Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en jaraco.context (CVE-2026-23949)
Severidad: ALTA
Fecha de publicación: 20/01/2026
Fecha de última actualización: 11/03/2026
jaraco.context, un paquete de software de código abierto que proporciona algunos decoradores y gestores de contexto útiles, tiene una vulnerabilidad de recorrido de ruta Zip Slip en la función `jaraco.context.tarball()` a partir de la versión 5.2.0 y anterior a la versión 6.1.0. La vulnerabilidad puede permitir a los atacantes extraer archivos fuera del directorio de extracción previsto cuando se procesan archivos tar maliciosos. El filtro strip_first_component divide la ruta en la primera barra «/» y extrae el segundo componente, al tiempo que permite secuencias «../». Las rutas como «dummy_dir/../../etc /passwd» se convierten en «../../etc /passwd». Tenga en cuenta que esto también sufre un ataque de archivo tar anidado con archivos tar de varios niveles, como `dummy_dir/inner.tar.gz`, donde inner.tar.gz incluye un recorrido `dummy_dir/../../config/.env` que también se traduce a `../../config/.env`. La versión 6.1.0 contiene un parche para el problema.
Vulnerabilidad en Single Sign-On Portal System (CVE-2026-1427)
Severidad: ALTA
Fecha de publicación: 26/01/2026
Fecha de última actualización: 11/03/2026
El Sistema de Portal de Inicio de Sesión Único desarrollado por WellChoose tiene una vulnerabilidad de inyección de comandos del sistema operativo, permitiendo a atacantes remotos autenticados inyectar comandos arbitrarios del sistema operativo y ejecutarlos en el servidor.
Vulnerabilidad en Single Sign-On Portal System (CVE-2026-1428)
Severidad: ALTA
Fecha de publicación: 26/01/2026
Fecha de última actualización: 11/03/2026
El Sistema de Portal de Inicio de Sesión Único desarrollado por WellChoose tiene una vulnerabilidad de inyección de comandos del sistema operativo, permitiendo a atacantes remotos autenticados inyectar comandos arbitrarios del sistema operativo y ejecutarlos en el servidor.
Vulnerabilidad en Single Sign-On Portal System (CVE-2026-1429)
Severidad: MEDIA
Fecha de publicación: 26/01/2026
Fecha de última actualización: 11/03/2026
El Sistema de portal de inicio de sesión único desarrollado por WellChoose tiene una vulnerabilidad de cross-site scripting reflejado, permitiendo a atacantes remotos autenticados ejecutar códigos JavaScript arbitrarios en el navegador del usuario a través de ataques de phishing.
Vulnerabilidad en Omada Controller (CVE-2025-9520)
Severidad: ALTA
Fecha de publicación: 26/01/2026
Fecha de última actualización: 11/03/2026
Existe una vulnerabilidad IDOR en los Controladores Omada que permite a un atacante con permisos de Administrador manipular solicitudes y potencialmente secuestrar la cuenta de Propietario.
Vulnerabilidad en Omada Controller (CVE-2025-9521)
Severidad: BAJA
Fecha de publicación: 26/01/2026
Fecha de última actualización: 11/03/2026
Vulnerabilidad de omisión de confirmación de contraseña en controladores Omada, permitiendo a un atacante con un token de sesión válido omitir la verificación secundaria y cambiar la contraseña del usuario sin la confirmación adecuada, lo que lleva a una seguridad de cuenta debilitada.
Vulnerabilidad en Omada Controller (CVE-2025-9522)
Severidad: MEDIA
Fecha de publicación: 26/01/2026
Fecha de última actualización: 11/03/2026
Falsificación Ciega de Petición del Lado del Servidor (SSRF) en Controladores Omada a través de la funcionalidad de webhook, permitiendo peticiones manipuladas a servicios internos, lo que puede llevar a la enumeración de información.
Vulnerabilidad en TP-Link Systems Inc. (CVE-2026-0918)
Severidad: ALTA
Fecha de publicación: 27/01/2026
Fecha de última actualización: 11/03/2026
El servicio HTTP de las cámaras Tapo C220 v1 y C520WS v2 no maneja de forma segura las solicitudes POST que contienen una cabecera Content-Length excesivamente grande. La asignación de memoria fallida resultante desencadena una desreferenciación de puntero NULL, provocando la caída del proceso del servicio principal. Un atacante no autenticado puede provocar la caída repetida del servicio, causando una denegación de servicio temporal. El dispositivo se reinicia automáticamente, y las solicitudes repetidas pueden mantenerlo no disponible.
Vulnerabilidad en TP-Link Systems Inc. (CVE-2026-0919)
Severidad: ALTA
Fecha de publicación: 27/01/2026
Fecha de última actualización: 11/03/2026
El analizador HTTP de las cámaras Tapo C220 v1 y C520WS v2 maneja incorrectamente las solicitudes que contienen una ruta URL excesivamente larga. Una ruta de error de URL no válida continúa hacia el código de limpieza que asume la existencia de búferes asignados, lo que provoca un fallo y un reinicio del servicio. Un atacante no autenticado puede forzar repetidos fallos del servicio o reinicios del dispositivo, causando denegación de servicio.
Vulnerabilidad en TP-Link Systems Inc. (CVE-2026-1315)
Severidad: ALTA
Fecha de publicación: 27/01/2026
Fecha de última actualización: 11/03/2026
Al enviar archivos manipulados al punto final de actualización de firmware de Tapo C220 v1 y C520WS v2, el dispositivo termina los servicios centrales del sistema antes de verificar la autenticación o la integridad del firmware. Un atacante no autenticado puede desencadenar una denegación de servicio persistente, que requiere un reinicio manual o un reinicio iniciado por la aplicación para restaurar el funcionamiento normal del dispositivo.
Vulnerabilidad en Apache Airflow (CVE-2026-24098)
Severidad: MEDIA
Fecha de publicación: 09/02/2026
Fecha de última actualización: 11/03/2026
Apache Airflow versiones anteriores a la 3.1.7, tiene una vulnerabilidad que permite a los usuarios autenticados de la interfaz de usuario (UI) con permiso para uno o más DAGs específicos ver errores de importación generados por otros DAGs a los que no tenían acceso. Se aconseja a los usuarios actualizar a la versión 3.1.7 o posterior, lo que resuelve este problema.
Vulnerabilidad en Apache Tomcat (CVE-2025-66614)
Severidad: CRÍTICA
Fecha de publicación: 17/02/2026
Fecha de última actualización: 11/03/2026
Vulnerabilidad de validación de entrada inadecuada. Este problema afecta a Apache Tomcat: desde 11.0.0-M1 hasta 11.0.14, desde 10.1.0-M1 hasta 10.1.49, desde 9.0.0-M1 hasta 9.0.112. Las siguientes versiones estaban al final de su vida útil (EOL) en el momento en que se creó el CVE, pero se sabe que están afectadas: 8.5.0 hasta 8.5.100. Las versiones EOL más antiguas no están afectadas. Tomcat no validaba que el nombre de host proporcionado a través de la extensión SNI fuera el mismo que el nombre de host proporcionado en el campo de encabezado de host HTTP. Si Tomcat estaba configurado con más de un host virtual y la configuración TLS para uno de esos hosts no requería autenticación de certificado de cliente pero otro sí lo hacía, era posible para un cliente omitir la autenticación de certificado de cliente enviando diferentes nombres de host en la extensión SNI y el campo de encabezado de host HTTP. La vulnerabilidad solo se aplica si la autenticación de certificado de cliente solo se impone en el Conector. No se aplica si la autenticación de certificado de cliente se impone en la aplicación web. Se recomienda a los usuarios actualizar a la versión 11.0.15 o posterior, 10.1.50 o posterior o 9.0.113 o posterior, que solucionan el problema.
