Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66601)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. Este producto no especifica tipos MIME. Cuando un atacante realiza un ataque de content sniffing, se podrían ejecutar scripts maliciosos. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66602)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. El servidor web acepta el acceso por dirección IP. Cuando un gusano que busca aleatoriamente direcciones IP se introduce en la red, podría ser atacado por el gusano. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66603)
    Severidad: BAJA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. El servidor web acepta el método OPTIONS. Un atacante podría usar potencialmente esta información para llevar a cabo otros ataques. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66604)
    Severidad: BAJA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. La versión de la biblioteca podría mostrarse en la página web. Esta información podría ser explotada por un atacante para otros ataques. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66605)
    Severidad: BAJA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. Dado que hay campos de entrada en esta página web con el atributo de autocompletar habilitado, el contenido de entrada podría guardarse en el navegador que el usuario está utilizando. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66606)
    Severidad: BAJA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. Este producto no codifica correctamente las URL. Un atacante podría manipular páginas web o ejecutar scripts maliciosos. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FastApiAdmin (CVE-2026-2975)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha descubierto un fallo de seguridad en FastApiAdmin hasta la versión 2.2.0. Está afectada por esta vulnerabilidad la función reset_api_docs del archivo /backend/app/plugin/init_app.py del componente Custom Documentation Endpoint. Si se manipula se puede lograrse una revelación de información. El ataque puede realizarse de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.
  • Vulnerabilidad en FastApiAdmin (CVE-2026-2976)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha identificado una debilidad en FastApiAdmin hasta la versión 2.2.0. Está afectadapor este problema la función download_controller del archivo /backend/app/api/v1/module_common/file/controller.py del componente 'Download Endpoint'. Esta manipulación del argumento 'file_path' provoca una revelación de información. Es posible iniciar el ataque de forma remota. El exploit ha sido puesto a disposición del público y podría ser utilizado para ataques.
  • Vulnerabilidad en FastApiAdmin (CVE-2026-2977)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha detectado una vulnerabilidad de seguridad en FastApiAdmin hasta la versión 2.2.0. Esta afecta a la función upload_controller del archivo /backend/app/api/v1/module_common/file/controller.py del componente API de Tareas Programadas. Dicha manipulación conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
  • Vulnerabilidad en FastApiAdmin (CVE-2026-2978)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 05/03/2026
    Se detectó una vulnerabilidad en FastApiAdmin hasta 2.2.0. Esta vulnerabilidad afecta a la función upload_file_controller del archivo /backend/app/api/v1/module_system/params/controller.py del componente API de Tareas Programadas. Su manipulación resulta en una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit ahora es público y puede ser utilizado.
  • Vulnerabilidad en FastApiAdmin (CVE-2026-2979)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha encontrado un fallo en FastApiAdmin hasta la versión 2.2.0. Este problema afecta a la función user_avatar_upload_controller del archivo /backend/app/api/v1/module_system/user/controller.py del componente API de Tareas Programadas. Si se ejecuta al ser manipulada puede producirse una carga sin restricciones. El ataque puede lanzarse de forma remota. El exploit ha sido publicado y puede ser utilizado.
  • Vulnerabilidad en LORIS (CVE-2026-26984)
    Severidad: ALTA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 05/03/2026
    LORIS (Longitudinal Online Research and Imaging System) es una aplicación web autoalojada que proporciona gestión de datos y proyectos para la investigación en neuroimagen. Antes de las versiones 26.0.5, 27.0.2 y 28.0.0, un usuario autenticado con privilegios suficientes puede explotar una vulnerabilidad de salto de ruta para cargar un archivo malicioso en una ubicación arbitraria en el servidor. Una vez cargado, el archivo puede usarse para lograr la ejecución remota de código (RCE). Un atacante debe estar autenticado y tener los permisos apropiados para explotar este problema. Si el servidor está configurado como de solo lectura, la ejecución remota de código (RCE) no es posible; sin embargo, la carga del archivo malicioso aún puede ser factible. Este problema está solucionado en LORIS v26.0.5 y superiores, v27.0.2 y superiores, y v28.0.0 y superiores. Como solución alternativa, los administradores de LORIS pueden deshabilitar el módulo de medios si no se está utilizando.
