Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Nsauditor SpotAuditor (CVE-2019-25434)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 05/03/2026
    SpotAuditor 5.3.1.0 contiene una vulnerabilidad de denegación de servicio que permite a atacantes no autenticados provocar la caída de la aplicación al enviar datos excesivos en el campo de nombre de registro. Los atacantes pueden introducir una cadena grande de caracteres (5000 bytes o más) en el campo de nombre durante el registro para activar una excepción no controlada que provoca la caída de la aplicación.
  • Vulnerabilidad en wren-lang (CVE-2026-3386)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2026
    Fecha de última actualización: 05/03/2026
    Se ha encontrado una falla en wren-lang wren hasta 0.4.0, la cual afeacta a la función emitOp del archivo src/vm/wren_compiler.c. Su manipulación causa lectura fuera de límites. Es posible lanzar el ataque en el host local. El exploit ha sido publicado y puede ser usado. Se informó con antelación del problema al proyecto, a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en wren-lang (CVE-2026-3387)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2026
    Fecha de última actualización: 05/03/2026
    Se ha encontrado una vulnerabilidad en wren-lang wren hasta 0.4.0, la cual afeacta a la función getByteCountForArguments del archivo src/vm/wren_compiler.c. Su manipulación lleva a una desreferencia de puntero nulo. Se requiere acceso local para abordar este ataque. El exploit ha sido divulgado al público y puede ser usado. Se informó con antelación del problema al proyecto, a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en Squirrel (CVE-2026-3388)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2026
    Fecha de última actualización: 05/03/2026
    Se encontró una vulnerabilidad en Squirrel hasta la versión 3.2, la cual afeacta a la función SQCompiler::Factor/SQCompiler::UnaryOP del archivo squirrel/sqcompiler.cpp. Su manipulación resulta en recursión incontrolada. El ataque necesita ser abordado localmente. El exploit ha sido hecho público y podría ser usado. Se informó pronto del problema al proyecto, a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en MaxSite CMS (CVE-2026-3395)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2026
    Fecha de última actualización: 05/03/2026
    Se ha encontrado una vulnerabilidad en MaxSite CMS hasta la versión 109.1, la cual afecta a la función eval del archivo application/maxsite/admin/plugins/editor_markitup/preview-ajax.php del componente MarkItUp Preview AJAX Endpoint. Si se manipula se puede provocar una inyección de código. Es posible lanzar el ataque de forma remota. El exploit ha sido publicado y puede ser utilizado. La actualización a la versión 109.2 solucionará este problema. Este parche se llama 08937a3c5d672a242d68f53e9fccf8a748820ef3. Debería actualizar el componente afectado. Se informó previamente al mantenedor del código sobre los problemas. Reaccionó muy rápido y de manera muy profesional.
  • Vulnerabilidad en SQLBot (CVE-2025-15597)
    Severidad: MEDIA
    Fecha de publicación: 02/03/2026
    Fecha de última actualización: 05/03/2026
    Una vulnerabilidad ha sido encontrada en Dataease SQLBot hasta 1.4.0. Esto afecta una función desconocida del archivo backend/apps/system/api/assistant.py del componente Endpoint de la API. Dicha manipulación conduce a controles de acceso inadecuados. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado. La actualización a la versión 1.5.0 mitiga este problema. El nombre del parche es d640ac31d1ce64ce90e06cf7081163915c9fc28c. Se recomienda actualizar el componente afectado. Múltiples endpoints están afectados. El proveedor fue contactado con antelación sobre esta divulgación.