Vulnerabilidad en Apache Tomcat (CVE-2026-24733)
Severidad: BAJA
Fecha de publicación: 17/02/2026
Fecha de última actualización: 11/03/2026
Vulnerabilidad de validación de entrada inadecuada en Apache Tomcat. Tomcat no limitaba las solicitudes HTTP/0.9 al método GET. Si una restricción de seguridad estaba configurada para permitir solicitudes HEAD a una URI pero denegar solicitudes GET, el usuario podía eludir esa restricción en las solicitudes GET enviando una solicitud HEAD (inválida según la especificación) usando HTTP/0.9. Este problema afecta a Apache Tomcat: desde 11.0.0-M1 hasta 11.0.14, desde 10.1.0-M1 hasta 10.1.49, desde 9.0.0.M1 hasta 9.0.112. Las versiones más antiguas, EOL, también están afectadas. Se recomienda a los usuarios actualizar a la versión 11.0.15 o posterior, 10.1.50 o posterior o 9.0.113 o posterior, lo que soluciona el problema.
Vulnerabilidad en Apache Tomcat Native (CVE-2026-24734)
Severidad: ALTA
Fecha de publicación: 17/02/2026
Fecha de última actualización: 11/03/2026
Vulnerabilidad de validación de entrada incorrecta en Apache Tomcat Native, Apache Tomcat. Al usar un respondedor OCSP, Tomcat Native (y el puerto FFM de Tomcat del código de Tomcat Native) no completó las verificaciones de verificación o frescura en la respuesta OCSP, lo que podría permitir que se eluda la revocación del certificado. Este problema afecta a Apache Tomcat Native: de 1.3.0 a 1.3.4, de 2.0.0 a 2.0.11; Apache Tomcat: de 11.0.0-M1 a 11.0.17, de 10.1.0-M7 a 10.1.51, de 9.0.83 a 9.0.114. Las siguientes versiones estaban al final de su vida útil (EOL) en el momento en que se creó el CVE, pero se sabe que están afectadas: de 1.1.23 a 1.1.34, de 1.2.0 a 1.2.39. Las versiones EOL más antiguas no están afectadas. Se recomienda a los usuarios de Apache Tomcat Native que actualicen a las versiones 1.3.5 o posteriores o 2.0.12 o posteriores, que solucionan el problema. Se recomienda a los usuarios de Apache Tomcat que actualicen a las versiones 11.0.18 o posteriores, 10.1.52 o posteriores o 9.0.115 o posteriores que solucionan el problema.
Vulnerabilidad en Apache Arrow (CVE-2026-25087)
Severidad: ALTA
Fecha de publicación: 17/02/2026
Fecha de última actualización: 11/03/2026
Vulnerabilidad Use After Free en Apache Arrow C++. Este problema afecta a Apache Arrow C++ desde la versión 15.0.0 hasta la 23.0.0. Puede activarse al leer un archivo Arrow IPC (pero no un flujo IPC) con el pre-buffer activado, si el archivo IPC contiene datos con buffers variádicos (como datos Binary View y String View). Dependiendo del número de buffers variádicos en una columna de lote de registros y de la secuencia temporal de E/S multihilo, podría producirse una escritura en un puntero colgante. El valor (un objeto 'std::shared_ptr') que se escribe en el puntero colgante no está bajo el control directo del atacante. El pre-buffer está deshabilitado por defecto pero puede habilitarse usando una llamada a la API de C++ específica ('RecordBatchFileReader::PreBufferMetadata'). La funcionalidad no está expuesta en los enlaces de lenguaje (Python, Ruby, C GLib), por lo que estos enlaces no son vulnerables. La consecuencia más probable de este problema serían fallos aleatorios o corrupción de memoria al leer tipos específicos de archivos IPC. Si la aplicación permite la ingesta de archivos IPC de fuentes no confiables, esto podría ser plausiblemente explotado para denegación de servicio. Inducir tipos de comportamiento erróneo más específicos (como la extracción de datos confidenciales del proceso en ejecución) depende de la asignación de memoria y de los patrones temporales de E/S multihilo que es poco probable que sean fácilmente controlados por un atacante. Consejo para los usuarios de Arrow C++: 1. verifique si habilita el pre-buffer en el lector de archivos IPC (usando 'RecordBatchFileReader::PreBufferMetadata') 2. si es así, deshabilite el pre-buffer (lo que puede tener consecuencias adversas en el rendimiento), o cambie a Arrow 23.0.1 que no es vulnerable
Vulnerabilidad en mchange-commons-java (CVE-2026-27727)
Severidad: ALTA
Fecha de publicación: 25/02/2026
Fecha de última actualización: 11/03/2026
mchange-commons-java, una librería que proporciona utilidades de Java, incluye código que emula implementaciones tempranas de la funcionalidad JNDI, incluyendo soporte para valores remotos de `factoryClassLocation`, mediante los cuales se puede descargar e invocar código dentro de una aplicación en ejecución. Si un atacante puede provocar que una aplicación lea un `jaxax.naming.Reference` o un objeto serializado maliciosamente diseñado, pueden provocar la descarga y ejecución de código malicioso. Las implementaciones de esta funcionalidad dentro del JDK fueron deshabilitadas por defecto detrás de una propiedad de sistema que por defecto es `false`, `com.sun.jndi.ldap.object.trustURLCodebase`. Sin embargo, dado que mchange-commons-java incluye una implementación independiente de la desreferenciación JNDI, las librerías (como c3p0) que resuelven referencias a través de esa implementación podrían ser provocadas para descargar y ejecutar código malicioso incluso después de que el JDK fuera reforzado. Emulando el parche del JDK, la funcionalidad JNDI de mchange-commons-java está restringida por parámetros de configuración que por defecto tienen valores restrictivos a partir de la versión 0.4.0. No se conocen soluciones alternativas disponibles. Las versiones anteriores a la 0.4.0 deben evitarse en los CLASSPATH de las aplicaciones.
Vulnerabilidad en GPAC (CVE-2026-27821)
Severidad: ALTA
Fecha de publicación: 26/02/2026
Fecha de última actualización: 11/03/2026
GPAC es un framework multimedia de código abierto. En versiones hasta la 26.02.0 inclusive, se produce un desbordamiento de búfer de pila durante el análisis de archivos NHML en `src/filters/dmx_nhml.c`. El valor del atributo XML xmlHeaderEnd se copia de att->value a szXmlHeaderEnd[1000] usando strcpy() sin ninguna validación de longitud. Si la entrada excede los 1000 bytes, sobrescribe más allá del límite del búfer de pila. El commit 9bd7137fded2db40de61a2cf3045812c8741ec52 corrige el problema.
Vulnerabilidad en Terraform Provider Debug Logs (CVE-2026-27900)
Severidad: MEDIA
Fecha de publicación: 26/02/2026
Fecha de última actualización: 11/03/2026
El proveedor de Terraform para Linode versiones anteriores a la v3.9.0 registró información sensible, incluyendo algunas contraseñas, contenido de StackScript y datos de almacenamiento de objetos, en los registros de depuración sin redacción. El registro de depuración del proveedor no está habilitado por defecto. Este problema se expone cuando los registros de depuración/proveedor se habilitan explícitamente (por ejemplo, en la resolución de problemas local, trabajos de CI/CD o recolección centralizada de registros). Si está habilitado, los valores sensibles pueden escribirse en los registros y luego retenerse, compartirse o exportarse más allá del entorno de ejecución original. Un usuario autenticado con acceso a los registros de depuración del proveedor (a través de sistemas de agregación de registros, pipelines de CI/CD o salida de depuración) podría así extraer estas credenciales sensibles. Las versiones 3.9.0 y posteriores sanean los registros de depuración registrando solo metadatos no sensibles como etiquetas, regiones e IDs de recursos, mientras redactan credenciales, tokens, claves, scripts y otro contenido sensible. Algunas otras mitigaciones y soluciones alternativas están disponibles. Deshabilite el registro de depuración de Terraform/proveedor o configúrelo al nivel WARN o superior, restrinja el acceso a los registros existentes e históricos, purgue/recorte por retención los registros que puedan contener valores sensibles, y/o rote los secretos/credenciales potencialmente expuestos.
Vulnerabilidad en Unitree (CVE-2026-1442)
Severidad: ALTA
Fecha de publicación: 27/02/2026
Fecha de última actualización: 11/03/2026
Dado que el algoritmo de cifrado utilizado para proteger las actualizaciones de firmware está a su vez cifrado utilizando material clave disponible para un atacante (o cualquiera que preste atención), las actualizaciones de firmware pueden ser alteradas por un usuario no autorizado, y luego confiadas por un producto Unitree, como el Unitree Go2 y otros modelos. Este problema parece afectar a todas las ofertas actuales de Unitree a partir del 26 de febrero de 2026, y por lo tanto debe considerarse una vulnerabilidad tanto en los procesos de generación como de extracción de firmware. En el momento de esta publicación, no existe un mecanismo documentado públicamente para subvertir el proceso de actualización e insertar paquetes de firmware envenenados sin el conocimiento del propietario del equipo.
