Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en pretix-newsletter de pretix (CVE-2026-2452)
    Severidad: ALTA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 02/03/2026
    Los correos electrónicos enviados por pretix pueden utilizar marcadores de posición que se rellenarán con datos del cliente. Por ejemplo, cuando se utiliza {name} en una plantilla de correo electrónico, se reemplazará con el nombre del comprador para el correo electrónico final. Este mecanismo contenía un error de seguridad relevante: Era posible exfiltrar información sobre el sistema pretix a través de nombres de marcadores de posición especialmente diseñados, como {{event.__init__.__code__.co_filename}}. De esta manera, un atacante con la capacidad de controlar plantillas de correo electrónico (normalmente cualquier usuario del backend de pretix) podría recuperar información sensible de la configuración del sistema, incluyendo incluso contraseñas de base de datos o claves API. pretix sí incluye mecanismos para evitar el uso de tales marcadores de posición maliciosos, sin embargo, debido a un error en el código, no fueron completamente efectivos para este plugin. Por precaución, recomendamos que rote todas las contraseñas y claves API contenidas en su archivo pretix.cfg https://docs.pretix.eu/self-hosting/config/.
  • Vulnerabilidad en el kernel de Linux (CVE-2026-23226)
    Severidad: ALTA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 02/03/2026
    Se ha resuelto la siguiente vulnerabilidad en el kernel de Linux: ksmbd: añadir chann_lock para proteger ksmbd_chann_list xarray ksmbd_chann_list xarray carece de sincronización, permitiendo uso después de liberación en sesiones multicanal (entre lookup_chann_list() y ksmbd_chann_del). Añade el semáforo rw_semaphore chann_lock a la estructura ksmbd_session y protege todos los accesos xa_load/xa_store/xa_erase.
  • Vulnerabilidad en Hyland Alfresco Transformation Service (CVE-2026-26337)
    Severidad: ALTA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 02/03/2026
    El Servicio de Transformación Hyland Alfresco permite a atacantes no autenticados lograr tanto la lectura arbitraria de archivos como la falsificación de petición del lado del servidor a través del salto de ruta absoluto.
  • Vulnerabilidad en Hyland Alfresco Transformation Service (CVE-2026-26338)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 02/03/2026
    Hyland Alfresco Transformation Service permite a atacantes no autenticados lograr falsificación de petición del lado del servidor (SSRF) a través de la funcionalidad de procesamiento de documentos.
  • Vulnerabilidad en Hyland Alfresco Transformation Service (CVE-2026-26339)
    Severidad: CRÍTICA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 02/03/2026
    Hyland Alfresco Transformation Service permite a atacantes no autenticados lograr ejecución remota de código a través de la vulnerabilidad de inyección de argumentos, que existe en la funcionalidad de procesamiento de documentos.
  • Vulnerabilidad en Craft (CVE-2026-27129)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2026
    Fecha de última actualización: 02/03/2026
    Craft es un sistema de gestión de contenido (CMS). En las versiones 4.5.0-RC1 hasta 4.16.18 y 5.0.0-RC1 hasta 5.8.22, la validación de SSRF en la mutación GraphQL Asset de Craft CMS utiliza `gethostbyname()`, que solo resuelve direcciones IPv4. Cuando un nombre de host tiene solo registros AAAA (IPv6), la función devuelve la propia cadena del nombre de host, lo que hace que la comparación de la lista de bloqueo siempre falle y omita completamente la protección SSRF. Esto es una omisión de la corrección de seguridad para CVE-2025-68437. La explotación requiere permisos de esquema GraphQL para editar activos en el volumen '' y crear activos en el volumen ''. Estos permisos pueden ser otorgados a usuarios autenticados con acceso apropiado al esquema GraphQL y/o al Esquema Público (si está mal configurado con permisos de escritura). Las versiones 4.16.19 y 5.8.23 parchean el problema.
  • Vulnerabilidad en Discourse (CVE-2026-26077)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, varios puntos finales de webhook (SendGrid, Mailjet, Mandrill, Postmark, SparkPost) en el 'WebhooksController' aceptaban solicitudes sin un token de autenticación válido cuando no se había configurado ningún token. Esto permitía a atacantes no autenticados falsificar cargas útiles de webhook e inflar artificialmente las puntuaciones de rebote de los usuarios, lo que podría provocar la desactivación de correos electrónicos legítimos de usuarios. El punto final de Mailpace no tenía ninguna validación de token. A partir de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, todos los puntos finales de webhook rechazan las solicitudes con una respuesta 406 cuando no hay un token de autenticación configurado. Como solución alternativa, asegúrese de que los tokens de autenticación de webhook estén configurados para todas las integraciones de proveedores de correo electrónico en la configuración del sitio (p. ej., 'sendgrid_verification_key', 'mailjet_webhook_token', 'postmark_webhook_token', 'sparkpost_webhook_token'). No hay una solución alternativa actual para Mailpace antes de obtener esta corrección.