  • Vulnerabilidad en LORIS (CVE-2026-26985)
    Severidad: ALTA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 05/03/2026
    LORIS (Sistema Longitudinal de Investigación y Obtención de Imágenes en Línea) es una aplicación web autoalojada que proporciona gestión de datos y proyectos para la investigación en neuroimagen. A partir de la versión 24.0.0 y antes de las versiones 26.0.5, 27.0.2 y 28.0.0, un usuario autenticado con la autorización apropiada puede leer archivos de configuración en el servidor explotando una vulnerabilidad de salto de ruta. Algunos de estos archivos contienen credenciales codificadas. La vulnerabilidad permite a un atacante leer archivos de configuración que contienen credenciales codificadas. El atacante podría entonces autenticarse en la base de datos u otros servicios si esas credenciales se reutilizan. El atacante debe estar autenticado y tener los permisos requeridos. Sin embargo, la vulnerabilidad es fácil de explotar y el código fuente de la aplicación es público. Este problema está solucionado en LORIS v26.0.5 y v27.0.2 y superiores, y v28.0.0 y superiores. Como solución alternativa, el electrophysiogy_browser en LORIS puede ser deshabilitado por un administrador usando el gestor de módulos.
  • Vulnerabilidad en Vikunja (CVE-2026-27575)
    Severidad: CRÍTICA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 05/03/2026
    Vikunja es una plataforma de gestión de tareas de código abierto autoalojada. Antes de la versión 2.0.0, la aplicación permite a los usuarios establecer contraseñas débiles (p. ej., 1234, password) sin aplicar requisitos de fortaleza mínima. Además, las sesiones activas permanecen válidas después de que un usuario cambia su contraseña. Un atacante que compromete una cuenta (mediante fuerza bruta o relleno de credenciales) puede mantener acceso persistente incluso después de que la víctima restablece su contraseña. La versión 2.0.0 contiene una corrección.
  • Vulnerabilidad en Vikunja (CVE-2026-27616)
    Severidad: ALTA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 05/03/2026
    Vikunja es una plataforma de gestión de tareas de código abierto y autoalojada. Antes de la versión 2.0.0, la aplicación permite a los usuarios subir archivos SVG como adjuntos de tareas. SVG es un formato basado en XML que soporta la ejecución de JavaScript a través de elementos como etiquetas
  • Vulnerabilidad en Vikunja (CVE-2026-27819)
    Severidad: ALTA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 05/03/2026
    Vikunja es una plataforma de gestión de tareas de código abierto y autoalojada. Antes de la versión 2.0.0, la función restoreConfig en vikunja/pkg/modules/dump/restore.go del repositorio go-vikunja/vikunja no logra sanear las rutas de archivo dentro del archivo ZIP proporcionado. Un ZIP creado maliciosamente puede eludir el directorio de extracción previsto para sobrescribir archivos arbitrarios en el sistema anfitrión. Además, hemos descubierto que un archivo malformado desencadena un pánico en tiempo de ejecución, bloqueando el proceso inmediatamente después de que la base de datos haya sido borrada permanentemente. La aplicación confía en los metadatos del archivo ZIP. Utiliza el atributo Name de la estructura zip.File directamente en las llamadas a os.OpenFile sin validación, permitiendo que los archivos se escriban fuera del directorio previsto. La lógica de restauración asume una estructura de directorio específica dentro del ZIP. Cuando se le proporciona un ZIP malicioso 'minimalista', la aplicación no logra validar la longitud de las 'slices' derivadas del contenido del archivo. Específicamente, en la línea 154, el código intenta acceder a un índice de len(ms)-2 en una 'slice' insuficientemente poblada, desencadenando un pánico. La versión 2.0.0 corrige el problema.
