Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Svelte (CVE-2026-27901)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 05/03/2026
    Framework web Svelte orientado al rendimiento. Antes de la versión 5.53.5, el contenido de `bind:innerText` y `bind:textContent` en elementos `contenteditable` no se escapaba correctamente. Esto podría permitir la inyección de HTML y cross-site scripting (XSS) si se renderizaban datos no confiables como el valor inicial del enlace en el servidor. La versión 5.53.5 corrige el problema.
  • Vulnerabilidad en Svelte (CVE-2026-27902)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 05/03/2026
    Framework web Svelte orientado al rendimiento. Antes de la versión 5.53.5, los errores de `transformError` no se escapaban correctamente antes de ser incrustados en la salida HTML, lo que causaba una posible inyección HTML y XSS si el contenido controlado por el atacante se devuelve desde `transformError`. La versión 5.53.5 corrige el problema.
  • Vulnerabilidad en Gradio (CVE-2026-28415)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 05/03/2026
    Gradio es un paquete Python de código abierto diseñado para la creación rápida de prototipos. Antes de la versión 6.6.0, la función _redirect_to_target() en el flujo OAuth de Gradio acepta un parámetro de consulta _target_url no validado, lo que permite la redirección a URL externas arbitrarias. Esto afecta a los endpoints /logout y /login/callback en aplicaciones Gradio con OAuth habilitado (es decir, aplicaciones que se ejecutan en Hugging Face Spaces con gr.LoginButton). A partir de la versión 6.6.0, el parámetro _target_url se sanea para usar solo la ruta, la consulta y el fragmento, eliminando cualquier esquema o host.
  • Vulnerabilidad en Gradio (CVE-2026-28416)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 05/03/2026
    Gradio es un paquete Python de código abierto diseñado para la creación rápida de prototipos. Antes de la versión 6.6.0, una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en Gradio permite a un atacante realizar peticiones HTTP arbitrarias desde el servidor de una víctima al alojar un Gradio Space malicioso. Cuando una aplicación víctima utiliza 'gr.load()' para cargar un Space controlado por el atacante, se confía en la 'proxy_url' maliciosa de la configuración y se añade a la lista de permitidos, lo que permite al atacante acceder a servicios internos, endpoints de metadatos en la nube y redes privadas a través de la infraestructura de la víctima. La versión 6.6.0 corrige el problema.
  • Vulnerabilidad en Statmatic (CVE-2026-28423)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 05/03/2026
    Statmatic es un sistema de gestión de contenido (CMS) impulsado por Laravel y Git. Antes de las versiones 5.73.11 y 6.4.0, cuando la manipulación de imágenes de Glide se utiliza en modo inseguro (lo cual no es el predeterminado), el proxy de imágenes puede ser explotado por un usuario no autenticado para hacer que el servidor envíe solicitudes HTTP a URLs arbitrarias, ya sea directamente a través de la URL o mediante la función de marca de agua. Eso puede permitir el acceso a servicios internos, endpoints de metadatos en la nube y otros hosts accesibles desde el servidor. Esto ha sido corregido en las versiones 5.73.11 y 6.4.0.
  • Vulnerabilidad en cms de statamic (CVE-2026-28424)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 05/03/2026
    Statmatic es un sistema de gestión de contenidos (CMS) impulsado por Laravel y Git. Antes de las versiones 5.73.11 y 6.4.0, las direcciones de correo electrónico de los usuarios se incluían en las respuestas del endpoint de datos del tipo de campo de usuario para los usuarios del panel de control que no tenían el permiso de 'ver usuarios'. Esto se ha corregido en las versiones 5.73.11 y 6.4.0.
  • Vulnerabilidad en cms de statamic (CVE-2026-28425)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 05/03/2026
    Statmatic es un sistema de gestión de contenido (CMS) impulsado por Laravel y Git. Antes de las versiones 5.73.11 y 6.4.0, un usuario autenticado del panel de control con acceso a entradas habilitadas para Antlers podría lograr ejecución remota de código en el contexto de la aplicación. Eso puede llevar a un compromiso total de la aplicación, incluyendo acceso a configuración sensible, modificación o exfiltración de datos, y potencial impacto en la disponibilidad. La explotación solo es posible donde Antlers se ejecuta en contenido controlado por el usuario—por ejemplo, campos de contenido con Antlers explícitamente habilitado (requiriendo permiso para configurar campos y editar entradas), configuración incorporada que soporta Antlers como la configuración de notificación por correo electrónico de Formularios (requiriendo permiso de configuración), o complementos de terceros que añaden campos habilitados para Antlers a las entradas (por ejemplo, el complemento SEO Pro). En cada caso, el atacante debe tener los permisos relevantes del panel de control. Esto ha sido corregido en 5.73.11 y 6.4.0. Los usuarios de complementos que dependen de Statamic deben asegurarse de que después de actualizar están ejecutando una versión de Statamic parcheada.
  • Vulnerabilidad en cms de statamic (CVE-2026-28426)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 05/03/2026
    Statmatic es un sistema de gestión de contenido (CMS) impulsado por Laravel y Git. Antes de las versiones 5.73.11 y 6.4.0, una vulnerabilidad de XSS almacenado en componentes relacionados con SVG e iconos permite a usuarios autenticados con los permisos adecuados inyectar JavaScript malicioso que se ejecuta cuando es visto por usuarios con mayores privilegios. Esto ha sido corregido en 5.73.11 y 6.4.0.