Vulnerabilidad en AWS-LC de AWS (CVE-2026-3336)
Severidad: ALTA
Fecha de publicación: 02/03/2026
Fecha de última actualización: 11/03/2026
Validación incorrecta de certificados en PKCS7_verify() en AWS-LC permite a un usuario no autenticado eludir la verificación de la cadena de certificados al procesar objetos PKCS7 con múltiples firmantes, excepto el firmante final. Los clientes de los servicios de AWS no necesitan tomar ninguna medida. Las aplicaciones que utilizan AWS-LC deberían actualizarse a la versión 1.69.0 de AWS-LC.
Vulnerabilidad en AWS-LC-FIPS (CVE-2026-3337)
Severidad: ALTA
Fecha de publicación: 02/03/2026
Fecha de última actualización: 11/03/2026
Una discrepancia de temporización observable en el descifrado AES-CCM en AWS-LC permite a un usuario no autenticado determinar potencialmente la validez de la etiqueta de autenticación mediante análisis de temporización. Las implementaciones afectadas son a través de la API EVP CIPHER: EVP_aes_128_ccm, EVP_aes_192_ccm y EVP_aes_256_ccm. Los clientes de los servicios de AWS no necesitan tomar ninguna medida. Las aplicaciones que utilizan AWS-LC deberían actualizar a la versión 1.69.0 de AWS-LC.
Vulnerabilidad en AWS-LC de AWS (CVE-2026-3338)
Severidad: ALTA
Fecha de publicación: 02/03/2026
Fecha de última actualización: 11/03/2026
La validación de firma incorrecta en PKCS7_verify() en AWS-LC permite a un usuario no autenticado eludir la verificación de firma al procesar objetos PKCS7 con atributos autenticados. Los clientes de los servicios de AWS no necesitan tomar ninguna medida. Las aplicaciones que utilizan AWS-LC deberían actualizarse a la versión 1.69.0 de AWS-LC.
Vulnerabilidad en lxd de Canonical (CVE-2026-3351)
Severidad: BAJA
Fecha de publicación: 03/03/2026
Fecha de última actualización: 11/03/2026
Autorización incorrecta en el endpoint de la API GET /1.0/certificates en Canonical LXD 6.6 en Linux permite a un usuario autenticado y restringido enumerar todas las huellas digitales de certificados confiadas por el servidor lxd.
Vulnerabilidad en Apache Software Foundation (CVE-2026-27446)
Severidad: CRÍTICA
Fecha de publicación: 04/03/2026
Fecha de última actualización: 11/03/2026
Vulnerabilidad de Autenticación Faltante para Función Crítica (CWE-306) en Apache Artemis, Apache ActiveMQ Artemis. Un atacante remoto no autenticado puede usar el protocolo Core para forzar a un broker objetivo a establecer una conexión de federación Core saliente con un broker malicioso controlado por el atacante. Esto podría resultar potencialmente en la inyección de mensajes en cualquier cola y/o la exfiltración de mensajes de cualquier cola a través del broker malicioso. Esto afecta a entornos que permiten ambos: - conexiones de protocolo Core entrantes desde fuentes no confiables al broker - conexiones de protocolo Core salientes desde el broker a objetivos no confiables Este problema afecta a: - Apache Artemis desde 2.50.0 hasta 2.51.0 - Apache ActiveMQ Artemis desde 2.11.0 hasta 2.44.0. Se recomienda a los usuarios actualizar a la versión 2.52.0 de Apache Artemis, que corrige el problema. El problema puede mitigarse mediante cualquiera de las siguientes opciones: - Eliminar el soporte del protocolo Core de cualquier aceptor que reciba conexiones de fuentes no confiables. Las conexiones de protocolo Core entrantes son compatibles por defecto a través del aceptor 'artemis' que escucha en el puerto 61616. Consulte el parámetro URL 'protocols' configurado para el aceptor. Una URL de aceptor sin este parámetro soporta todos los protocolos por defecto, incluyendo Core. - Usar SSL bidireccional (es decir, autenticación basada en certificados) para forzar a cada cliente a presentar el certificado SSL adecuado al establecer una conexión antes de que se intente cualquier handshake de protocolo de mensajes. Esto evitará la explotación no autenticada de esta vulnerabilidad.
Vulnerabilidad en SFX2100 Satellite Receiver de International Datacasting Corporation (CVE-2026-29121)
Severidad: ALTA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
El receptor de satélite International Data Casting (IDC) SFX2100 viene con la utilidad `/sbin/ip` instalada con el bit setuid establecido. Esta configuración otorga privilegios elevados a cualquier usuario local que pueda ejecutar el binario. Un actor local puede usar el recurso GTFObins para realizar lecturas de archivos privilegiadas como el usuario root en el sistema de archivos local y puede potencialmente conducir a otras vías para realizar acciones privilegiadas.
Vulnerabilidad en SFX2100 Satellite Receiver (CVE-2026-29122)
Severidad: ALTA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
El receptor de satélite International Data Casting (IDC) SFX2100 viene con la utilidad `/bin/date` instalada con el bit setuid establecido. Esta configuración otorga privilegios elevados a cualquier usuario local que pueda ejecutar el binario. Un actor local puede usar el recurso GTFObins para realizar lecturas de archivos privilegiadas como el usuario root en el sistema de archivos local. Esto permite a un actor poder leer cualquier archivo de solo lectura de root, como el archivo /etc /shadow u otros archivos que contienen configuración o secretos.
Vulnerabilidad en SFX2100 Satellite Receiver (CVE-2026-29123)
Severidad: ALTA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Un binario SUID propiedad de root en /home/xd/terminal/XDTerminal en International Data Casting (IDC) SFX2100 en Linux permite a un actor local realizar potencialmente una escalada de privilegios local dependiendo de las condiciones del sistema mediante la ejecución del binario SUID afectado. Esto puede ser mediante secuestro de PATH, abuso de enlaces simbólicos o secuestro de objetos compartidos.
Vulnerabilidad en SFX2100 Satellite Receiver (CVE-2026-29124)
Severidad: ALTA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Múltiples binarios SUID propiedad de root se encuentran en /home/monitor/terminal, /home/monitor/kore-terminal, /home/monitor/IDE-DPack/terminal-dpack, y /home/monitor/IDE-DPack/terminal-dpack2 en el Receptor de satélite SFX2100 de International Data Casting (IDC), lo que puede llevar a una escalada de privilegios local del usuario 'monitor' a root.
Vulnerabilidad en SFX2100 Satellite Receiver (CVE-2026-29125)
Severidad: ALTA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Los receptores de satélite IDC SFX2100 configuran el archivo '/etc/resolv.conf' para que sea escribible por cualquier usuario local, permitiendo la manipulación del resolvedor DNS que puede redirigir las comunicaciones de red, facilitar ataques man-in-the-middle y causar denegación de servicio.
Vulnerabilidad en SFX2100 Satellite Receiver (CVE-2026-29126)
Severidad: ALTA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Asignación incorrecta de permisos (archivo escribible por todos) en /etc/udhcpc/default.script en el receptor de satélite SFX2100 de International Data Casting (IDC) permite a un atacante local sin privilegios ejecutar potencialmente comandos arbitrarios con privilegios de root (escalada de privilegios local y persistencia) mediante la modificación de un script de evento DHCP de BusyBox udhcpc propiedad de root y escribible por todos, que se ejecuta cuando se obtiene, renueva o pierde una concesión DHCP.
Vulnerabilidad en OpenClaw (CVE-2026-28448)
Severidad: MEDIA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Las versiones de OpenClaw 2026.1.29 anteriores a la 2026.2.1 contienen una vulnerabilidad en el plugin de Twitch (debe estar instalado y habilitado) en la que no aplica la lista de permitidos 'allowFrom' cuando 'allowedRoles' no está configurado o está vacío, lo que permite a usuarios de Twitch no autorizados activar el envío de agentes. Atacantes remotos pueden mencionar al bot en el chat de Twitch para eludir el control de acceso e invocar el pipeline de agentes, lo que podría causar acciones no deseadas o agotamiento de recursos.