  • Vulnerabilidad en n8n (CVE-2026-27493)
    Severidad: CRÍTICA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 05/03/2026
    n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.10.1, 2.9.3 y 1.123.22, existía una vulnerabilidad de inyección de expresiones de segundo orden en los nodos de formulario de n8n que podría permitir a un atacante no autenticado inyectar y evaluar expresiones n8n arbitrarias al enviar datos de formulario manipulados. Cuando se encadena con un escape de sandbox de expresiones, esto podría escalar a ejecución remota de código en el host n8n. La vulnerabilidad requiere una configuración de flujo de trabajo específica para ser explotable. Primero, un nodo de formulario con un campo que interpola un valor proporcionado por un usuario no autenticado, p. ej., un valor enviado en un formulario. Segundo, el valor del campo debe comenzar con un carácter '=', lo que hizo que n8n lo tratara como una expresión y desencadenara una doble evaluación del contenido del campo. No hay una razón práctica para que un diseñador de flujo de trabajo prefije un campo con '=' intencionalmente — el carácter no se renderiza en la salida, por lo que el resultado no coincidiría con las expectativas del diseñador. Si se añade accidentalmente, sería notorio y muy poco probable que persistiera. Un atacante no autenticado necesitaría conocer esta circunstancia específica en una instancia objetivo o descubrir un formulario coincidente por casualidad. Incluso cuando se cumplen las precondiciones, la inyección de expresiones por sí sola se limita a los datos accesibles dentro del contexto de expresiones de n8n. La escalada a ejecución remota de código requiere encadenarse con una vulnerabilidad de escape de sandbox separada. El problema ha sido solucionado en las versiones de n8n 2.10.1, 2.9.3 y 1.123.22. Los usuarios deben actualizar a una de estas versiones o posteriores para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales. Revisar manualmente el uso de los nodos de formulario para las precondiciones mencionadas anteriormente, deshabilitar el nodo Formulario añadiendo 'n8n-nodes-base.form' a la variable de entorno 'NODES_EXCLUDE', y/o deshabilitar el nodo Form Trigger añadiendo 'n8n-nodes-base.formTrigger' a la variable de entorno 'NODES_EXCLUDE'. Estas soluciones alternativas no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.
  • Vulnerabilidad en n8n (CVE-2026-27494)
    Severidad: ALTA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 05/03/2026
    n8n es una plataforma de automatización de flujos de trabajo de código abierto. Antes de las versiones 2.10.1, 2.9.3 y 1.123.22, un usuario autenticado con permiso para crear o modificar flujos de trabajo podía usar el nodo de Código Python para escapar del sandbox. El sandbox no restringía suficientemente el acceso a ciertos objetos Python incorporados, permitiendo a un atacante exfiltrar contenidos de archivos o lograr RCE. En instancias que usan Task Runners internos (modo de ejecutor predeterminado), esto podría resultar en un compromiso total del host de n8n. En instancias que usan Task Runners externos, el atacante podría obtener acceso o impactar otras tareas ejecutadas en el Task Runner. Los Task Runners deben habilitarse usando `N8N_RUNNERS_ENABLED=true`. El problema ha sido solucionado en las versiones de n8n 2.10.1, 2.9.3 y 1.123.22. Los usuarios deben actualizar a esta versión o posterior para remediar la vulnerabilidad. Si la actualización no es posible de inmediato, los administradores deben considerar las siguientes mitigaciones temporales. Limitar los permisos de creación y edición de flujos de trabajo solo a usuarios de plena confianza, y/o deshabilitar el nodo de Código añadiendo `n8n-nodes-base.code` a la variable de entorno `NODES_EXCLUDE`. Estas soluciones provisionales no remedian completamente el riesgo y solo deben usarse como medidas de mitigación a corto plazo.
  • Vulnerabilidad en Sub2API (CVE-2026-27812)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 05/03/2026
    Sub2API es una plataforma de pasarela de API de IA diseñada para distribuir y gestionar cuotas de API de suscripciones de productos de IA. Una vulnerabilidad en versiones anteriores a la 0.1.85 es un Envenenamiento de Restablecimiento de Contraseña (problema de confianza en el encabezado Host / Forwarded), que permite a los atacantes manipular el enlace de restablecimiento de contraseña. Los atacantes pueden exploit esta falla para inyectar su propio dominio en el enlace de restablecimiento de contraseña, lo que lleva al potencial de toma de control de la cuenta. La vulnerabilidad ha sido corregida en la versión v0.1.85. Si la actualización no es posible de inmediato, los usuarios pueden mitigar la vulnerabilidad deshabilitando la función 'olvidé mi contraseña' hasta que se pueda realizar una actualización a una versión parcheada. Esto evitará que los atacantes exploten la vulnerabilidad a través del endpoint afectado.
