el proceso de la pila de software Vnet/IP puede ser terminado. Los productos y versiones afectados son los siguientes: Paquete de interfaz Vnet/IP (para CENTUM VP R6 VP6C3300, CENTUM VP R7 VP7C3300) R1.07.00 o anterior
  • Vulnerabilidad en Vnet/IP Interface Package (CVE-2025-48020)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2026
    Fecha de última actualización: 02/03/2026
    Se ha encontrado una vulnerabilidad en el paquete de interfaz Vnet/IP proporcionado por Yokogawa Electric Corporation. Si el producto afectado recibe paquetes manipulados maliciosamente, el proceso de la pila de software Vnet/IP puede ser terminado. Los productos y versiones afectados son los siguientes: Paquete de interfaz Vnet/IP (para CENTUM VP R6 VP6C3300, CENTUM VP R7 VP7C3300) R1.07.00 o anterior
  • Vulnerabilidad en Vnet/IP Interface Package (CVE-2025-48021)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2026
    Fecha de última actualización: 02/03/2026
    Se ha encontrado una vulnerabilidad en el paquete de interfaz Vnet/IP proporcionado por Yokogawa Electric Corporation. Si el producto afectado recibe paquetes creados maliciosamente, el proceso de la pila de software Vnet/IP puede ser terminado. Los productos y versiones afectados son los siguientes: Paquete de interfaz Vnet/IP (para CENTUM VP R6 VP6C3300, CENTUM VP R7 VP7C3300) R1.07.00 o anterior
  • Vulnerabilidad en Vnet/IP Interface Package (CVE-2025-48022)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2026
    Fecha de última actualización: 02/03/2026
    Se ha encontrado una vulnerabilidad en el paquete de interfaz Vnet/IP proporcionado por Yokogawa Electric Corporation. Si el producto afectado recibe paquetes manipulados maliciosamente, el proceso de la pila de software Vnet/IP podría terminarse. Los productos y versiones afectados son los siguientes: Paquete de interfaz Vnet/IP (para CENTUM VP R6 VP6C3300, CENTUM VP R7 VP7C3300) R1.07.00 o anterior
  • Vulnerabilidad en Vnet/IP Interface Package (CVE-2025-48023)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2026
    Fecha de última actualización: 02/03/2026
    Se ha encontrado una vulnerabilidad en el paquete de interfaz Vnet/IP proporcionado por Yokogawa Electric Corporation. Si el producto afectado recibe paquetes creados maliciosamente, el proceso de la pila de software Vnet/IP puede ser terminado. Los productos y versiones afectados son los siguientes: Paquete de interfaz Vnet/IP (para CENTUM VP R6 VP6C3300, CENTUM VP R7 VP7C3300) R1.07.00 o anterior
  • Vulnerabilidad en openITCOCKPIT (CVE-2026-24892)
    Severidad: ALTA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 02/03/2026
    openITCOCKPIT es una herramienta de monitoreo de código abierto construida para diferentes motores de monitoreo como Nagios, Naemon y Prometheus. openITCOCKPIT Community Edition 5.3.1 y anteriores contiene un patrón de deserialización PHP inseguro en el procesamiento de entradas de registro de cambios. Datos de registro de cambios serializados derivados del estado de la aplicación influenciado por el atacante se deserializan sin restringir las clases permitidas. Aunque no se encontró ningún punto final de aplicación actual que introdujera objetos PHP en esta ruta de datos, la presencia de una llamada unserialize() sin restricciones constituye una vulnerabilidad de inyección de objetos PHP latente. Si futuros cambios de código, complementos o refactorizaciones introducen valores de objeto en esta ruta, la vulnerabilidad podría volverse inmediatamente explotable con impacto severo, incluyendo potencial ejecución remota de código.
  • Vulnerabilidad en fast-xml-parser (CVE-2026-25896)
    Severidad: CRÍTICA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 02/03/2026
    fast-xml-parser permite a los usuarios validar XML, analizar XML a objeto JS, o construir XML desde objeto JS sin librerías basadas en C/C++ y sin callback. Desde la versión 4.1.3 hasta antes de la 5.3.5, un punto (.) en un nombre de entidad DOCTYPE es tratado como un comodín de expresión regular durante el reemplazo de entidades, permitiendo a un atacante sombrear entidades XML incorporadas (<, >, &, ", ') con valores arbitrarios. Esto omite la codificación de entidades y conduce a XSS cuando la salida analizada es renderizada. Esta vulnerabilidad se corrige en la versión 5.3.5.
