Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la acción AJAX updateIpAddress en el plugin WP Visitor Statistics (Real Time Traffic) de WordPress (CVE-2021-25042)
    Severidad: MEDIA
    Fecha de publicación: 28/02/2022
    Fecha de última actualización: 06/03/2026
    El plugin WP Visitor Statistics (Real Time Traffic) de WordPress versiones anteriores a 5.5, no presenta comprobaciones de autorización y CSRF en la acción AJAX updateIpAddress, permitiendo a cualquier usuario autenticado llamarla, o hacer que un usuario conectado lo haga por medio de un ataque de tipo CSRF y añada una dirección IP arbitraria para excluirla. Además, debido a una falta de comprobación, saneo y escape, los usuarios podrían establecer un valor malicioso y llevar a cabo ataques de tipo Cross-Site Scripting contra el administrador conectado.
  • Vulnerabilidad en el plugin Osamaesh WP Visitor Statistics en WordPress (CVE-2022-33965)
    Severidad: CRÍTICA
    Fecha de publicación: 25/07/2022
    Fecha de última actualización: 06/03/2026
    Múltiples vulnerabilidades de inyección SQL no autenticada (SQLi) en el plugin Osamaesh WP Visitor Statistics versiones anteriores a 5.7 incluyéndola, en WordPress
  • Vulnerabilidad en la acción AJAX refUrlDetails en el parámetro id el plugin WP Visitor Statistics (Real Time Traffic) de WordPress (CVE-2022-0410)
    Severidad: ALTA
    Fecha de publicación: 07/03/2022
    Fecha de última actualización: 06/03/2026
    El plugin WP Visitor Statistics (Real Time Traffic) de WordPress versiones anteriores a 5.6, no sanea y escapa del parámetro id antes de usarlo en una sentencia SQLpor medio de la acción AJAX refUrlDetails, disponible para cualquier usuario autenticado, conllevando a una inyección SQL
  • Vulnerabilidad en la refUrl en la acción refDetails AJAX en el plugin WP Visitor Statistics (Real Time Traffic) de WordPress (CVE-2021-24750)
    Severidad: ALTA
    Fecha de publicación: 21/12/2021
    Fecha de última actualización: 06/03/2026
    El plugin WP Visitor Statistics (Real Time Traffic) de WordPress versiones anteriores a 4.8, no sanea y escapa correctamente de la refUrl en la acción refDetails AJAX, disponible para cualquier usuario autenticado, que podría permitir a usuarios con un rol tan bajo como el de suscriptor llevar a cabo ataques de inyección SQL
  • Vulnerabilidad en snowflake-connector-python (CVE-2022-42965)
    Severidad: BAJA
    Fecha de publicación: 09/11/2022
    Fecha de última actualización: 06/03/2026
    Se puede activar un ReDoS exponencial (Denegación de Servicio de Expresión Regular) en el paquete PyPI snowflake-connector-python, cuando un atacante puede proporcionar entradas arbitrarias al método get_file_transfer_type no documentado.
  • Vulnerabilidad en la variable specificID en Pimcore AdminBundle (CVE-2021-31869)
    Severidad: MEDIA
    Fecha de publicación: 04/08/2021
    Fecha de última actualización: 06/03/2026
    Pimcore AdminBundle versiones 6.8.0 y anteriores, sufren un problema de inyección SQL en la variable specificID usada por la aplicación. Este problema se ha corregido en la versión 6.9.4 del producto
  • Vulnerabilidad en el parámetro cid en el archivo complaint-details.php en Sourcecodester Complaint Management System (CVE-2020-24932)
    Severidad: CRÍTICA
    Fecha de publicación: 27/10/2021
    Fecha de última actualización: 06/03/2026
    Se presenta una vulnerabilidad de inyección SQL en Sourcecodester Complaint Management System versión 1.0, por medio del parámetro cid en el archivo complaint-details.php
  • Vulnerabilidad en authLdap de Andreas Heigl (CVE-2023-41655)
    Severidad: MEDIA
    Fecha de publicación: 29/09/2023
    Fecha de última actualización: 06/03/2026
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento authLdap de Andreas Heigl en versiones <= 2.5.9.
