Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Gokapi (CVE-2025-48494)
    Severidad: MEDIA
    Fecha de publicación: 02/06/2025
    Fecha de última actualización: 09/03/2026
    Gokapi es un servidor de intercambio de archivos autoalojado con expiración automática y compatibilidad con cifrado. Al usar cifrado de extremo a extremo, se puede explotar una vulnerabilidad de cross-site-scripting almacenado al subir un archivo con código JavaScript incrustado en el nombre. Tras la subida, y cada vez que alguien abre la lista de subidas, se analiza el script. Antes de la versión 2.0.0, no se implementaba un sistema de permisos de usuario, por lo que todos los usuarios autenticados podían ver y modificar todos los recursos, incluso con cifrado de extremo a extremo, ya que la clave de cifrado debía ser la misma para todos los usuarios de una versión anterior a la 2.0.0. Si un usuario es el único autenticado que usa Gokapi, no se ve afectado. Este problema se ha solucionado en la versión 2.0.0. Un posible workaround sería desactivar el cifrado de extremo a extremo.
  • Vulnerabilidad en Gokapi (CVE-2025-48495)
    Severidad: MEDIA
    Fecha de publicación: 02/06/2025
    Fecha de última actualización: 09/03/2026
    Gokapi es un servidor de intercambio de archivos autoalojado con expiración automática y compatibilidad con cifrado. Al renombrar el nombre descriptivo de una clave API, un usuario autenticado podía inyectar código JavaScript en la vista general de la clave API, que también se ejecutaba al acceder a su pestaña de API. Antes de la versión 2.0.0, no se implementaba un sistema de permisos de usuario; por lo tanto, todos los usuarios autenticados podían ver y modificar todos los recursos, incluso con cifrado de extremo a extremo, ya que la clave de cifrado debía ser la misma para todos los usuarios de versiones anteriores a la 2.0.0. Si un usuario es el único autenticado que usa Gokapi, no se ve afectado. Este problema se ha solucionado en la versión 2.0.0. Un workaround sería no abrir la página de la API si existe la posibilidad de que otro usuario haya inyectado código.
  • Vulnerabilidad en Cisco IoT Field Network Director (FND) (CVE-2025-15322)
    Severidad: MEDIA
    Fecha de publicación: 30/01/2026
    Fecha de última actualización: 09/03/2026
    Tanium abordó una vulnerabilidad de controles de acceso inadecuados en Tanium Server.
  • Vulnerabilidad en Tanium Client (CVE-2025-15320)
    Severidad: BAJA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 09/03/2026
    Tanium abordó una vulnerabilidad de denegación de servicio en Tanium Cliente.
  • Vulnerabilidad en Tanium Module Server (CVE-2025-15315)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 09/03/2026
    Tanium abordó una vulnerabilidad de escalada de privilegios local en Tanium Module Server.
  • Vulnerabilidad en Tanium Server (CVE-2025-15316)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 09/03/2026
    Tanium abordó una vulnerabilidad de escalada de privilegios local en Tanium Server.
  • Vulnerabilidad en Tanium Server (CVE-2025-15317)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 09/03/2026
    Tanium abordó una vulnerabilidad de consumo de recursos no controlado en Tanium Server.
  • Vulnerabilidad en End-User Notifications Endpoint Tools (CVE-2025-15318)
    Severidad: MEDIA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 09/03/2026
    Tanium abordó una vulnerabilidad de eliminación arbitraria de archivos en Herramientas de Punto Final de Notificaciones para el Usuario Final.
  • Vulnerabilidad en Patch Endpoint Tools (CVE-2025-15319)
    Severidad: ALTA
    Fecha de publicación: 09/02/2026
    Fecha de última actualización: 09/03/2026
    Tanium abordó una vulnerabilidad de escalada de privilegios local en Patch Endpoint Tools.
  • Vulnerabilidad en Kubysoft (CVE-2025-59903)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 09/03/2026
    Vulnerabilidad de cross-site scripting almacenado (XSS) en Kubysoft, donde las imágenes SVG subidas no se sanean correctamente. Esto permite a los atacantes incrustar scripts maliciosos dentro de archivos SVG como contenido visual, los cuales son luego almacenados en el servidor y ejecutados en el contexto de cualquier usuario que acceda al recurso comprometido.