  • Vulnerabilidad en Pannellum (CVE-2026-27210)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2026
    Fecha de última actualización: 02/03/2026
    Pannellum es un visor de panoramas ligero, gratuito y de código abierto para la web. En las versiones 3.5.0 a 2.5.6, la propiedad de configuración de atributos de punto de acceso permitía establecer cualquier atributo, incluyendo atributos de gestor de eventos HTML, lo que permitía posibles ataques XSS. Esto afecta a los sitios web que alojan el archivo HTML del visor independiente y a cualquier otro uso de archivos de configuración JSON no confiables (eludiendo las protecciones del parámetro escapeHTML). Como ciertos eventos se disparan sin ninguna interacción adicional del usuario, visitar una URL de visor independiente que apunte a un archivo de configuración malicioso — sin interacción adicional del usuario — es suficiente para activar la vulnerabilidad y ejecutar código JavaScript arbitrario, que puede, por ejemplo, reemplazar el contenido de la página con contenido arbitrario y hacer que parezca alojado por el sitio web que aloja el archivo HTML del visor independiente. Este problema ha sido solucionado en la versión 2.5.7. Como solución alternativa, establecer el encabezado Content-Security-Policy a 'script-src-attr 'none'' bloqueará la ejecución de gestores de eventos en línea, mitigando esta vulnerabilidad. No aloje pannellum.htm en un dominio que comparta cookies con la autenticación de usuario para mitigar el riesgo de XSS.
  • Vulnerabilidad en Metabase (CVE-2026-27464)
    Severidad: ALTA
    Fecha de publicación: 21/02/2026
    Fecha de última actualización: 02/03/2026
    Metabase es una plataforma de análisis de datos de código abierto. En versiones anteriores a la 0.57.13 y versiones 0.58.x hasta la 0.58.6, los usuarios autenticados pueden recuperar información sensible de una instancia de Metabase, incluyendo credenciales de acceso a la base de datos. Durante las pruebas, se confirmó que un usuario con pocos privilegios puede extraer información sensible, incluyendo credenciales de la base de datos, en el cuerpo del correo electrónico a través de la evaluación de plantillas. Este problema ha sido solucionado en las versiones 0.57.13 y 0.58.7. Como solución alternativa a este problema, los usuarios pueden deshabilitar las notificaciones en su instancia de Metabase para denegar el acceso a los puntos finales vulnerables.
  • Vulnerabilidad en Fleet (CVE-2026-26186)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Fleet es un software de gestión de dispositivos de código abierto. Una vulnerabilidad de inyección SQL en versiones anteriores a la 4.80.1 permitía a usuarios autenticados inyectar expresiones SQL arbitrarias a través del parámetro de consulta `order_key`. Debido al uso inseguro de `goqu.I()` al construir la cláusula `ORDER BY`, una entrada especialmente diseñada podría evadir el entrecomillado de identificadores y ser interpretada como SQL ejecutable. Un atacante autenticado con acceso al endpoint afectado podría inyectar expresiones SQL en la consulta MySQL subyacente. Aunque la inyección ocurre en un contexto `ORDER BY`, es suficiente para habilitar técnicas de inyección SQL ciega que pueden divulgar información de la base de datos a través de expresiones condicionales que afectan el orden de los resultados. Las expresiones diseñadas también pueden causar una computación excesiva o fallos en las consultas, lo que podría llevar a un rendimiento degradado o a una denegación de servicio. No se demostró evidencia directa de modificación de datos fiable o ejecución de consultas apiladas. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los usuarios deben restringir el acceso al endpoint afectado solo a roles de confianza y asegurarse de que cualquier parámetro de ordenación o columna proporcionado por el usuario esté estrictamente en una lista blanca en la capa de aplicación o proxy.