Vulnerabilidad en OpenClaw (CVE-2026-28450)
Severidad: ALTA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Versiones de OpenClaw anteriores a 2026.2.12 con el plugin opcional de Nostr habilitado exponen puntos finales HTTP sin autenticación en /api/channels/nostr/:accountId/profile y /api/channels/nostr/:accountId/profile/import que permiten leer y modificar perfiles de Nostr sin autenticación de la pasarela. Atacantes remotos pueden explotar estos puntos finales para leer datos de perfil sensibles, modificar perfiles de Nostr, persistir cambios maliciosos en la configuración de la pasarela y publicar eventos Nostr firmados utilizando la clave privada del bot cuando el puerto HTTP de la pasarela es accesible más allá de localhost.
Vulnerabilidad en OpenClaw (CVE-2026-28451)
Severidad: MEDIA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Las versiones de OpenClaw anteriores a 2026.2.14 contienen vulnerabilidades de falsificación de petición del lado del servidor en la extensión de Feishu que permiten a los atacantes obtener URLs remotas controladas por el atacante sin protecciones SSRF a través de la función sendMediaFeishu y el procesamiento de imágenes markdown. Los atacantes pueden influir en las llamadas a herramientas mediante manipulación directa o inyección de prompts para activar peticiones a servicios internos y volver a subir las respuestas como medios de Feishu.
Vulnerabilidad en OpenClaw (CVE-2026-28468)
Severidad: ALTA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Versiones de OpenClaw 2026.1.29-beta.1 anteriores a 2026.2.14 contienen una vulnerabilidad en el servidor puente del navegador sandbox en el que acepta solicitudes sin requerir autenticación de la pasarela, permitiendo a atacantes locales acceder a puntos finales de control del navegador. Un atacante local puede enumerar pestañas, recuperar URLs de WebSocket, ejecutar JavaScript y exfiltrar cookies y datos de sesión de contextos de navegador autenticados.
Vulnerabilidad en OpenClaw (CVE-2026-28470)
Severidad: CRÍTICA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Las versiones de OpenClaw anteriores a 2026.2.2 contienen una vulnerabilidad de omisión de la lista de permitidos (allowlist) de las aprobaciones de ejecución (que deben estar habilitadas) que permite a los atacantes ejecutar comandos arbitrarios inyectando sintaxis de sustitución de comandos. Los atacantes pueden omitir la protección de la lista de permitidos (allowlist) incrustando $() o comillas invertidas sin escapar dentro de cadenas entre comillas dobles para ejecutar comandos no autorizados.
Vulnerabilidad en OpenClaw (CVE-2026-28471)
Severidad: MEDIA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
La versión de OpenClaw 2026.1.14-1 anterior a 2026.2.2, con el plugin de Matrix instalado y habilitado, contiene una vulnerabilidad en la que la coincidencia de la lista de permitidos de DM podría ser eludida mediante la coincidencia exacta con los nombres de visualización del remitente y las partes locales sin validación del homeserver. Los usuarios remotos de Matrix pueden suplantar identidades permitidas utilizando nombres de visualización controlados por el atacante o partes locales coincidentes de diferentes homeservers para alcanzar la tubería de enrutamiento y agente.
Vulnerabilidad en OpenClaw (CVE-2026-28473)
Severidad: ALTA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Versiones de OpenClaw anteriores a la 2026.2.2 contienen una vulnerabilidad de omisión de autorización donde los clientes con alcance operator.write pueden aprobar o denegar solicitudes de aprobación de ejecución enviando el comando de chat /approve. La ruta del comando /approve invoca exec.approval.resolve a través de un cliente de pasarela privilegiado interno, omitiendo la verificación de permisos operator.approvals que protege las llamadas RPC directas.
Vulnerabilidad en OpenClaw (CVE-2026-28475)
Severidad: MEDIA
Fecha de publicación: 05/03/2026
Fecha de última actualización: 11/03/2026
Las versiones de OpenClaw anteriores a 2026.2.13 utilizan comparación de cadenas de tiempo no constante para la validación de tokens de gancho, permitiendo a los atacantes inferir tokens a través de mediciones de tiempo. Atacantes remotos con acceso de red al punto final de hooks pueden explotar canales laterales de tiempo a través de múltiples solicitudes para recuperar gradualmente el token de autenticación.
Vulnerabilidad en Acronis (CVE-2026-28711)
Severidad: MEDIA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Escalada de privilegios local debido a una vulnerabilidad de secuestro de DLL. Los siguientes productos están afectados: Acronis Cyber Protect 17 (Windows) anterior a la compilación 41186.
Vulnerabilidad en Acronis (CVE-2026-28712)
Severidad: MEDIA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Escalada de privilegios local debido a una vulnerabilidad de secuestro de DLL. Los siguientes productos están afectados: Acronis Cyber Protect 17 (Windows) anterior a la compilación 41186.
Vulnerabilidad en Acronis (CVE-2026-28717)
Severidad: MEDIA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Escalada de privilegios local debido a permisos de directorio incorrectos. Los siguientes productos están afectados: Acronis Cyber Protect 17 (Windows) anterior a la compilación 41186.
Vulnerabilidad en Acronis (CVE-2026-28721)
Severidad: ALTA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Escalada de privilegios local debido al manejo inadecuado de enlaces simbólicos. Los siguientes productos están afectados: Acronis Cyber Protect 17 (Windows) anterior a la compilación 41186.
Vulnerabilidad en Acronis (CVE-2026-28722)
Severidad: ALTA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Escalada de privilegios local debido al manejo inadecuado de enlaces simbólicos. Los siguientes productos están afectados: Acronis Cyber Protect 17 (Windows) anterior a la compilación 41186.
Vulnerabilidad en GNU Binutils (CVE-2025-69649)
Severidad: ALTA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
GNU Binutils hasta la versión 2.46 readelf contiene una vulnerabilidad de desreferencia de puntero nulo al procesar un binario ELF manipulado con campos de encabezado malformados. Durante el procesamiento de reubicaciones, un puntero de sección inválido o nulo puede ser pasado a display_relocations(), lo que resulta en un fallo de segmentación (SIGSEGV) y terminación abrupta. No se observó evidencia de corrupción de memoria más allá de la desreferencia del puntero nulo, ni ninguna posibilidad de ejecución de código.
Vulnerabilidad en GNU Binutils (CVE-2025-69650)
Severidad: ALTA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
GNU Binutils hasta 2.46 readelf contiene una vulnerabilidad de doble liberación al procesar un binario ELF manipulado con datos de reubicación malformados. Durante el manejo de la reubicación GOT, dump_relocations puede retornar prematuramente sin inicializar el array all_relocations. Como resultado, process_got_section_contents() puede pasar un puntero r_symbol no inicializado a free(), lo que lleva a una doble liberación y termina el programa con SIGABRT. No se observó evidencia de corrupción de memoria explotable o ejecución de código; el impacto se limita a denegación de servicio.
Vulnerabilidad en GNU Binutils (CVE-2025-69652)
Severidad: MEDIA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
GNU Binutils hasta 2.46 readelf contiene una vulnerabilidad que conduce a una interrupción (SIGABRT) al procesar un binario ELF manipulado con información DWARF abbrev o de depuración malformada. Debido a una limpieza de estado incompleta en process_debug_info(), un estado debug_info_p inválido puede propagarse a las rutinas de análisis de atributos DWARF. Cuando ciertos atributos malformados resultan en una longitud de datos inesperada de cero, byte_get_little_endian() desencadena una interrupción fatal. No se observó evidencia de corrupción de memoria o ejecución de código; el impacto se limita a la denegación de servicio.
