Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Huawei PCs (CVE-2023-52972)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2025
    Fecha de última actualización: 05/03/2026
    Huawei PCs presentan una vulnerabilidad que permite a usuarios con pocos privilegios eludir las comprobaciones de permisos de SDDL. La explotación exitosa de esta vulnerabilidad podría provocar la interrupción de algunos procesos del sistema.
  • Vulnerabilidad en libuvc (CVE-2026-1991)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 05/03/2026
    Se detectó una vulnerabilidad en libuvc hasta la versión 0.0.7. La función uvc_scan_streaming del archivo src/device.c del componente UVC Descriptor Handler está afectada. La manipulación resulta en una desreferencia de puntero nulo. El ataque debe abordarse localmente. El exploit ahora es público y puede ser utilizado. El proyecto fue informado del problema con antelación a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en WukongCRM de WuKongOpenSource (CVE-2026-2141)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha descubierto una falla de seguridad en WuKongOpenSource WukongCRM hasta la versión 11.3.3. Esto afecta una parte desconocida del archivo gateway/src/main/java/com/kakarote/gateway/service/impl/PermissionServiceImpl.java del componente URL Handler. Realizar una manipulación resulta en una autorización indebida. La explotación remota del ataque es posible. El exploit ha sido publicado al público y puede ser utilizado para ataques. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en nginxWebUI de cym1102 (CVE-2026-2145)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2026
    Fecha de última actualización: 05/03/2026
    Una vulnerabilidad fue identificada en cym1102 nginxWebUI hasta la versión 4.3.7. El elemento afectado es una función desconocida del archivo /adminPage/conf/check del componente Interfaz de Gestión Web. Dicha manipulación del argumento nginxDir conduce a cross-site scripting. El ataque puede ser ejecutado remotamente. El exploit está disponible públicamente y podría ser utilizado. El proyecto fue informado del problema con antelación a través de un informe de incidencias pero aún no ha respondido.
  • Vulnerabilidad en doorman de mwielgoszewski (CVE-2026-2153)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2026
    Fecha de última actualización: 05/03/2026
    Una vulnerabilidad fue determinada en mwielgoszewski doorman hasta 0.6. Este problema afecta la función is_safe_url del archivo doorman/users/views.py. Ejecutar una manipulación del argumento Next puede llevar a una redirección abierta. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado públicamente y puede ser utilizado.
  • Vulnerabilidad en xcode-mcp-server de r-huijts (CVE-2026-2178)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2026
    Fecha de última actualización: 05/03/2026
    Una vulnerabilidad fue encontrada en r-huijts xcode-mcp-server hasta f3419f00117aa9949e326f78cc940166c88f18cb. Esto afecta a la función registerXcodeTools del archivo src/tools/xcode/index.ts del componente run_lldb. La manipulación del argumento args resulta en inyección de comandos. Es posible lanzar el ataque de forma remota. El exploit ha sido hecho público y podría ser utilizado. Este producto adopta el enfoque de lanzamientos continuos para proporcionar entrega continua. Por lo tanto, los detalles de la versión para las versiones afectadas y actualizadas no están disponibles. El parche se identifica como 11f8d6bacadd153beee649f92a78a9dad761f56f. Se aconseja aplicar un parche para resolver este problema.
  • Vulnerabilidad en ZeroWdd (CVE-2026-2201)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 05/03/2026
    Se ha detectado una vulnerabilidad de seguridad en ZeroWdd studentmanager hasta 2151560fc0a50ec00426785ec1e01a3763b380d9. Esto afecta a la función addLeave del archivo src/main/java/com/wdd/studentmanager/controller/LeaveController.java. La manipulación del argumento Reason for Leave conduce a cross-site scripting. El ataque puede ser iniciado de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado. Este producto utiliza un modelo de lanzamiento continuo para entregar actualizaciones continuas. Como resultado, la información de versión específica para las versiones afectadas o actualizadas no está disponible. El repositorio de código del proyecto no ha estado activo durante muchos años.