  • Vulnerabilidad en psd-tools (CVE-2026-27809)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    psd-tools es un paquete de Python para trabajar con archivos PSD de Adobe Photoshop. Antes de la versión 1.12.2, cuando un archivo PSD contiene datos de imagen comprimidos RLE malformados (por ejemplo, una secuencia literal que se extiende más allá del tamaño de fila esperado), decode_rle() lanza un ValueError que se propagaba hasta el usuario, provocando el fallo de psd.composite() y psd-tools export. decompress() ya tenía una alternativa que reemplaza los canales fallidos con píxeles negros cuando el resultado es None, pero nunca se activaba porque el ValueError de decode_rle() no era capturado. La corrección en la versión 1.12.2 envuelve la llamada a decode_rle() en un bloque try/except para que la alternativa existente maneje el error de forma elegante.
  • Vulnerabilidad en Packistry (CVE-2026-27968)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Packistry es un repositorio Composer autoalojado diseñado para gestionar la distribución de paquetes PHP. Antes de la versión 0.13.0, RepositoryAwareController::authorize() verificaba la presencia y la capacidad del token, pero no aplicaba la caducidad del mismo. Como resultado, un token de despliegue caducado con la capacidad correcta aún podía acceder a los puntos finales del repositorio (p. ej., las API de metadatos/descarga de Composer). La corrección en la versión 0.13.0 añade una verificación de caducidad explícita, y las pruebas ahora verifican los tokens de despliegue caducados para asegurar que sean rechazados.
  • Vulnerabilidad en Fleet (CVE-2026-23999)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Fleet es un software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, Fleet generaba PINs de bloqueo y borrado de dispositivos utilizando un algoritmo predecible basado únicamente en la marca de tiempo Unix actual. Debido a que no se utilizaba ninguna clave secreta o entropía adicional, el PIN resultante podría derivarse potencialmente si se conoce la hora aproximada en que se bloqueó el dispositivo. Los comandos de bloqueo y borrado de dispositivos de Fleet generan un PIN de 6 dígitos que se muestra a los administradores para desbloquear un dispositivo. En las versiones afectadas, este PIN se derivaba de forma determinista de la marca de tiempo actual. Un atacante con posesión física de un dispositivo bloqueado y conocimiento de la hora aproximada en que se emitió el comando de bloqueo podría, teóricamente, predecir el PIN correcto dentro de una ventana de búsqueda limitada. Sin embargo, la explotación exitosa está limitada por múltiples factores: Se requiere acceso físico al dispositivo, se debe conocer la hora aproximada de bloqueo, el sistema operativo impone límites de velocidad en los intentos de entrada del PIN, los intentos tendrían que distribuirse, y las operaciones de borrado del dispositivo normalmente se completarían antes de que se pudieran realizar suficientes intentos. Como resultado, este problema no permite la explotación remota, el compromiso de toda la flota o la elusión de los controles de autenticación de Fleet. La versión 4.80.1 contiene un parche. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Fleet (CVE-2026-24004)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Fleet es un software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, una vulnerabilidad en el manejo de Pub/Sub de MDM de Android de Fleet podría permitir que solicitudes no autenticadas desencadenen eventos de desinscripción de dispositivos. Esto puede resultar en la eliminación no autorizada de dispositivos Android individuales de la gestión de Fleet. Si el MDM de Android está habilitado, un atacante podría enviar una solicitud manipulada al endpoint de Pub/Sub de Android para desinscribir un dispositivo Android objetivo de Fleet sin autenticación. Este problema no otorga acceso a Fleet, no permite la ejecución de comandos ni proporciona visibilidad de los datos del dispositivo. El impacto se limita a la interrupción de la gestión de dispositivos Android para el dispositivo afectado. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los usuarios afectados de Fleet deberían deshabilitar temporalmente el MDM de Android.
  • Vulnerabilidad en Fleet (CVE-2026-27465)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Fleet es software de gestión de dispositivos de código abierto. En versiones anteriores a la 4.80.1, una vulnerabilidad en la API de configuración de Fleet podría exponer las credenciales de la cuenta de servicio de Google Calendar a usuarios autenticados con roles de bajo privilegio. Esto podría permitir el acceso no autorizado a los recursos de Google Calendar asociados con la cuenta de servicio. Fleet devuelve datos de configuración a través de un endpoint de API que es accesible para usuarios autenticados, incluidos aquellos con el rol de menor privilegio 'Observer'. En las versiones afectadas, las credenciales de la cuenta de servicio de Google Calendar no se ofuscaron correctamente antes de ser devueltas. Como resultado, un usuario de bajo privilegio podría recuperar el material de la clave privada de la cuenta de servicio. Dependiendo de cómo esté configurada la integración de Google Calendar, esto podría permitir el acceso no autorizado a datos del calendario u otros recursos de Google Workspace asociados con la cuenta de servicio. Este problema no permite la escalada de privilegios dentro de Fleet ni el acceso a la funcionalidad de gestión de dispositivos. La versión 4.80.1 corrige el problema. Si una actualización inmediata no es posible, los administradores deben eliminar la integración de Google Calendar de Fleet y rotar las credenciales de la cuenta de servicio de Google afectadas.