Vulnerabilidad en Wekan (CVE-2026-30843)
Severidad: CRÍTICA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Wekan es una herramienta kanban de código abierto construida con Meteor. Las versiones 8.32 y 8.33 tienen un problema crítico de Referencia Directa a Objeto Insegura (IDOR) que podría permitir a usuarios no autorizados modificar campos personalizados entre tableros a través de sus puntos finales de actualización de campos personalizados, lo que podría llevar a la manipulación no autorizada de datos. El punto final PUT /api/boards/:boardId/custom-fields/:customFieldId en Wekan valida que el usuario autenticado tiene acceso al boardId especificado, pero la subsiguiente actualización de la base de datos utiliza solo el _id del campo personalizado como filtro sin confirmar que el campo realmente pertenece a ese tablero. Esto significa que un atacante que posee cualquier tablero puede modificar campos personalizados en cualquier otro tablero al proporcionar un ID de campo personalizado externo, y la misma falla existe en los puntos finales POST, PUT y DELETE para elementos desplegables bajo campos personalizados. Los ID de campo personalizados requeridos se pueden obtener exportando un tablero (lo que solo necesita acceso de lectura), ya que el JSON exportado incluye los ID de todos los componentes del tablero. La verificación de autorización se realiza contra el recurso incorrecto, permitiendo la manipulación de campos personalizados entre tableros. Este problema ha sido solucionado en la versión 8.34.
Vulnerabilidad en Wekan (CVE-2026-30844)
Severidad: CRÍTICA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Wekan es una herramienta kanban de código abierto construida con Meteor. Las versiones 8.32 y 8.33 son vulnerables a la falsificación de petición del lado del servidor (SSRF) a través de la carga de URL de adjuntos. Durante la importación de tableros en Wekan, las URL de adjuntos de datos JSON proporcionados por el usuario son obtenidas directamente por el servidor sin ninguna validación o filtrado de URL, afectando tanto a los flujos de importación de Wekan como de Trello. Los métodos parseActivities() y parseActions() extraen URL de adjuntos controladas por el usuario, las cuales son luego pasadas directamente a Attachments.load() para su descarga sin sanitización. Esta vulnerabilidad de falsificación de petición del lado del servidor (SSRF) permite a cualquier usuario autenticado hacer que el servidor emita peticiones HTTP arbitrarias, potencialmente accediendo a servicios de red internos como puntos finales de metadatos de instancias en la nube (exponiendo credenciales IAM), bases de datos internas y paneles de administración que de otro modo serían inalcanzables desde fuera de la red. Este problema ha sido solucionado en la versión 8.34.
Vulnerabilidad en Wekan (CVE-2026-30845)
Severidad: MEDIA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Wekan es una herramienta kanban de código abierto construida con Meteor. En las versiones 8.31.0 a la 8.33, la publicación compuesta del tablero en Wekan publica todos los datos de integración de un tablero sin ningún filtrado de campos, exponiendo campos sensibles, incluyendo URLs de webhook y tokens de autenticación, a cualquier suscriptor. Dado que las publicaciones del tablero son accesibles a todos los miembros del tablero independientemente de su rol (incluyendo usuarios de solo lectura y solo comentarios), e incluso a clientes DDP no autenticados para tableros públicos, cualquier usuario que pueda acceder a un tablero puede recuperar sus credenciales de webhook. Esta fuga de tokens permite a los atacantes realizar solicitudes no autenticadas a los webhooks expuestos, lo que podría desencadenar acciones no autorizadas en servicios externos conectados. Este problema ha sido solucionado en la versión 8.34.
Vulnerabilidad en Wekan (CVE-2026-30846)
Severidad: ALTA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Wekan es una herramienta kanban de código abierto construida con Meteor. En las versiones 8.31.0 a 8.33, la publicación globalwebhooks expone todas las integraciones de webhook globales —incluyendo campos sensibles de URL y token— sin realizar ninguna comprobación de autenticación en el lado del servidor. Aunque la suscripción se invoca normalmente desde la página de configuración de administrador, la publicación del lado del servidor no tiene control de acceso, lo que significa que cualquier cliente DDP, incluidos los no autenticados, puede suscribirse y recibir los datos. Esto permite a un atacante no autenticado recuperar URLs de webhook globales y tokens de autenticación, lo que podría permitir el uso no autorizado de esos webhooks y el acceso a servicios externos conectados. Este problema ha sido solucionado en la versión 8.34.
Vulnerabilidad en Wekan (CVE-2026-30847)
Severidad: CRÍTICA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Wekan es una herramienta kanban de código abierto construida con Meteor. En las versiones 8.31.0 a la 8.33, la publicación notificationUsers en Wekan publica documentos de usuario sin filtrar campos, lo que provoca que la llamada a ReactiveCache.getUsers() devuelva todos los campos, incluyendo datos altamente sensibles como hashes de contraseña bcrypt, tokens de inicio de sesión de sesión activa, tokens de verificación de correo electrónico, direcciones de correo electrónico completas y cualquier token OAuth almacenado. A diferencia de la auto-publicación predeterminada de Meteor, que elimina el campo services por seguridad, las publicaciones personalizadas devuelven todos los campos que contiene el cursor, lo que significa que todos los suscriptores reciben los documentos de usuario completos. Cualquier usuario autenticado que active esta publicación puede recolectar credenciales y tokens de sesión activa de otros usuarios, lo que permite el cracking de contraseñas, el secuestro de sesión y la toma de control total de la cuenta. Este problema ha sido solucionado en la versión 8.34.
Vulnerabilidad en TSPortal de miraheze (CVE-2026-29788)
Severidad: ALTA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
TSPortal es la plataforma interna de la Fundación WikiTide utilizada por el equipo de Confianza y Seguridad para gestionar informes, investigaciones, apelaciones y el trabajo de transparencia. Antes de la versión 30, la conversión de cadenas vacías a nulo permitía disfrazar informes de DPA como informes genuinos de autoeliminación. Este problema ha sido parcheado en la versión 30.
Vulnerabilidad en parse-server (CVE-2026-30228)
Severidad: MEDIA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.5 y 9.5.0-alpha.3, la readOnlyMasterKey puede ser utilizada para crear y eliminar archivos a través de la API de Archivos (POST /files/:filename, DELETE /files/:filename). Esto elude la restricción de solo lectura, lo cual viola el alcance de acceso de la readOnlyMasterKey. Cualquier despliegue de Parse Server que utilice readOnlyMasterKey y exponga la API de Archivos se ve afectado. Un atacante con acceso a la readOnlyMasterKey puede cargar archivos arbitrarios o eliminar archivos existentes. Este problema ha sido parcheado en las versiones 8.6.5 y 9.5.0-alpha.3.
Vulnerabilidad en parse-server (CVE-2026-30229)
Severidad: ALTA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.6 y 9.5.0-alpha.4, la readOnlyMasterKey puede llamar a POST /loginAs para obtener un token de sesión válido para cualquier usuario. Esto permite a una credencial de solo lectura suplantar a usuarios arbitrarios con acceso completo de lectura y escritura a sus datos. Cualquier despliegue de Parse Server que utilice readOnlyMasterKey se ve afectado. Este problema ha sido parcheado en las versiones 8.6.6 y 9.5.0-alpha.4.
Vulnerabilidad en parse-server (CVE-2026-30835)
Severidad: MEDIA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Antes de las versiones 8.6.7 y 9.5.0-alpha.6, un parámetro de consulta $regex malformado (por ejemplo, [abc) hace que la base de datos devuelva un objeto de error estructurado que se pasa sin sanitizar a través de la respuesta de la API. Esto filtra detalles internos de la base de datos como mensajes de error, códigos de error, nombres de código, marcas de tiempo del clúster y detalles de topología. La vulnerabilidad es explotable por cualquier cliente que pueda enviar solicitudes de consulta, dependiendo de la configuración de permisos del despliegue. Este problema ha sido parcheado en las versiones 8.6.7 y 9.5.0-alpha.6.
Vulnerabilidad en Group-Office (CVE-2026-30237)
Severidad: BAJA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Group-Office es una herramienta empresarial de gestión de relaciones con los clientes y groupware. Antes de las versiones 6.8.155, 25.0.88 y 26.0.10, existe una vulnerabilidad XSS reflejada en el instalador de GroupOffice, endpoint install/license.php. El campo POST license se representa sin escapar dentro de un , lo que permite una fuga . Este problema se ha corregido en las versiones 6.8.155, 25.0.88 y 26.0.10.