  • Vulnerabilidad en Discourse (CVE-2026-26078)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, cuando la configuración del sitio 'patreon_webhook_secret' está en blanco, un atacante puede falsificar firmas de webhook válidas calculando un HMAC-MD5 con una cadena vacía como clave. Dado que el cuerpo de la solicitud es conocido por el remitente, el atacante puede producir una firma coincidente y enviar cargas útiles de webhook arbitrarias. Esto permite la creación, modificación o eliminación no autorizada de datos de promesas de Patreon y el desencadenamiento de la sincronización de mecenas a grupo. Esta vulnerabilidad está parcheada en las versiones 2025.12.2, 2026.1.1 y 2026.2.0. La corrección rechaza las solicitudes de webhook cuando el secreto de webhook no está configurado, evitando la falsificación de firmas con una clave vacía. Como solución alternativa, configure la configuración del sitio 'patreon_webhook_secret' con un valor secreto fuerte y no vacío. Cuando el secreto no está vacío, un atacante no puede falsificar firmas válidas sin conocer el secreto.
  • Vulnerabilidad en Discourse (CVE-2026-26207)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, el plugin 'discourse-policy' permite a cualquier usuario autenticado interactuar con políticas en publicaciones que no tienen permiso para ver. El 'PolicyController' carga publicaciones por ID sin verificar el acceso del usuario actual, permitiendo a los miembros del grupo de políticas aceptar/rechazar políticas en publicaciones en categorías privadas o mensajes privados (PMs) que no pueden ver y a cualquier usuario autenticado enumerar qué IDs de publicaciones tienen políticas adjuntas a través de respuestas de error diferenciadas (revelación de información). El problema se ha parcheado en las versiones 2025.12.2, 2026.1.1 y 2026.2.0 al añadir una verificación 'guardian.can_see?(@post)' en la acción previa 'set_post', asegurando que la visibilidad de la publicación se verifica antes de que se procese cualquier acción de política. Como solución alternativa, deshabilitar el plugin discourse-policy ('policy_enabled = false') elimina la vulnerabilidad. No hay otra solución alternativa sin actualizar.
  • Vulnerabilidad en Discourse (CVE-2026-27021)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, el endpoint de votantes en el plugin de encuestas carecía de comprobaciones de visibilidad de publicaciones, lo que permitía el acceso no autorizado a los detalles de los votantes de las encuestas en cualquier publicación. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Discourse (CVE-2026-26973)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Versiones anteriores a 2025.12.2, 2026.1.1 y 2026.2.0 tienen una IDOR (Referencia Directa Insegura a Objeto) en `ReviewableNotesController`. Cuando `enable_category_group_moderation` está habilitado, un usuario que pertenece a un grupo de moderación de categoría puede crear o eliminar sus propias notas en cualquier elemento revisable del sistema, incluyendo elementos revisables en categorías que no modera. El controlador usó un `Reviewable.find` sin ámbito y la protección `ensure_can_see` solo verificaba si el usuario podía acceder a la cola de revisión en general, no si podía acceder al elemento revisable específico. Solo las instancias con `enable_category_group_moderation` habilitado se ven afectadas. Los usuarios del personal (administradores/moderadores) no se ven afectados ya que ya tienen acceso a todos los elementos revisables. El problema está parcheado en las versiones 2025.12.2, 2026.1.1 y 2026.2.0 al limitar la búsqueda de elementos revisables a través de `Reviewable.viewable_by(current_user)`. Como solución alternativa, deshabilite la configuración del sitio `enable_category_group_moderation`. Esto elimina la superficie de ataque ya que solo los usuarios del personal tendrán acceso a la cola de revisión.
  • Vulnerabilidad en Discourse (CVE-2026-26979)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 02/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2025.12.2, 2026.1.1 y 2026.2.0, los usuarios TL4 pueden cerrar, archivar y fijar temas en categorías privadas a las que no tienen acceso. Las versiones 2025.12.2, 2026.1.1 y 2026.2.0 parchean el problema. No hay soluciones alternativas conocidas disponibles.