  • Vulnerabilidad en authLdap de Andreas Heigl (CVE-2023-41654)
    Severidad: MEDIA
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 06/03/2026
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento authLdap de Andreas Heigl en versiones <= 2.5.8.
  • Vulnerabilidad en Osamaesh WP Visitor Statistics (CVE-2024-24867)
    Severidad: MEDIA
    Fecha de publicación: 17/03/2024
    Fecha de última actualización: 06/03/2026
    Exposición de información confidencial a una vulnerabilidad de actor no autorizado en Osamaesh WP Visitor Statistic (tráfico en tiempo real) de Osamaesh. Este problema afecta a WP Visitor Statistics (tráfico en tiempo real): desde n/a hasta 6.9.4.
  • Vulnerabilidad en iota C.ai Conversational Platform (CVE-2024-52958)
    Severidad: CRÍTICA
    Fecha de publicación: 27/11/2024
    Fecha de última actualización: 06/03/2026
    Una verificación incorrecta de la vulnerabilidad de la firma criptográfica en la gestión de complementos en iota C.ai Conversational Platform desde 1.0.0 hasta 2.1.3 permite que usuarios autenticados remotos carguen una DLL maliciosa a través de la función de carga del complemento.
  • Vulnerabilidad en iota C.ai Conversational Platform (CVE-2024-52959)
    Severidad: CRÍTICA
    Fecha de publicación: 27/11/2024
    Fecha de última actualización: 06/03/2026
    Una vulnerabilidad de control inadecuado de generación de código ('inyección de código') en la gestión de complementos en iota C.ai Conversational Platform desde la versión 1.0.0 hasta la 2.1.3 permite a usuarios autenticados remotos ejecutar comandos arbitrarios del sistema a través de un archivo DLL.
  • Vulnerabilidad en MediaWiki de Wikimedia Foundation (CVE-2025-61645)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 06/03/2026
    Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web (XSS o 'cross-site scripting') vulnerabilidad en Wikimedia Foundation MediaWiki. Esta vulnerabilidad está asociada con los archivos de programa includes/pager/CodexTablePager.PHP. Este problema afecta a MediaWiki: desde * antes de 1.44.1.
  • Vulnerabilidad en WeKan (CVE-2026-1963)
    Severidad: MEDIA
    Fecha de publicación: 05/02/2026
    Fecha de última actualización: 06/03/2026
    Se encontró una vulnerabilidad en WeKan hasta la versión 8.20. Esto afecta una función desconocida del archivo models/attachments.js del componente Almacenamiento de Adjuntos. La manipulación resulta en controles de acceso inadecuados. El ataque puede lanzarse remotamente. La actualización a la versión 8.21 mitiga este problema. El parche se identifica como c413a7e860bc4d93fe2adcf82516228570bf382d. Se aconseja actualizar el componente afectado.