Vulnerabilidad en Group-Office (CVE-2026-30238)
Severidad: MEDIA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 11/03/2026
Group-Office es una herramienta empresarial de gestión de relaciones con los clientes y groupware. Antes de las versiones 6.8.155, 25.0.88 y 26.0.10, existe una vulnerabilidad XSS reflejada en GroupOffice en el flujo externo/índice. El parámetro f (Base64 JSON) se decodifica y luego se inyecta en un bloque JavaScript en línea sin un escape estricto, lo que permite la inyección y la ejecución arbitraria de JavaScript en el navegador de la víctima. Este problema se ha corregido en las versiones 6.8.155, 25.0.88 y 26.0.10.
Vulnerabilidad en WeKnora de Tencent (CVE-2026-30247)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
WeKnora es un framework impulsado por LLM diseñado para la comprensión profunda de documentos y la recuperación semántica. Antes de la versión 0.2.12, la característica 'Importar documento vía URL' de la aplicación es vulnerable a la falsificación de petición del lado del servidor (SSRF) a través de redirecciones HTTP. Aunque el backend implementa una validación exhaustiva de URL (bloqueando IPs privadas, direcciones de bucle invertido, nombres de host reservados y puntos finales de metadatos en la nube), no logra validar los objetivos de redirección. Un atacante puede eludir todas las protecciones mediante el uso de una cadena de redirección, forzando al servidor a acceder a servicios internos. Además, las direcciones internas específicas de Docker como host.docker.internal no están bloqueadas. Este problema ha sido parcheado en la versión 0.2.12.
Vulnerabilidad en FlowiseAI (CVE-2026-30820)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Flowise es una interfaz de usuario de arrastrar y soltar para construir un flujo de modelo de lenguaje grande personalizado. Antes de la versión 3.0.13, Flowise confía en cualquier cliente HTTP que establezca el encabezado x-request-from: internal, permitiendo que una sesión de inquilino autenticada omita todas las comprobaciones de autorización de /api/v1/**. Con solo una cookie de navegador, un inquilino de bajo privilegio puede invocar puntos finales de administración internos (gestión de claves API, almacenes de credenciales, ejecución de funciones personalizadas, etc.), escalando privilegios de manera efectiva. Este problema ha sido parcheado en la versión 3.0.13.
Vulnerabilidad en FlowiseAI (CVE-2026-30821)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Flowise es una interfaz de usuario de arrastrar y soltar para construir un flujo de modelo de lenguaje grande personalizado. Antes de la versión 3.0.13, el endpoint /api/v1/attachments/:chatflowId/:chatId está listado en WHITELIST_URLS, permitiendo acceso no autenticado a la API de carga de archivos. Aunque el servidor valida las cargas basándose en los tipos MIME definidos en chatbotConfig.fullFileUpload.allowedUploadFileTypes, confía implícitamente en el encabezado Content-Type proporcionado por el cliente (file.mimetype) sin verificar el contenido real del archivo (bytes mágicos) o la extensión (file.originalname). En consecuencia, un atacante puede eludir esta restricción falsificando el Content-Type como un tipo permitido (p. ej., application/pdf) mientras carga scripts maliciosos o archivos arbitrarios. Una vez cargados a través de addArrayFilesToStorage, estos archivos persisten en el almacenamiento de backend (S3, GCS o disco local). Esta vulnerabilidad sirve como un punto de entrada crítico que, cuando se encadena con otras características como el alojamiento estático o la recuperación de archivos, puede conducir a XSS Almacenado, alojamiento de archivos maliciosos o Ejecución Remota de Código (RCE). Este problema ha sido parcheado en la versión 3.0.13.
Vulnerabilidad en FlowiseAI (CVE-2026-30822)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Flowise es una interfaz de usuario de arrastrar y soltar para construir un flujo de modelo de lenguaje grande personalizado. Antes de la versión 3.0.13, los usuarios no autenticados pueden inyectar valores arbitrarios en campos internos de la base de datos al crear clientes potenciales. Este problema ha sido parcheado en la versión 3.0.13.
Vulnerabilidad en FlowiseAI (CVE-2026-30823)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Flowise es una interfaz de usuario de arrastrar y soltar para construir un flujo de modelo de lenguaje grande personalizado. Antes de la versión 3.0.13, existe una vulnerabilidad IDOR, que conduce a la toma de control de cuentas y a la elusión de funciones empresariales a través de la configuración de SSO. Este problema ha sido parcheado en la versión 3.0.13.
Vulnerabilidad en FlowiseAI (CVE-2026-30824)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Flowise es una interfaz de usuario de arrastrar y soltar para construir un flujo de modelo de lenguaje grande personalizado. Antes de la versión 3.0.13, el router NVIDIA NIM (/API/v1/nvidia-nim/*) está en la lista blanca en el middleware de autenticación global, permitiendo acceso no autenticado a la gestión privilegiada de contenedores y a los puntos finales de generación de tokens. Este problema ha sido parcheado en la versión 3.0.13.
Vulnerabilidad en hoppscotch (CVE-2026-30825)
Severidad: Pendiente de análisis
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
hoppscotch es un ecosistema de desarrollo de API de código abierto. Antes de la versión 2026.2.1, el endpoint DELETE /v1/access-tokens/revoke permite a cualquier usuario autenticado eliminar el PAT de cualquier otro usuario proporcionando su ID, sin verificación de propiedad. Este problema ha sido parcheado en la versión 2026.2.1.
Vulnerabilidad en express-rate-limit (CVE-2026-30827)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
express-rate-limit es un middleware básico de limitación de tasa para Express. En versiones a partir de la 8.0.0 y anteriores a las versiones 8.0.2, 8.1.1, 8.2.2 y 8.3.0, el keyGenerator predeterminado en express-rate-limit aplica enmascaramiento de subred IPv6 (/56 por defecto) a todas las direcciones para las que net.isIPv6() devuelve verdadero. Esto incluye direcciones IPv6 mapeadas a IPv4 (::ffff:x.x.x.x), que Node.js devuelve como request.ip en servidores de doble pila. Debido a que los primeros 80 bits de todas las direcciones mapeadas a IPv4 son cero, una máscara de subred /56 (o cualquier /32 a /80) produce la misma clave de red (::/56) para cada cliente IPv4. Esto colapsa todo el tráfico IPv4 en un único cubo de limitación de tasa: un cliente que agota el límite causa HTTP 429 para todos los demás clientes IPv4. Este problema ha sido parcheado en las versiones 8.0.2, 8.1.1, 8.2.2 y 8.3.0.
Vulnerabilidad en Wallos de ellite (CVE-2026-30828)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Wallos es un rastreador de suscripciones personal de código abierto y autoalojable. Antes de la versión 4.6.2, el parámetro url podía ser utilizado para recuperar archivos del sistema local. Este problema ha sido parcheado en la versión 4.6.2.
Vulnerabilidad en Checkmate de bluewave-labs (CVE-2026-30829)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Checkmate es una herramienta de código abierto y autoalojada diseñada para rastrear y monitorear el hardware del servidor, el tiempo de actividad, los tiempos de respuesta y los incidentes en tiempo real con hermosas visualizaciones. Antes de la versión 3.4.0, existe una vulnerabilidad de revelación de información no autenticada en el endpoint GET /api/v1/status-page/:url. El endpoint no aplica autenticación ni verifica si una página de estado está publicada antes de devolver los detalles completos de la página de estado. Como resultado, las páginas de estado no publicadas y sus datos internos asociados son accesibles para cualquier usuario no autenticado a través de solicitudes directas a la API. Este problema ha sido parcheado en la versión 3.4.0.
Vulnerabilidad en defuddle de kepano (CVE-2026-30830)
Severidad: BAJA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Defuddle limpia páginas HTML. Antes de la versión 0.9.0, el método _findContentBySchemaText en src/defuddle.ts interpola los atributos src y alt de las imágenes directamente en una cadena HTML sin escapar. Un atacante puede usar una ' en el atributo alt para salir del contexto del atributo e inyectar un gestor de eventos. Este problema ha sido parcheado en la versión 0.9.0.
Vulnerabilidad en Wallos de ellite (CVE-2026-30839)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Wallos es un rastreador de suscripciones personal de código abierto y autoalojable. Antes de la versión 4.6.2, testwebhooknotifications.php no valida la URL de destino frente a rangos de IP privados/reservados, lo que permite un SSRF de lectura completa. La respuesta del servidor se devuelve al llamador. Este problema ha sido parcheado en la versión 4.6.2.
