Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cuatro nuevos avisos de seguridad

Índice

  • Actualización de seguridad de SAP de marzo de 2026
  • Actualizaciones de seguridad de Microsoft de marzo de 2026
  • Múltiples vulnerabilidades en Aruba Networking AOS-CX de HPE
  • Múltiples vulnerabilidades en Tanzu para Valkey de VMware

Actualización de seguridad de SAP de marzo de 2026

Fecha11/03/2026
Importancia5 - Crítica
Recursos Afectados
  • SAP Quotation Management Insurance application (FS-QUO), versión FS-QUO 800.
  • SAP NetWeaver Enterprise Portal Administration, versión EP-RUNTIME 7.50.
  • SAP Supply Chain Management, versiones SCMAPO 713, 714, S4CORE 102, 103, 104, S4COREOP 105, 106, 107, 108, 109, SCM 700, 701, 702, 712.
  • SAP NetWeaver Application Server for ABAP, versiones SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816, SAP_BASIS 918.
  • SAP NetWeaver Application Server for ABAP, versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
  • SAP NetWeaver (Feedback Notification), versiones SAP_ABA 700, 701, 702, 731, 740, 750, 751, 752, 75A, 75B, 75C, 75D, 75E, 75F, 75G, 75H, 75I, 816.
  • SAP Business One (Job Service), versiones B1_ON_HANA 10.0, SAP-M-BO 10.0.
  • SAP Business Warehouse (Service API), versiones DW4CORE 200, 300, 400, PI_BASIS 2006_1_700, 701, 702, 730, 731, 740, SAP_BW 750, 751, 752, 753, 754, 755, 756, 757, 758, 816.
  • SAP S/4HANA HCM Portugal and SAP ERP HCM Portugal, versiones S4HCMCPT 100, 101, 102, SAP_HRCPT 600, 604, 608.
  • SAP Customer Checkout 2.0, versión SAP_CUSTOMER_CHECKOUT 2.0.
  • SAP GUI for Windows with active GuiXT, versión BC-FES-GUI 8.00.
  • SAP NetWeaver Application Server for ABAP, versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 730, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
  • SAP Solution Tools Plug-In (ST-PI), versiones ST-PI 2008_1_700, 2008_1_710, 740, 758.
  • SAP NetWeaver AS Java (Adobe Document Services), versión ADSSAP 7.50.
  • SAP NetWeaver Application Server for ABAP, versiones SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 15 vulnerabilidades: 2 de severidad crítica, 1 de severidad alta, 11 de severidad media y 1 de severidad baja. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante explotar vulnerabilidades de Cross-Site Scripting (XSS) basada en el DOM, secuestro de DLL, falsificación de solicitudes del lado del servidor (SSRF), denegación de servicio, denegación de servicio debido a versión desactualizada de OpenSSL, deserialización insegura, falta de comprobación de autorización, inyección de código, protección insuficiente del almacenamiento y vulnerabilidad de inyección SQL.

Solución

El fabricante recomienda encarecidamente que el cliente visite el portal de soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

Detalle

Las vulnerabilidades de severidad crítica son de los siguientes tipos:

  • inyección de código
  • deserialización insegura

Se han asignado los identificadores CVE-2019-17571 y CVE-2026-27685 para las vulnerabilidades de severidad crítica.

Actualizaciones de seguridad de Microsoft de marzo de 2026

Fecha10/03/2026
Importancia5 - Crítica
Recursos Afectados
  • .NET;
  • ASP.NET Core;
  • Active Directory Domain Services;
  • Azure Arc;
  • Azure Compute Gallery;
  • Azure Entra ID;
  • Azure IoT Explorer;
  • Azure Linux Virtual Machines;
  • Azure MCP Server;
  • Azure Portal Windows Admin Center;
  • Azure Windows Virtual Machine Agent;
  • Broadcast DVR;
  • Connected Devices Platform Service (Cdpsvc);
  • GitHub Repo: zero-shot-scfoundation;
  • Microsoft Authenticator;
  • Microsoft Brokering File System;
  • Microsoft Devices Pricing Program;
  • Microsoft Graphics Component;
  • Microsoft Office;
  • Microsoft Office Excel;
  • Microsoft Office SharePoint;
  • Payment Orchestrator Service;
  • Push Message Routing Service;
  • Role: Windows Hyper-V;
  • SQL Server;
  • System Center Operations Manager;
  • Windows Accessibility Infrastructure (ATBroker.exe);
  • Windows Ancillary Function Driver for WinSock;
  • Windows App Installer;
  • Windows Authentication Methods;
  • Windows Bluetooth RFCOM Protocol Driver;
  • Windows DWM Core Library;
  • Windows Device Association Service;
  • Windows Extensible File Allocation;
  • Windows File Server;
  • Windows GDI;
  • Windows GDI+;
  • Windows Kerberos;
  • Windows Kernel;
  • Windows MapUrlToZone;
  • Windows Mobile Broadband;
  • Windows NTFS;
  • Windows Performance Counters;
  • Windows Print Spooler Components;
  • Windows Projected File System;
  • Windows Resilient File System (ReFS);
  • Windows Routing and Remote Access Service (RRAS);
  • Windows SMB Server;
  • Windows Shell Link Processing;
  • Windows System Image Manager;
  • Windows Telephony Service;
  • Windows Universal Disk Format File System Driver (UDFS);
  • Windows Win32K;
  • Winlogon.
Descripción