  • Vulnerabilidad en Kubysoft (CVE-2025-59904)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 09/03/2026
    Vulnerabilidad de cross-site scripting (XSS) almacenado en Kubysoft, que se activa a través de múltiples parámetros en el endpoint '/kForms/app'. Este problema permite que scripts maliciosos sean inyectados y ejecutados de forma persistente en el contexto de los usuarios que acceden al recurso afectado.
  • Vulnerabilidad en Kubysoft (CVE-2025-59905)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 09/03/2026
    Vulnerabilidad de cross-site scripting (XSS) reflejada en Kubysoft, que ocurre a través de múltiples parámetros dentro del endpoint '/node/kudaby/nodeFN/procedure'. Esta falla permite la inyección de scripts arbitrarios del lado del cliente, los cuales son inmediatamente reflejados en la respuesta HTTP y ejecutados en el navegador de la víctima.
  • Vulnerabilidad en Enforce Recovery Key Portal (CVE-2026-1344)
    Severidad: MEDIA
    Fecha de publicación: 18/02/2026
    Fecha de última actualización: 09/03/2026
    Tanium abordó una vulnerabilidad de permisos de archivo inseguros en el Portal de Claves de Recuperación de Enforce.
  • Vulnerabilidad en Astro (CVE-2026-27829)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 09/03/2026
    Astro es un framework web. En las versiones 9.0.0 a 9.5.3, un error en la pipeline de imágenes de Astro permite eludir las restricciones de `image.domains` / `image.remotePatterns`, lo que permite al servidor obtener contenido de hosts remotos no autorizados. Astro proporciona una opción `inferSize` que obtiene imágenes remotas en el momento de la renderización para determinar sus dimensiones. La obtención de imágenes remotas está destinada a restringirse a dominios que el desarrollador del sitio ha autorizado manualmente (utilizando las opciones `image.domains` o `image.remotePatterns`). Sin embargo, cuando se utiliza `inferSize`, no se realiza ninguna validación de dominio — la imagen se obtiene de cualquier host independientemente de las restricciones configuradas. Un atacante que puede influir en la URL de la imagen (por ejemplo, a través de contenido de CMS o datos proporcionados por el usuario) puede hacer que el servidor obtenga contenido de hosts arbitrarios. Esto permite eludir las restricciones de `image.domains` / `image.remotePatterns` para realizar peticiones del lado del servidor a hosts no autorizados. Esto incluye el riesgo de falsificación de petición del lado del servidor (SSRF) contra servicios de red internos y puntos finales de metadatos en la nube. La versión 9.5.4 corrige el problema.
  • Vulnerabilidad en XWEB Pro (CVE-2026-24517)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 09/03/2026
    Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema mediante la inyección de entrada maliciosa en las solicitudes enviadas a la ruta de actualización del firmware.
  • Vulnerabilidad en XWEB Pro (CVE-2026-24663)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 09/03/2026
    Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante no autenticado lograr la ejecución remota de código en el sistema al enviar una solicitud manipulada a la ruta de instalación de las bibliotecas e inyectar entrada maliciosa en el cuerpo de la solicitud.
  • Vulnerabilidad en XWEB Pro (CVE-2026-24689)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 09/03/2026
    Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema mediante la inyección de entrada maliciosa en el campo devices de la acción de aplicación de actualización de firmware.
  • Vulnerabilidad en XWEB Pro (CVE-2026-24695)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 09/03/2026
    Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema mediante la inyección de entrada maliciosa en campos de argumentos de OpenSSL dentro de solicitudes enviadas a la ruta de utilidad, lo que lleva a la ejecución remota de código.
  • Vulnerabilidad en XWEB Pro (CVE-2026-25085)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 09/03/2026
    Existe una vulnerabilidad en Copeland XWEB Pro versión 1.12.1 y anteriores, en la que un valor de retorno inesperado de la rutina de autenticación es posteriormente procesado como un valor legítimo, resultando en un bypass de autenticación.
  • Vulnerabilidad en XWEB Pro (CVE-2026-25109)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 09/03/2026
    Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, permitiendo a un atacante autenticado lograr la ejecución remota de código en el sistema al inyectar entrada maliciosa en el campo devices al acceder a la ruta get setup, lo que lleva a la ejecución remota de código.