Vulnerabilidad en Wallos de ellite (CVE-2026-30840)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Wallos es un rastreador de suscripciones personal de código abierto y autoalojable. Antes de la versión 4.6.2, existe una vulnerabilidad de falsificación de petición del lado del servidor en los probadores de notificaciones. Este problema ha sido parcheado en la versión 4.6.2.
Vulnerabilidad en Wallos de ellite (CVE-2026-30841)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Wallos es un rastreador de suscripciones personales de código abierto y autoalojable. Antes de la versión 4.6.2, passwordreset.PHP muestra $_GET['token'] y $_GET['email'] directamente en los atributos de valor de entrada HTML usando y sin llamar a htmlspecialchars(). Esto permite XSS reflejado al salir del contexto del atributo. Este problema ha sido parcheado en la versión 4.6.2.
Vulnerabilidad en Wallos de ellite (CVE-2026-30842)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Wallos es un rastreador de suscripciones personal de código abierto y autoalojable. Antes de la versión 4.6.2, Wallos permite a un usuario autenticado eliminar archivos de avatar subidos por otros usuarios. El endpoint de eliminación de avatares no verifica que el avatar solicitado pertenezca al usuario actual. Como resultado, cualquier usuario autenticado que conozca o pueda descubrir el nombre de archivo del avatar subido de otro usuario puede eliminar ese archivo. Este problema ha sido parcheado en la versión 4.6.2.
Vulnerabilidad en backstage (CVE-2026-29186)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Backstage es un framework abierto para construir portales de desarrolladores. Antes de la versión 1.14.3, esta es una vulnerabilidad de omisión de configuración que permite la ejecución de código arbitrario. El paquete @backstage/plugin-techdocs-node utiliza una lista de permitidos para filtrar claves de configuración peligrosas de MkDocs durante el proceso de compilación de la documentación. Una brecha en esta lista de permitidos permite a los atacantes crear un mkdocs.yml que provoca la ejecución de código Python arbitrario, eludiendo completamente los controles de seguridad de TechDocs. Este problema ha sido parcheado en la versión 1.14.3.
Vulnerabilidad en DSA-with-tsx de toxicbishop (CVE-2026-28678)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
DSA Study Hub es una aplicación web educativa interactiva. Antes del commit d527fba, el sistema de autenticación de usuarios en server/routes/auth.js se encontró que era vulnerable a Credenciales Insuficientemente Protegidas. Los tokens de autenticación (JWTs) se almacenaban en cookies HTTP sin protección criptográfica de la carga útil. Este problema ha sido parcheado mediante el commit d527fba.
Vulnerabilidad en karapace de Aiven-Open (CVE-2026-29190)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Karapace es una implementación de código abierto de Kafka REST y Schema Registry. Antes de la versión 6.0.0, existe una vulnerabilidad de salto de ruta en el lector de copias de seguridad (backup/backends/v3/backend.py). Si se proporciona un archivo de copia de seguridad malicioso a Karapace, un atacante puede explotar una validación de ruta insuficiente para realizar una lectura arbitraria de archivos en el sistema donde se ejecuta Karapace. El problema afecta a las implementaciones que utilizan la funcionalidad de copia de seguridad/restauración y procesan copias de seguridad de fuentes no confiables. El impacto depende de los permisos del sistema de archivos del proceso de Karapace. Este problema ha sido parcheado en la versión 6.0.0.
Vulnerabilidad en netmaker de gravitl (CVE-2026-29194)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Netmaker crea redes con WireGuard. Antes de la versión 1.5.0, el middleware Authorize en Netmaker valida incorrectamente los tokens JWT de host. Cuando una ruta permite la autenticación de host (hostAllowed=true), un token de host válido omite todas las comprobaciones de autorización posteriores sin verificar que el host está autorizado para acceder al recurso específico solicitado. Cualquier entidad que posea conocimiento de identificadores de objeto (IDs de nodo, IDs de host) puede elaborar una solicitud con un token de host válido arbitrario para acceder, modificar o eliminar recursos pertenecientes a otros hosts. Los endpoints afectados incluyen la recuperación de información de nodo, la eliminación de host, la transmisión de señal MQTT, las actualizaciones de host de respaldo y las operaciones de conmutación por error. Este problema ha sido parcheado en la versión 1.5.0.
Vulnerabilidad en pyload (CVE-2026-29778)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
pyLoad es un gestor de descargas gratuito y de código abierto escrito en Python. Desde la versión 0.5.0b3.dev13 hasta la 0.5.0b3.dev96, la función edit_package() implementa una sanitización insuficiente para el parámetro pack_folder. La protección actual se basa en un reemplazo de cadena de una sola pasada de '../', que puede ser eludido utilizando secuencias de recorrido recursivo manipuladas. Este problema ha sido parcheado en la versión 0.5.0b3.dev97.
Vulnerabilidad en UptimeFlare de lyc8503 (CVE-2026-29779)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
UptimeFlare es una solución sin servidor de monitoreo de tiempo de actividad y página de estado, impulsada por Cloudflare Workers. Antes del commit 377a596, el archivo de configuración uptime.config.ts exportaba tanto pageConfig (seguro para uso del cliente) como workerConfig (solo para servidor, contiene datos sensibles) desde el mismo módulo. Debido a que pages/incidents.tsx importaba y usaba workerConfig directamente dentro del código del componente del lado del cliente, el objeto workerConfig completo se incluyó en el paquete JavaScript del lado del cliente servido a todos los visitantes. Este problema ha sido parcheado mediante el commit 377a596.
Vulnerabilidad en eml_parser de GOVCERT-LU (CVE-2026-29780)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
eml_parser sirve como un módulo de Python para analizar archivos eml y devolver diversa información encontrada en el correo electrónico, así como información calculada. Antes de la versión 2.0.1, el script de ejemplo oficial examples/recursively_extract_attachments.py contiene una vulnerabilidad de salto de ruta que permite la escritura arbitraria de archivos fuera del directorio de salida previsto. Los nombres de archivo adjuntos extraídos de correos electrónicos analizados se utilizan directamente para construir rutas de archivo de salida sin ninguna sanitización, permitiendo que un nombre de archivo controlado por el atacante escape del directorio de destino. Este problema ha sido parcheado en la versión 2.0.1.
Vulnerabilidad en sliver de BishopFox (CVE-2026-29781)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Sliver es un framework de comando y control que utiliza una pila de red Wireguard personalizada. En versiones desde la 1.7.3 y anteriores, existe una vulnerabilidad en la lógica de desmarshalling de Protobuf del servidor C2 de Sliver debido a una falta sistémica de validación de punteros nulos. Al extraer credenciales de implante válidas y omitir campos anidados en un mensaje firmado, un actor autenticado puede desencadenar un pánico en tiempo de ejecución no manejado. Debido a que las capas de transporte mTLS, WireGuard y DNS carecen del middleware de recuperación de pánico presente en el transporte HTTP, esto resulta en una terminación global del proceso. Si bien requiere acceso post-autenticación (un implante capturado), este fallo actúa efectivamente como un 'kill-switch' de infraestructura, interrumpiendo instantáneamente todas las sesiones activas en toda la flota y requiriendo un reinicio manual del servidor para restaurar las operaciones. En el momento de la publicación, no hay parches disponibles públicamente.
Vulnerabilidad en node-tar de isaacs (CVE-2026-29786)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
node-tar es una implementación completa de Tar para Node.js. Antes de la versión 7.5.10, se puede engañar a tar para que cree un enlace duro que apunte fuera del directorio de extracción utilizando un destino de enlace relativo a la unidad, como C:../target.txt, lo que permite la sobrescritura de archivos fuera del directorio de trabajo actual (cwd) durante la extracción normal de tar.x(). Este problema ha sido parcheado en la versión 7.5.10.
Vulnerabilidad en mcp-memory-service de doobidoo (CVE-2026-29787)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
mcp-memory-service es un backend de memoria de código abierto para sistemas multiagente. Antes de la versión 10.21.0, el endpoint /API/health/detailed devuelve información detallada del sistema, incluyendo la versión del SO, la versión de Python, el número de CPU, los totales de memoria, el uso del disco y la ruta completa del sistema de archivos de la base de datos. Cuando se establece MCP_ALLOW_ANONYMOUS_ACCESS=true (requerido para que el servidor HTTP funcione sin OAuth/clave API), este endpoint es accesible sin autenticación. Combinado con el enlace predeterminado 0.0.0.0, esto expone datos sensibles de reconocimiento a toda la red. Este problema ha sido parcheado en la versión 10.21.0.