  • Vulnerabilidad en Ajenti (CVE-2026-27975)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Ajenti es un panel de administración de servidor modular para Linux y BSD. Antes de la versión 2.2.13, un usuario no autenticado podría obtener acceso a un servidor para ejecutar código arbitrario en este servidor. Esto está corregido en la versión 2.2.13.
  • Vulnerabilidad en A3factura (CVE-2026-2677)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Cross-Site Scripting Reflejado (XSS) en la plataforma web A3factura, en el parámetro 'name', en el endpoint 'a3factura-app.wolterskluwer.es/#/incomes/representatives-management', lo que podría permitir a un atacante ejecutar código arbitrario en el navegador de la víctima.
  • Vulnerabilidad en A3factura (CVE-2026-2678)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Cross-Site Scripting Reflejado (XSS) en la plataforma web A3factura, en el parámetro 'name', parámetro 'name', en el endpoint 'a3factura-app.wolterskluwer.es/#/incomes/customers', lo que podría permitir a un atacante ejecutar código arbitrario en el navegador de la víctima.
  • Vulnerabilidad en A3factura (CVE-2026-2679)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Cross-Site Scripting Reflejado (XSS) en la plataforma web A3factura, en el parámetro 'customerName', en el endpoint 'a3factura-app.wolterskluwer.es/#/incomes/salesInvoices', lo que podría permitir a un atacante ejecutar código arbitrario en el navegador de la víctima.
  • Vulnerabilidad en A3factura (CVE-2026-2680)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Cross-Site Scripting (XSS) Reflejado en la plataforma web A3factura, en el parámetro 'customerVATNumber', en el endpoint 'a3factura-app.wolterskluwer.es/#/incomes/salesDeliveryNotes', lo que podría permitir a un atacante ejecutar código arbitrario en el navegador de la víctima.
  • Vulnerabilidad en Discourse (CVE-2026-27149)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, una inyección SQL en el filtrado de etiquetas de mensajes privados ('list_private_messages_tag') permite eludir las condiciones del filtro de etiquetas, lo que podría revelar metadatos de mensajes privados no autorizados. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Discourse (CVE-2026-27150)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, la falta de autorización 'validate_before_create' en 'QueryGroupBookmarkable' de Data Explorer permite a cualquier usuario autenticado crear marcadores para grupos de consultas a los que no tienen acceso, lo que permite la divulgación de metadatos a través de notificaciones de recordatorio de marcadores. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 solucionan este problema y también aseguran que 'validate_before_create' arroje un NotImplementedError en BaseBookmarkable si no se implementa, para prevenir problemas similares en el futuro. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Discourse (CVE-2026-27151)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, la acción `move_posts` solo verificaba `can_move_posts?` en el tema de origen, pero nunca validaba los permisos de escritura en el tema de destino. Esto permitía a los usuarios TL4 y a los moderadores de grupos de categorías mover publicaciones a temas en categorías donde carecen de privilegios de publicación (por ejemplo, categorías de solo lectura o categorías con acceso de escritura restringido por grupo). Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Discourse (CVE-2026-27152)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, se producía una omisión de las preferencias de comunicación de MD al añadir miembros a través de `Chat::AddUsersToChannel` — un usuario podía añadir objetivos que los habían bloqueado/ignorado/silenciado a un canal de MD existente, omitiendo las restricciones de MP por destinatario que se aplican durante la creación del canal de MD. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Discourse (CVE-2026-27162)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, `posts_nearby` verificaba el acceso al tema pero luego devolvía todas las publicaciones independientemente del tipo, incluyendo whispers que solo deberían ser visibles para whisperers. Use `Post.secured(guardian)` para filtrar correctamente los tipos de publicaciones según los permisos del usuario. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en SPIP (CVE-2026-22205)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Las versiones de SPIP anteriores a la 4.4.10 contienen una vulnerabilidad de omisión de autenticación causada por la manipulación de tipos de PHP que permite a atacantes no autenticados acceder a información protegida. Los atacantes pueden explotar comparaciones de tipos laxas en la lógica de autenticación para omitir la verificación de inicio de sesión y recuperar datos internos sensibles.