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 10 de marzo, consta de 83 vulnerabilidades (con CVE asignado), calificadas 1 como crítica, 69 como altas y 13 como medias.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle

La vulnerabilidad de severidad crítica publicada tiene asignado el siguiente identificador y descripción:

  • CVE-2026-21536: Vulnerabilidad de ejecución remota de código en Microsoft Devices Pricing Program

Los códigos CVE asignados a las vulnerabilidades no críticas reportadas pueden consultarse en las referencias.

Múltiples vulnerabilidades en Aruba Networking AOS-CX de HPE

Fecha11/03/2026
Importancia5 - Crítica
Recursos Afectados

Las siguientes versiones del software HPE Aruba Networking AOS-CX:

  • 10.17.0001 y anteriores;
  • 10.16.1020 y anteriores;
  • 10.13.1160 y anteriores;
  • 10.10.1170 y anteriores.
Descripción

Christopher Simmelink, moonv y Agencia Nacional de Ciberseguridad de Italia (ACN) han informado sobre 5 vulnerabilidades de severidades: 1 crítica, 3 altas y 1 media. En caso de ser explotadas, podrían permitir que a un atacante reestablecer contraseñas de administrador, inyectar comandos maliciosos, ejecutar comandos arbitrarios y redirigir a los usuarios a URLs maliciosas.

Solución

Se recomienda actualizar las versiones desde la página web oficial de HPE:

  • 10.17.1001 o superior;
  • 10.16.1030 o superior;
  • 10.13.1161 o superior;
  • 10.10.1180 o superior.
Detalle

CVE-2026-23813: omisión de autenticación en la interfaz web de los conmutadores AOS-CX que podría permitir a un atacante remoto no autenticado eludir los controles de autenticación y a consecuencia, poder reestablecer las contraseñas de administrador.

Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2026-23814, CVE-2026-23815 y CVE-2026-23816

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2026-23817.

Múltiples vulnerabilidades en Tanzu para Valkey de VMware

Fecha11/03/2026
Importancia5 - Crítica
Recursos Afectados
  • Valkey Operator 3.3.2;
  • Valkey, versiones 7.2.11, 8.0.6, 8.1.5, 9.0.2.
Descripción

Broadcom ha reportado 60 vulnerabilidades: 1 crítica, 5 altas, 34 medias, 20 bajas. La explotación de estas vulnerabilidades podría permitir a un atacante reanudar una sesión con un servidor con el que no se habría reanudado durante el protocolo de enlace inicial, o que un servidor reanude una sesión con un cliente con el que no se habría reanudado durante el protocolo de enlace inicial, entre muchas otras.

Solución

Las vulnerabilidades se han solucionado por lo que se recomienda actualizar a alguna de las siguientes versiones:

  • Valkey Operator, versión 3.3.3;
  • Valkey, versiones 7.2.12, 8.0.7, 8.1.6, 9.0.3.
Detalle

CVE-2025-68121: si la configuración de 'crypto/tls' tiene los campos 'ClientCAs' o 'RootCAs' mutados entre el protocolo de enlace inicial y el protocolo de enlace reanudado, puede provocar que este último tenga éxito cuando debería haber fallado. Esto puede ocurrir si se llama a 'Config.Clone' y se muta el protocolo de enlace devuelto, o se usa 'Config.GetConfigForClient'. Esto podría provocar que un cliente malintencionado pueda reanudar una sesión con un servidor con el que no se habría reanudado durante el protocolo de enlace inicial o o que un servidor reanude una sesión con un cliente con el que no se habría reanudado durante el protocolo de enlace inicial.

Las vulnerabilidades de severidades altas se les ha asignado los siguientes códigos: CVE-2025-61732, CVE-2025-4674, CVE-2025-61731, CVE-2025-61729, CVE-2025-61726, CVE-2025-58187, CVE-2025-58188, CVE-2025-61723, CVE-2025-61725, CVE-2025-47907 y CVE-2025-68119.