  • Vulnerabilidad en Zed (CVE-2026-27967)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 05/03/2026
    Zed, un editor de código, tiene una vulnerabilidad de escape de symlink en versiones anteriores a la 0.225.9 en las herramientas de archivo del Agente ('read_file', 'edit_file'). Permite leer y escribir archivos fuera del directorio del proyecto cuando un proyecto contiene enlaces simbólicos que apuntan a rutas externas. Esto elude el límite de espacio de trabajo previsto y las protecciones de privacidad ('file_scan_exclusions', 'private_files'), lo que podría filtrar datos sensibles del usuario al LLM. La versión 0.225.9 soluciona el problema.
  • Vulnerabilidad en Zed (CVE-2026-27976)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 05/03/2026
    Zed, un editor de código, tiene un instalador de extensiones que permite descargas tar/gzip. Antes de la versión 0.224.4, el extractor de tar ('async_tar::Archive::unpack') crea enlaces simbólicos (symlinks) desde el archivo sin validación, y el protector de rutas ('writeable_path_from_extension') solo realiza comprobaciones de prefijo léxico sin resolver enlaces simbólicos (symlinks). Un atacante puede enviar un tar que primero crea un enlace simbólico (symlink) dentro del directorio de trabajo de la extensión apuntando hacia afuera (por ejemplo, 'escape -> /'), luego escribe archivos a través del enlace simbólico (symlink), provocando escrituras en rutas de host arbitrarias. Esto escapa de la sandbox de la extensión y permite la ejecución de código. La versión 0.224.4 soluciona el problema.
  • Vulnerabilidad en ZITADEL (CVE-2026-27840)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 05/03/2026
    ZITADEL es una plataforma de gestión de identidades de código abierto. A partir de la versión 2.31.0 y antes de las versiones 3.4.7 y 4.11.0, los tokens de acceso OIDC opacos en formato v2 truncados a 80 caracteres todavía se consideran válidos. Zitadel utiliza un cifrado AES simétrico para tokens opacos. La carga útil en texto claro es una concatenación de un par de identificadores, como un ID de token y un ID de usuario. Internamente, Zitadel tiene 2 versiones diferentes de cargas útiles de token. Los tokens v1 ya no se crean, pero aún se verifican para no invalidar las sesiones existentes después de la actualización. La carga útil en texto claro tiene un formato de ':'. Los tokens v2 se distinguen aún más donde el 'token_id' tiene el formato 'v2_-at_'. Los datos de sesión de authZ/N del token v1 se recuperan de la base de datos utilizando el valor (simple) de 'token_id' y el valor de 'user_id'. El 'user_id' (llamado 'subject' en algunas partes de nuestro código) se utilizaba como el ID de usuario de confianza. Los datos de sesión de authZ/N del token v2 se recuperan de la base de datos utilizando el 'oidc_session_id' y el 'access_token_id' y, en este caso, el 'user_id' del token se ignora y se toma de los datos de sesión en la base de datos. Al truncar el token a 80 caracteres, el 'user_id' ahora falta en el texto claro del token v2. El back-end todavía acepta esto por las razones mencionadas. Este problema no se considera explotable, pero puede parecer incómodo cuando se reproduce. El parche en las versiones 4.11.0 y 3.4.7 resuelve el problema verificando el 'user_id' del token contra los datos de sesión de la base de datos. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en ZITADEL (CVE-2026-27945)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 05/03/2026