  • Vulnerabilidad en Discourse (CVE-2026-27153)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, los moderadores podían exportar DMs de chat de usuario a través del endpoint de exportación CSV explotando una lista de permitidos excesivamente permisiva en 'can_export_entity?'. El método permitía a los moderadores exportar cualquier entidad no bloqueada explícitamente en lugar de restringir a una lista de permitidos explícita. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Discourse (CVE-2026-27154)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, el nombre completo de un usuario puede ser evaluado como HTML sin procesar cuando las siguientes configuraciones están establecidas: 'display_name_on_posts' => true; y 'prioritize_username_in_ux' => false. Editar una publicación de un usuario malicioso activaría un XSS. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No hay soluciones alternativas conocidas disponibles.
  • Vulnerabilidad en Discourse (CVE-2026-28218)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, el control de acceso fail-open en el plugin Data Explorer permite a cualquier usuario autenticado ejecutar consultas SQL que no tienen asignaciones de grupo explícitas, incluyendo consultas de sistema integradas. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 aplican un parche para el problema. Como solución alternativa, o bien establecer explícitamente permisos de grupo en cada consulta de Data Explorer que no tiene permisos, o deshabilitar el plugin discourse-data-explorer.
  • Vulnerabilidad en Discourse (CVE-2026-28219)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, una verificación de autorización incorrecta en la lógica de gestión de temas permite a los usuarios autenticados modificar atributos privilegiados de sus temas. Al manipular parámetros específicos en una solicitud PUT o POST, un usuario regular puede elevar el estado de un tema a un aviso o banner de todo el sitio, eludiendo las restricciones administrativas previstas. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 aplican un parche al problema. No existen soluciones alternativas prácticas para prevenir este comportamiento aparte de aplicar el parche de seguridad. Los administradores preocupados por las promociones no autorizadas deberían auditar los cambios recientes en los banners del sitio y los avisos globales hasta que se implemente la corrección.
  • Vulnerabilidad en Discourse (CVE-2026-28227)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, los usuarios TL4 pueden publicar temas en categorías solo para el personal a través del temporizador de temas 'publish_to_category', omitiendo las comprobaciones de autorización. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Charging station (CVE-2026-20733)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Los identificadores de autenticación de las estaciones de carga son públicamente accesibles a través de plataformas de mapeo web.
  • Vulnerabilidad en WebSocket (CVE-2026-20781)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Los puntos finales WebSocket carecen de mecanismos de autenticación adecuados, lo que permite a los atacantes realizar suplantación de estación no autorizada y manipular datos enviados al backend. Un atacante no autenticado puede conectarse al punto final WebSocket OCPP utilizando un identificador de estación de carga conocido o descubierto, luego emitir o recibir comandos OCPP como un cargador legítimo. Dado que no se requiere autenticación, esto puede llevar a la escalada de privilegios, control no autorizado de la infraestructura de carga y corrupción de los datos de la red de carga reportados al backend.
  • Vulnerabilidad en Charging station (CVE-2026-20791)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Los identificadores de autenticación de las estaciones de carga son de acceso público a través de plataformas de mapeo basadas en la web.
  • Vulnerabilidad en WebSocket Application Programming Interface (CVE-2026-20792)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    La Interfaz de Programación de Aplicaciones WebSocket carece de restricciones sobre el número de solicitudes de autenticación. Esta ausencia de limitación de velocidad puede permitir a un atacante llevar a cabo ataques de denegación de servicio al suprimir o redirigir erróneamente la telemetría legítima del cargador, o realizar ataques de fuerza bruta para obtener acceso no autorizado.
  • Vulnerabilidad en WebSocket (CVE-2026-20895)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    El backend de WebSocket utiliza identificadores de estaciones de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación da lugar a identificadores de sesión predecibles y permite el secuestro o shadowing de sesión, donde la conexión más reciente desplaza a la estación de carga legítima y recibe comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir a un actor malicioso causar una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas.
