Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en AIT CSV import/export para WordPress (CVE-2020-36849)
    Severidad: CRÍTICA
    Fecha de publicación: 12/07/2025
    Fecha de última actualización: 04/03/2026
    El complemento AIT CSV import/export para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en el archivo /wp-content/plugins/ait-csv-import-export/admin/upload-handler.php en versiones hasta la 3.0.3 incluida. Esto permite que atacantes no autorizados carguen archivos arbitrarios en el servidor de los sitios afectados, lo que podría posibilitar la ejecución remota de código.
  • Vulnerabilidad en VMware Aria Operations (CVE-2026-22721)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 04/03/2026
    VMware Aria Operations contiene una vulnerabilidad de escalada de privilegios. Un actor malicioso con privilegios en vCenter para acceder a Aria Operations podría aprovechar esta vulnerabilidad para obtener acceso administrativo en VMware Aria Operations. Para remediar CVE-2026-22721, aplique los parches enumerados en la columna 'Fixed Version' de la 'Response Matrix' que se encuentra en VMSA-2026-0001 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947.
  • Vulnerabilidad en HTTP::Session2 de TOKUHIROM (CVE-2026-3255)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 04/03/2026
    Las versiones de HTTP::Session2 anteriores a la 1.12 para Perl pueden generar identificadores de sesión débiles utilizando la función rand(). El generador de identificadores de sesión de HTTP::Session2 devuelve un hash SHA-1 inicializado con la función rand incorporada, el tiempo de época y el PID. El PID provendrá de un pequeño conjunto de números, y el tiempo de época puede ser adivinado, si no se filtra del encabezado HTTP Date. La función rand() incorporada no es adecuada para uso criptográfico. HTTP::Session2 después de la versión 1.02 intentará usar el dispositivo /dev/urandom para generar un identificador de sesión, pero si el dispositivo no está disponible (por ejemplo, bajo Windows), entonces revertirá al método inseguro descrito anteriormente.