Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Ivanti (CVE-2026-1603)
    Severidad: ALTA
    Fecha de publicación: 10/02/2026
    Fecha de última actualización: 10/03/2026
    Una omisión de autenticación en Ivanti Endpoint Manager anterior a la versión 2024 SU5 permite a un atacante remoto no autenticado filtrar datos de credenciales almacenados específicos.
  • Vulnerabilidad en openDCIM (CVE-2026-28517)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2026
    Fecha de última actualización: 10/03/2026
    openDCIM versión 23.04, a través del commit 4467e9c4, contiene una vulnerabilidad de inyección de comandos del sistema operativo en report_network_map.php. La aplicación recupera el parámetro de configuración 'dot' de la base de datos y lo pasa directamente a exec() sin validación ni saneamiento. Si un atacante puede modificar el valor fac_Config.dot, se pueden ejecutar comandos arbitrarios en el contexto del proceso del servidor web.
  • Vulnerabilidad en TimePictra (CVE-2026-2844)
    Severidad: CRÍTICA
    Fecha de publicación: 28/02/2026
    Fecha de última actualización: 10/03/2026
    Vulnerabilidad de Ausencia de Autenticación para Función Crítica en Microchip TimePictra permite Manipulación de Configuración/Entorno. Este problema afecta a TimePictra: desde 11.0 hasta 11.3 SP2.
  • Vulnerabilidad en TimePictra (CVE-2026-3010)
    Severidad: CRÍTICA
    Fecha de publicación: 28/02/2026
    Fecha de última actualización: 10/03/2026
    Vulnerabilidad de Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web (XSS o 'cross-site scripting') en Microchip TimePictra permite la Consulta del Sistema para Información. Este problema afecta a TimePictra: desde 11.0 hasta 11.3 SP2.
  • Vulnerabilidad en wren-lang (CVE-2026-3385)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2026
    Fecha de última actualización: 10/03/2026
    Se ha encontrado una vulnerabilidad en wren-lang wren hasta 0.4.0, la cual afecta a la función resolveLocal del archivo src/vm/wren_compiler.c. Su manipulación resulta en recursión incontrolada. Es necesario realizar el ataque en local. El exploit es ahora público y puede ser usado. Se informó con antelación del problema al proyecto, a través de un informe de incidencias, pero aún no ha respondido.
  • Vulnerabilidad en Chartbrew (CVE-2026-25877)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 10/03/2026
    Chartbrew es una aplicación web de código abierto que puede conectarse directamente a bases de datos y APIs y usar los datos para crear gráficos. Antes de la versión 4.8.1, la aplicación realiza comprobaciones de autorización basadas únicamente en el parámetro project_id al manejar operaciones relacionadas con gráficos (actualizar, eliminar, etc.). No se realiza ninguna comprobación de autorización contra el propio chart_id. Esto permite a un usuario autenticado que tiene acceso a cualquier proyecto manipular o acceder a gráficos pertenecientes a otros usuarios/proyecto. Este problema ha sido parcheado en la versión 4.8.1.
  • Vulnerabilidad en Chartbrew (CVE-2026-25887)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 10/03/2026
    Chartbrew es una aplicación web de código abierto que puede conectarse directamente a bases de datos y APIs y usar los datos para crear gráficos. Antes de la versión 4.8.1, existe una vulnerabilidad de ejecución remota de código a través de la consulta del conjunto de datos de MongoDB. Este problema ha sido parcheado en la versión 4.8.1.
  • Vulnerabilidad en Chartbrew (CVE-2026-25888)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 10/03/2026
    Chartbrew es una aplicación web de código abierto que puede conectarse directamente a bases de datos y API y usar los datos para crear gráficos. Antes de la versión 4.8.1, existe una vulnerabilidad de ejecución remota de código a través de una API vulnerable. Este problema ha sido parcheado en la versión 4.8.1.
  • Vulnerabilidad en Chartbrew (CVE-2026-27005)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 10/03/2026
    Chartbrew es una aplicación web de código abierto que puede conectarse directamente a bases de datos y APIs y usar los datos para crear gráficos. Antes de la versión 4.8.3, un atacante no autenticado puede inyectar SQL arbitrario en consultas ejecutadas contra bases de datos conectadas a Chartbrew (MySQL, PostgreSQL). Esto permite leer, modificar o eliminar datos en esas bases de datos dependiendo de los privilegios del usuario de la base de datos. Este problema ha sido parcheado en la versión 4.8.3.
  • Vulnerabilidad en Chartbrew (CVE-2026-27603)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 10/03/2026
    Chartbrew es una aplicación web de código abierto que puede conectarse directamente a bases de datos y API y usar los datos para crear gráficos. Antes de la versión 4.8.4, el endpoint de filtro de gráficos POST /project/:project_id/chart/:chart_id/filter carece de los middleware verifyToken y checkPermissions, permitiendo a usuarios no autenticados acceder a datos de gráficos de cualquier equipo/proyecto. Este problema ha sido parcheado en la versión 4.8.4.
  • Vulnerabilidad en Chartbrew (CVE-2026-27605)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 10/03/2026
    Chartbrew es una aplicación web de código abierto que puede conectarse directamente a bases de datos y APIs y usar los datos para crear gráficos. Antes de la versión 4.8.4, la aplicación permite subir archivos (logotipos de proyectos) sin validar el tipo o el contenido del archivo. Confía en la extensión proporcionada por el usuario. Estos archivos se guardan en el directorio uploads/ y se sirven de forma estática. Un atacante puede subir un archivo HTML que contenga JavaScript malicioso. Dado que los tokens de autenticación probablemente se almacenan en localStorage (ya que se devuelven en el cuerpo de la API), este XSS puede llevar a la toma de control de la cuenta. Este problema ha sido parcheado en la versión 4.8.4.
  • Vulnerabilidad en HiPER 810G de UTT (CVE-2026-3814)
    Severidad: ALTA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 10/03/2026
    Se ha descubierto una vulnerabilidad de seguridad en UTT HiPER 810G hasta la versión 1.7.7-1711. Afectada por este problema es la función strcpy del archivo /goform/getOneApConfTempEntry. Realizar una manipulación resulta en desbordamiento de búfer. Es posible iniciar el ataque de forma remota. El exploit ha sido publicado y puede ser utilizado para ataques.