  • Vulnerabilidad en Charging station (CVE-2026-22890)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Los identificadores de autenticación de las estaciones de carga son accesibles públicamente a través de plataformas de mapeo basadas en la web.
  • Vulnerabilidad en WebSocket (CVE-2026-24731)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Los puntos finales WebSocket carecen de mecanismos de autenticación adecuados, lo que permite a los atacantes realizar suplantación de estación no autorizada y manipular los datos enviados al backend. Un atacante no autenticado puede conectarse al punto final WebSocket de OCPP utilizando un identificador de estación de carga conocido o descubierto, y luego emitir o recibir comandos OCPP como un cargador legítimo. Dado que no se requiere autenticación, esto puede conducir a escalada de privilegios, control no autorizado de la infraestructura de carga y corrupción de los datos de la red de carga reportados al backend.
  • Vulnerabilidad en WebSocket Application Programming Interface (CVE-2026-25113)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    La Interfaz de Programación de Aplicaciones WebSocket carece de restricciones sobre el número de solicitudes de autenticación. Esta ausencia de limitación de velocidad puede permitir a un atacante realizar ataques de denegación de servicio al suprimir o redirigir incorrectamente la telemetría legítima del cargador, o realizar ataques de fuerza bruta para obtener acceso no autorizado.
  • Vulnerabilidad en WebSocket Application Programming Interface (CVE-2026-25114)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    La Interfaz de Programación de Aplicaciones WebSocket carece de restricciones sobre el número de solicitudes de autenticación. Esta ausencia de limitación de velocidad puede permitir a un atacante realizar ataques de denegación de servicio al suprimir o redirigir incorrectamente la telemetría legítima del cargador, o realizar ataques de fuerza bruta para obtener acceso no autorizado.
  • Vulnerabilidad en WebSocket (CVE-2026-25711)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    El backend de WebSocket utiliza identificadores de estaciones de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación resulta en identificadores de sesión predecibles y permite el secuestro o la suplantación de sesión, donde la conexión más reciente desplaza a la estación de carga legítima y recibe comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir que un actor malicioso cause una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas.
  • Vulnerabilidad en WebSocket (CVE-2026-25778)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    El backend de WebSocket utiliza identificadores de estaciones de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación resulta en identificadores de sesión predecibles y permite el secuestro o la suplantación de sesión, donde la conexión más reciente desplaza a la estación de carga legítima y recibe comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir a un actor malicioso causar una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas.
  • Vulnerabilidad en WebSocket (CVE-2026-27652)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    El backend de WebSocket utiliza identificadores de estaciones de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación da lugar a identificadores de sesión predecibles y permite el secuestro o la suplantación de sesión, donde la conexión más reciente desplaza a la estación de carga legítima y recibe comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir a un actor malicioso causar una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas.
  • Vulnerabilidad en WebSocket (CVE-2026-27767)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Los puntos finales WebSocket carecen de mecanismos de autenticación adecuados, lo que permite a los atacantes realizar suplantación de estación no autorizada y manipular datos enviados al backend. Un atacante no autenticado puede conectarse al punto final WebSocket de OCPP utilizando un identificador de estación de carga conocido o descubierto, luego emitir o recibir comandos OCPP como un cargador legítimo. Dado que no se requiere autenticación, esto puede llevar a escalada de privilegios, control no autorizado de la infraestructura de carga y corrupción de los datos de la red de carga reportados al backend.
  • Vulnerabilidad en Charging station (CVE-2026-22878)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Los identificadores de autenticación de las estaciones de carga son accesibles públicamente a través de plataformas de mapeo basadas en la web.
  • Vulnerabilidad en WebSocket Application Programming (CVE-2026-24445)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    La Interfaz de Programación de Aplicaciones WebSocket carece de restricciones sobre el número de solicitudes de autenticación. Esta ausencia de limitación de velocidad puede permitir a un atacante realizar ataques de denegación de servicio al suprimir o redirigir incorrectamente la telemetría legítima del cargador, o realizar ataques de fuerza bruta para obtener acceso no autorizado.
  • Vulnerabilidad en plataformas de mapeo basadas en la web (CVE-2026-25774)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Los identificadores de autenticación de las estaciones de carga son de acceso público a través de plataformas de mapeo basadas en la web.