  • Vulnerabilidad en XWEB Pro (CVE-2026-25111)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 09/03/2026
    Una vulnerabilidad de inyección de comandos del sistema operativo (OS) existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema mediante la inyección de entrada maliciosa en las solicitudes enviadas a la ruta de restauración.
  • Vulnerabilidad en XWEB Pro (CVE-2026-25195)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 09/03/2026
    Una vulnerabilidad de inyección de comandos del sistema operativo existe en XWEB Pro versión 1.12.1 y anteriores, lo que permite a un atacante autenticado lograr la ejecución remota de código en el sistema al proporcionar un archivo de actualización de firmware manipulado a través de la ruta de actualización de firmware.
  • Vulnerabilidad en Centreon Web on Central Server (CVE-2026-2751)
    Severidad: ALTA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 09/03/2026
    Inyección SQL ciega a través de claves de array no saneadas en la eliminación de dependencias de servicio. Vulnerabilidad en Centreon Centreon Web en el servidor central en Linux (módulos de dependencias de servicio) permite inyección SQL ciega. Este problema afecta a Centreon Web en el servidor central antes de 25.10.8, 24.10.20, 24.04.24.
  • Vulnerabilidad en Dify de Langgenius (CVE-2026-28288)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 09/03/2026
    Dify es una plataforma de desarrollo de aplicaciones LLM de código abierto. Antes de la versión 1.9.0, las respuestas de la API de Dify a cuentas existentes y no existentes difieren, permitiendo a un atacante enumerar direcciones de correo electrónico registradas en Dify. La versión 1.9.0 soluciona el problema.
  • Vulnerabilidad en Wagtail (CVE-2026-28222)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 09/03/2026
    Wagtail es un sistema de gestión de contenido de código abierto construido sobre Django. Antes de las versiones 6.3.8, 7.0.6, 7.2.3 y 7.3.1, existe una vulnerabilidad de cross-site scripting (XSS) almacenado al renderizar bloques TableBlock dentro de un StreamField. Un usuario con acceso para crear o editar páginas que contengan bloques TableBlock de StreamField puede establecer atributos de clase especialmente diseñados en el bloque que ejecutan código JavaScript arbitrario cuando se visualiza la página. Cuando es visualizado por un usuario con privilegios más altos, esto podría llevar a realizar acciones con las credenciales de ese usuario. La vulnerabilidad no es explotable por un visitante de sitio ordinario sin acceso al administrador de Wagtail, y solo afecta a los sitios que utilizan TableBlock. Este problema ha sido parcheado en las versiones 6.3.8, 7.0.6, 7.2.3 y 7.3.1.
  • Vulnerabilidad en Wagtail (CVE-2026-28223)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 09/03/2026
    Wagtail es un sistema de gestión de contenido de código abierto construido sobre Django. Antes de las versiones 6.3.8, 7.0.6, 7.2.3 y 7.3.1, existe una vulnerabilidad de cross-site scripting (XSS) almacenado en los mensajes de confirmación dentro del módulo wagtail.contrib.simple_translation. Un usuario con acceso al área de administración de Wagtail puede crear una página con un título especialmente diseñado que, cuando otro usuario realiza la acción 'Translate', hace que se ejecute código JavaScript arbitrario. Esto podría llevar a realizar acciones con las credenciales de ese usuario. La vulnerabilidad no es explotable por un visitante de sitio ordinario sin acceso al administrador de Wagtail. Este problema ha sido parcheado en las versiones 6.3.8, 7.0.6, 7.2.3 y 7.3.1.
  • Vulnerabilidad en lxml_html_clean de fedora-python (CVE-2026-28348)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 09/03/2026
    lxml_html_clean es un proyecto para funcionalidades de limpieza de HTML copiado de 'lxml.html.clean'. Antes de la versión 0.4.4, el método _has_sneaky_javascript() elimina las barras invertidas antes de verificar palabras clave CSS peligrosas. Esto provoca que las secuencias de escape Unicode de CSS omitan los filtros @import y expression(), permitiendo la carga externa de CSS o XSS en navegadores antiguos. Este problema ha sido parcheado en la versión 0.4.4.
  • Vulnerabilidad en Frappe (CVE-2026-28436)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 09/03/2026
    Frappe es un framework de aplicación web full-stack. Antes de las versiones 16.11.0 y 15.102.0, un atacante puede establecer una URL de imagen manipulada que resulta en XSS cuando se muestra el avatar, y puede ser activado para otros usuarios a través de comentarios de páginas web. Este problema ha sido parcheado en las versiones 16.11.0 y 15.102.0.