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66607)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 06/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. El encabezado de respuesta contiene una configuración insegura. Los usuarios podrían ser redirigidos a sitios maliciosos por un atacante. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66608)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 06/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. Este producto no valida correctamente las URL. Un atacante podría enviar solicitudes especialmente diseñadas para robar archivos del servidor web. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66594)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 06/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. Mensajes detallados se muestran en la página de error. Esta información podría ser explotada por un atacante para otros ataques. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66595)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 06/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. Este producto es vulnerable a falsificación de petición en sitios cruzados (CSRF). Cuando un usuario accede a un enlace diseñado por un atacante, la cuenta del usuario podría verse comprometida. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66596)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 06/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. Este producto no valida correctamente los encabezados de solicitud. Cuando un atacante inserta un encabezado de host no válido, los usuarios podrían ser redirigidos a sitios maliciosos. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66597)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 06/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. Este producto soporta algoritmos criptográficos débiles, lo que podría permitir a un atacante descifrar las comunicaciones con el servidor web. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en FAST/TOOLS de Yokogawa Electric Corporation (CVE-2025-66598)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 06/03/2026
    Se ha encontrado una vulnerabilidad en FAST/TOOLS proporcionado por Yokogawa Electric Corporation. Este producto soporta versiones antiguas de SSL/TLS, lo que podría permitir a un atacante descifrar las comunicaciones con el servidor web. Los productos y versiones afectados son los siguientes: FAST/TOOLS (Paquetes: RVSVRN, UNSVRN, HMIWEB, FTEES, HMIMOB) R9.01 a R10.04
  • Vulnerabilidad en nltk/nltk (CVE-2025-14009)
    Severidad: CRÍTICA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 06/03/2026
    Una vulnerabilidad crítica existe en el componente de descarga de NLTK de nltk/nltk, que afecta a todas las versiones. La función _unzip_iter en nltk/downloader.py utiliza zipfile.extractall() sin realizar validación de rutas o comprobaciones de seguridad. Esto permite a los atacantes crear paquetes zip maliciosos que, al ser descargados y extraídos por NLTK, pueden ejecutar código arbitrario. La vulnerabilidad surge porque NLTK asume que todos los paquetes descargados son de confianza y los extrae sin validación. Si un paquete malicioso contiene archivos Python, como __init__.py, estos archivos se ejecutan automáticamente al importarlos, lo que lleva a la ejecución remota de código. Este problema puede resultar en un compromiso total del sistema, incluyendo acceso al sistema de archivos, acceso a la red y posibles mecanismos de persistencia.
  • Vulnerabilidad en minimatch de isaacs (CVE-2026-26996)
    Severidad: ALTA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 06/03/2026
    minimatch es una utilidad de coincidencia mínima para convertir expresiones glob en objetos RegExp de JavaScript. Las versiones 10.2.0 e inferiores son vulnerables a la denegación de servicio por expresión regular (ReDoS) cuando un patrón glob contiene muchos comodines * consecutivos seguidos de un carácter literal que no aparece en la cadena de prueba. Cada * se compila en un grupo de regex [^/]*? separado, y cuando la coincidencia falla, el motor de regex de V8 retrocede exponencialmente a través de todas las posibles divisiones. La complejidad temporal es O(4^N) donde N es el número de caracteres *. Con N=15, una sola llamada a minimatch() tarda ~2 segundos. Con N=34, se cuelga efectivamente para siempre. Cualquier aplicación que pase cadenas controladas por el usuario a minimatch() como argumento de patrón es vulnerable a DoS. Este problema ha sido solucionado en la versión 10.2.1.
  • Vulnerabilidad en OCaml (CVE-2026-28364)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 06/03/2026
    En OCaml anterior a 4.14.3 y 5.x anterior a 5.4.1, un desbordamiento de lectura de búfer en la deserialización de Marshal (runtime/intern.c) permite la ejecución remota de código a través de una cadena de ataque multifase. La vulnerabilidad radica en la falta de validación de límites en la función readblock(), que realiza operaciones memcpy() sin límites utilizando longitudes controladas por el atacante a partir de datos Marshal manipulados.
  • Vulnerabilidad en Vikunja (CVE-2026-28268)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 06/03/2026
    Vikunja es una plataforma de gestión de tareas de código abierto autoalojada. En las versiones anteriores a la 2.1.0, existe una vulnerabilidad de lógica de negocio en el mecanismo de restablecimiento de contraseña de vikunja/API que permite que los tokens de restablecimiento de contraseña sean reutilizados indefinidamente. Debido a un fallo en la invalidación de tokens tras su uso y a un error de lógica crítico en el trabajo cron de limpieza de tokens, los tokens de restablecimiento permanecen válidos para siempre. Esto permite a un atacante que intercepta un único token de restablecimiento (a través de registros, historial del navegador o phishing) realizar una toma de control de cuenta completa y persistente en cualquier momento en el futuro, eludiendo los controles de autenticación estándar. La versión 2.1.0 contiene un parche para el problema.