  • Vulnerabilidad en WebSocket (CVE-2026-26290)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    El backend de WebSocket utiliza identificadores de estaciones de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación da lugar a identificadores de sesión predecibles y permite el secuestro de sesión o shadowing, donde la conexión más reciente desplaza a la estación de carga legítima y recibe comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir a un actor malicioso causar una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas.
  • Vulnerabilidad en WebSocket (CVE-2026-26305)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    La Interfaz de Programación de Aplicaciones WebSocket carece de restricciones sobre el número de solicitudes de autenticación. Esta ausencia de limitación de velocidad puede permitir a un atacante realizar ataques de denegación de servicio al suprimir o redirigir incorrectamente la telemetría legítima del cargador, o realizar ataques de fuerza bruta para obtener acceso no autorizado.
  • Vulnerabilidad en WebSocket (CVE-2026-27028)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Los puntos finales WebSocket carecen de mecanismos de autenticación adecuados, lo que permite a los atacantes realizar suplantación de estación no autorizada y manipular los datos enviados al backend. Un atacante no autenticado puede conectarse al punto final WebSocket de OCPP utilizando un identificador de estación de carga conocido o descubierto, luego emitir o recibir comandos OCPP como un cargador legítimo. Dado que no se requiere autenticación, esto puede llevar a escalada de privilegios, control no autorizado de la infraestructura de carga y corrupción de los datos de la red de carga reportados al backend.
  • Vulnerabilidad en WebSocket (CVE-2026-27647)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    El backend de WebSocket utiliza identificadores de estaciones de carga para asociar sesiones de forma única, pero permite que múltiples puntos finales se conecten utilizando el mismo identificador de sesión. Esta implementación resulta en identificadores de sesión predecibles y permite el secuestro o la suplantación de sesión, donde la conexión más reciente desplaza a la estación de carga legítima y recibe comandos del backend destinados a esa estación. Esta vulnerabilidad puede permitir a usuarios no autorizados autenticarse como otros usuarios o permitir que un actor malicioso cause una condición de denegación de servicio al sobrecargar el backend con solicitudes de sesión válidas.
  • Vulnerabilidad en libvips (CVE-2026-3281)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Una vulnerabilidad fue detectada en libvips 8.19.0. Esto afecta la función vips_bandrank_build del archivo libvips/conversion/bandrank.c. Realizar una manipulación del argumento index resulta en desbordamiento de búfer basado en montículo. El ataque debe ser iniciado desde una posición local. El exploit ahora es público y puede ser usado. El parche se llama fd28c5463697712cb0ab116a2c55e4f4d92c4088. Se sugiere instalar un parche para abordar este problema.
  • Vulnerabilidad en libvips (CVE-2026-3282)
    Severidad: BAJA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Se ha encontrado una falla en libvips 8.19.0. Esta vulnerabilidad afecta a la función vips_unpremultiply_build del archivo libvips/conversion/unpremultiply.c. La ejecución de una manipulación del argumento alpha_band puede llevar a una lectura fuera de límites. El ataque debe ser lanzado localmente. El exploit ha sido publicado y puede ser usado. Este parche se llama 7215ead1e0cd7d3703cc4f5fca06d7d0f4c22b91. Se debe aplicar un parche para remediar este problema.
  • Vulnerabilidad en libvips (CVE-2026-3283)
    Severidad: BAJA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Una vulnerabilidad ha sido encontrada en libvips 8.19.0. Este problema afecta la función vips_extract_band_build del archivo libvips/conversion/extract.c. La manipulación del argumento extract_band lleva a lectura fuera de límites. El ataque necesita ser realizado localmente. El exploit ha sido divulgado al público y puede ser usado. El identificador del parche es 24795bb3d19d84f7b6f5ed86451ad556c8f2fe70. Para solucionar este problema, se recomienda desplegar un parche.
  • Vulnerabilidad en libvips (CVE-2026-3284)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 02/03/2026
    Se encontró una vulnerabilidad en libvips 8.19.0. La función afectada es vips_extract_area_build del archivo libvips/conversion/extract.c. La manipulación del argumento extract_area resulta en desbordamiento de entero. El ataque requiere un enfoque local. El exploit se ha hecho público y podría ser utilizado. El parche se identifica como 24795bb3d19d84f7b6f5ed86451ad556c8f2fe70. Es aconsejable implementar un parche para corregir este problema.