  • Vulnerabilidad en Frappe (CVE-2026-29077)
    Severidad: ALTA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 09/03/2026
    Frappe es un framework de aplicación web full-stack. Antes de las versiones 15.98.0 y 14.100.0, debido a una falta de validación al compartir documentos, un usuario podía compartir un documento con un permiso que ellos mismos no tenían. Este problema ha sido parcheado en las versiones 15.98.0 y 14.100.0.
  • Vulnerabilidad en OpenClaw (CVE-2026-28394)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 09/03/2026
    Las versiones de OpenClaw anteriores a la 2026.2.15 contienen una vulnerabilidad de denegación de servicio en la herramienta web_fetch que permite a los atacantes bloquear el proceso Gateway mediante el agotamiento de la memoria al analizar respuestas HTML sobredimensionadas o profundamente anidadas. Los atacantes remotos pueden aplicar ingeniería social a los usuarios para que recuperen URLs maliciosas con estructuras HTML patológicas para agotar la memoria del servidor y causar indisponibilidad del servicio.
  • Vulnerabilidad en OpenClaw (CVE-2026-28395)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 09/03/2026
    La versión de OpenClaw 2026.1.14-1 anterior a la 2026.2.12 contiene una vulnerabilidad de enlace de red inadecuado en el servidor de retransmisión de la extensión de Chrome (debe estar instalada y habilitada) que trata los hosts comodín como direcciones de bucle invertido, permitiendo que el servidor HTTP/WS de retransmisión se enlace a todas las interfaces cuando se configura una cdpUrl comodín. Los atacantes remotos pueden acceder a los puntos finales HTTP de retransmisión fuera del host para filtrar la presencia del servicio e información del puerto, o realizar ataques de denegación de servicio y de fuerza bruta contra el encabezado del token de retransmisión.
  • Vulnerabilidad en OpenClaw (CVE-2026-28469)
    Severidad: ALTA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 09/03/2026
    Versiones de OpenClaw anteriores a 2026.2.14 contienen una vulnerabilidad de enrutamiento de webhook en el componente de monitor de Google Chat que permite el enrutamiento incorrecto del contexto de políticas entre cuentas cuando múltiples destinos de webhook comparten la misma ruta HTTP. Los atacantes pueden exploit la semántica de verificación de solicitudes de primera coincidencia para procesar eventos de webhook entrantes bajo contextos de cuenta incorrectos, eludiendo las listas de permitidos previstas y las políticas de sesión.
  • Vulnerabilidad en Chamilo (CVE-2026-29041)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 09/03/2026
    Chamilo es un sistema de gestión del aprendizaje. Antes de la versión 1.11.34, Chamilo LMS está afectado por una vulnerabilidad de ejecución remota de código autenticada causada por una validación incorrecta de los archivos subidos. La aplicación se basa únicamente en la verificación del tipo MIME al manejar las subidas de archivos y no valida adecuadamente las extensiones de archivo ni aplica restricciones seguras de almacenamiento en el servidor. Como resultado, un usuario autenticado con bajos privilegios puede subir un archivo manipulado que contiene código ejecutable y posteriormente ejecutar comandos arbitrarios en el servidor. Este problema ha sido parcheado en la versión 1.11.34.
  • Vulnerabilidad en Gokapi de Forceu (CVE-2026-28683)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 09/03/2026
    Gokapi es un servidor de intercambio de archivos autoalojado con expiración automática y soporte de cifrado. Antes de la versión 2.2.3, si un usuario autenticado malicioso sube un SVG y crea un enlace directo para él, puede lograr XSS almacenado. Este problema ha sido parcheado en la versión 2.2.3.
  • Vulnerabilidad en Gokapi de Forceu (CVE-2026-29060)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 09/03/2026
    Gokapi es un servidor de intercambio de archivos autoalojado con soporte para expiración automática y cifrado. Antes de la versión 2.2.3, un usuario registrado sin privilegios para crear o modificar solicitudes de archivos puede crear una clave API de corta duración que tiene permiso para hacerlo. El usuario debe estar registrado en Gokapi. Si no hay usuarios con acceso al menú de administración/carga, no hay impacto. Este problema ha sido parcheado en la versión 2.2.3.