    ZITADEL es una plataforma de gestión de identidad de código abierto. Zitadel Action V2 (introducida como vista previa temprana en 2.59.0, beta en 3.0.0 y GA en 4.0.0) es un enfoque basado en webhooks para permitir a los desarrolladores actuar sobre peticiones API a Zitadel y personalizar flujos como la emisión de un token. Las URL de destino de las acciones de Zitadel pueden apuntar a hosts locales, lo que potencialmente permite a los adversarios recopilar información de la red interna y conectarse a servicios internos. Cuando la URL apunta a un host local / dirección IP, un adversario podría recopilar información sobre la estructura de la red interna, los servicios expuestos en hosts internos, etc. Esto a veces se denomina falsificación de petición del lado del servidor (SSRF). Las acciones de Zitadel esperan respuestas según esquemas específicos, lo que reduce el vector de amenaza. El parche en la versión 4.11.1 resuelve el problema comprobando la URL de destino contra una lista de denegación. Por defecto, localhost, resp. las IP de bucle invertido son denegadas. Tenga en cuenta que esta corrección solo se lanzó en v4.x. Debido a la etapa (vista previa / beta) en la que se encontraba la funcionalidad en v2.x y v3.x, los cambios que se le han aplicado desde entonces y la gravedad, respectivamente el vector de amenaza real, una retrocompatibilidad a las versiones correspondientes no fue factible. Consulte la sección de solución alternativa para soluciones alternativas si una actualización a v4.x no es posible. Si una actualización no es posible, evite que las acciones utilicen puntos finales no deseados configurando políticas de red o reglas de cortafuegos en la propia infraestructura. Tenga en cuenta que esto está fuera de la funcionalidad proporcionada por Zitadel.
  • Vulnerabilidad en ZITADEL (CVE-2026-27946)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 05/03/2026
    ZITADEL es una plataforma de gestión de identidades de código abierto. Antes de las versiones 4.11.1 y 3.4.7, una vulnerabilidad en la capacidad de autogestión de Zitadel permitía a los usuarios marcar su correo electrónico y teléfono como verificados sin pasar por un proceso de verificación real. El parche en las versiones 4.11.1 y 3.4.7 resuelve el problema al requerir el permiso correcto en caso de que se proporcione la bandera de verificación y solo permite la autogestión de la propia dirección de correo electrónico y/o número de teléfono. Si una actualización no es posible, se podría usar una acción (v2) para evitar establecer la bandera de verificación en el propio usuario.
  • Vulnerabilidad en wpForo Forum (CVE-2026-28554)
    Severidad: MEDIA
    Fecha de publicación: 28/02/2026
    Fecha de última actualización: 05/03/2026
    wpForo Forum 2.4.14 contiene una vulnerabilidad de autorización faltante que permite a los suscriptores autenticados aprobar o desaprobar cualquier publicación del foro a través del gestor AJAX wpforo_approve_ajax. Los atacantes explotan la verificación solo de nonce al enviar un nonce válido con un ID de publicación arbitrario para eludir por completo los controles de moderación.
  • Vulnerabilidad en wpForo Forum (CVE-2026-28561)
    Severidad: MEDIA
    Fecha de publicación: 28/02/2026
    Fecha de última actualización: 05/03/2026
    wpForo Forum 2.4.14 contiene una vulnerabilidad de cross-site scripting almacenado que permite a los administradores inyectar JavaScript persistente a través de campos de descripción del foro mostrados sin escape de salida en múltiples archivos de plantilla de tema. En instalaciones multisitio o con una cuenta de administrador comprometida, los atacantes establecen una descripción del foro que contiene controladores de eventos HTML que se ejecutan cuando cualquier usuario ve el listado del foro.
  • Vulnerabilidad en wpForo Forum (CVE-2026-28562)
    Severidad: ALTA
    Fecha de publicación: 28/02/2026
    Fecha de última actualización: 05/03/2026
    wpForo 2.4.14 contiene una vulnerabilidad de inyección SQL no autenticada en Topics::get_topics() donde la cláusula ORDER BY se basa en una sanitización ineficaz de esc_sql() en identificadores sin comillas. Los atacantes explotan el parámetro wpfob con cargas útiles CASE WHEN para realizar una extracción booleana ciega de credenciales de la base de datos de WordPress.