Vulnerabilidad en soft-serve de charmbracelet (CVE-2026-30832)
Severidad: CRÍTICA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Soft Serve es un servidor Git autoalojable para la línea de comandos. Desde la versión 0.6.0 hasta antes de la versión 0.11.4, un usuario SSH autenticado puede forzar al servidor a realizar solicitudes HTTP a direcciones IP internas/privadas ejecutando repo import con una URL --lfs-endpoint manipulada. La solicitud de lote inicial es ciega (la respuesta de un endpoint de metadatos no se analizará como JSON LFS válido), pero un atacante que aloja un servidor LFS falso puede encadenar esto en un acceso de lectura completo a servicios internos devolviendo URLs de descarga que apuntan a objetivos internos. Este problema ha sido parcheado en la versión 0.11.4.
Vulnerabilidad en pinchtab (CVE-2026-30834)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
PinchTab es un servidor HTTP independiente que otorga a los agentes de IA control directo sobre un navegador Chrome. Antes de la versión 0.7.7, una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en el endpoint /download permite a cualquier usuario con acceso a la API inducir al servidor PinchTab a realizar peticiones a URLs arbitrarias, incluyendo servicios de red internos y archivos del sistema local, y exfiltrar el contenido completo de la respuesta. Este problema ha sido parcheado en la versión 0.7.7.
Vulnerabilidad en commonmark de thephpleague (CVE-2026-30838)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
league/commonmark es un analizador de Markdown de PHP. Antes de la versión 2.8.1, la extensión DisallowedRawHtml puede ser eludida insertando un salto de línea, una tabulación u otro carácter de espacio en blanco ASCII entre el nombre de una etiqueta HTML no permitida y el signo de cierre >. Por ejemplo, pasaría sin filtrar y sería renderizado como una etiqueta HTML válida por los navegadores. Esto es un vector de cross-site scripting (XSS) para cualquier aplicación que dependa de esta extensión para sanear la entrada de usuario no confiable. Todas las aplicaciones que utilizan la extensión DisallowedRawHtml para procesar markdown no confiable están afectadas. Las aplicaciones que utilizan un saneador de HTML dedicado (como HTML Purifier) en la salida renderizada no están afectadas. Este problema ha sido parcheado en la versión 2.8.1.
Vulnerabilidad en caddyserver (CVE-2026-30851)
Severidad: ALTA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Caddy es una plataforma de servidor extensible que utiliza TLS por defecto. Desde la versión 2.10.0 hasta antes de la versión 2.11.2, forward_auth copy_headers no elimina los encabezados proporcionados por el cliente, permitiendo la inyección de identidad y la escalada de privilegios. Este problema ha sido parcheado en la versión 2.11.2.
Vulnerabilidad en caddyserver (CVE-2026-30852)
Severidad: MEDIA
Fecha de publicación: 07/03/2026
Fecha de última actualización: 11/03/2026
Caddy es una plataforma de servidor extensible que usa TLS por defecto. Desde la versión 2.7.5 hasta antes de la versión 2.11.2, el comparador vars_regexp en vars.go:337 expande doblemente la entrada controlada por el usuario a través del reemplazador de Caddy. Cuando vars_regexp coincide con un marcador de posición como {http.request.header.X-Input}, el valor del encabezado se resuelve una vez (esperado), y luego se pasa por repl.ReplaceAll() de nuevo (el error). Esto significa que un atacante puede colocar {env.DATABASE_URL} o {file./etc /passwd} en un encabezado de solicitud y el servidor lo evaluará, filtrando variables de entorno, contenido de archivos e información del sistema. Este problema ha sido parcheado en la versión 2.11.2.
Vulnerabilidad en MBS (CVE-2025-41754)
Severidad: MEDIA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante remoto de bajo privilegio puede explotar el método ubr-editfile en wwwubr.cgi, un endpoint de API no documentado y sin usar para leer archivos arbitrarios en el sistema.
Vulnerabilidad en MBS (CVE-2025-41755)
Severidad: MEDIA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante remoto con pocos privilegios puede explotar el método ubr-logread en wwwubr.cgi para leer archivos arbitrarios en el sistema. El endpoint acepta un parámetro que especifica el archivo de registro a abrir (por ejemplo, /tmp/weblog{algún_número}), pero este parámetro no se valida correctamente, lo que permite a un atacante modificarlo para hacer referencia a cualquier archivo y recuperar su contenido.
Vulnerabilidad en MBS (CVE-2025-41756)
Severidad: ALTA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante remoto de bajo privilegio puede explotar el método ubr-editfile en wwwubr.cgi, un endpoint de API no documentado y sin usar para escribir archivos arbitrarios en el sistema.
Vulnerabilidad en MBS (CVE-2025-41757)
Severidad: ALTA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante remoto con pocos privilegios puede abusar de la funcionalidad de restauración de copias de seguridad de UBR (ubr-restore), que se ejecuta con privilegios elevados y no valida el contenido del archivo de copia de seguridad, para crear o sobrescribir archivos arbitrarios en cualquier lugar del sistema.
Vulnerabilidad en MBS (CVE-2025-41758)
Severidad: ALTA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante remoto con pocos privilegios puede explotar una vulnerabilidad de escritura de archivos arbitraria en el endpoint wwupload.cgi. Debido al salto de ruta, esto puede llevar a la sobrescritura de archivos arbitrarios en el dispositivo y a lograr un compromiso total del sistema.
Vulnerabilidad en MBS (CVE-2025-41759)
Severidad: MEDIA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un administrador puede intentar bloquear todas las redes especificando '*' o 'all' como el identificador de red. Sin embargo, estos valores no son compatibles y no desencadenan ningún error de validación. En su lugar, se interpretan silenciosamente como la red 0, lo que resulta en que ninguna red sea bloqueada en absoluto.
Vulnerabilidad en MBS (CVE-2025-41760)
Severidad: MEDIA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un administrador puede intentar bloquear todo el tráfico configurando un filtro de paso con una tabla vacía. Sin embargo, en UBR, una lista vacía no impone ninguna restricción y permite que todo el tráfico de red pase sin filtrar.
Vulnerabilidad en MBS (CVE-2025-41761)
Severidad: ALTA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante local con pocos privilegios que obtiene acceso a la cuenta de servicio UBR (p. ej., a través de SSH) puede escalar privilegios para obtener acceso completo al sistema. Esto se debe a que a la cuenta de servicio se le permite ejecutar ciertos binarios (p. ej., tcpdump e ip) con sudo.
Vulnerabilidad en MBS (CVE-2025-41762)
Severidad: MEDIA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante no autenticado puede abusar del hash débil de la copia de seguridad generada por el endpoint wwwdnload.cgi para obtener acceso no autorizado a datos sensibles, incluyendo hashes de contraseñas y certificados.
Vulnerabilidad en MBS (CVE-2025-41763)
Severidad: MEDIA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante remoto de bajos privilegios puede interactuar directamente con el endpoint wwwdnload.cgi para descargar cualquier recurso disponible para los administradores, incluyendo copias de seguridad del sistema y archivos de solicitud de certificados.
Vulnerabilidad en MBS (CVE-2025-41764)
Severidad: CRÍTICA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Debido a una aplicación insuficiente de la autorización, un atacante remoto no autorizado puede explotar el endpoint wwwupdate.cgi para cargar y aplicar actualizaciones arbitrarias.
Vulnerabilidad en MBS (CVE-2025-41765)
Severidad: CRÍTICA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Debido a una aplicación de autorización insuficiente, un atacante remoto no autorizado puede explotar el endpoint wwwupload.cgi para cargar y aplicar datos arbitrarios. Esto incluye, pero no se limita a, imágenes de contacto, certificados HTTPS, copias de seguridad del sistema para restauración, configuraciones de pares de servidor, y certificados y claves de servidor BACnet/SC.
Vulnerabilidad en MBS (CVE-2025-41766)
Severidad: ALTA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante remoto con pocos privilegios puede desencadenar un desbordamiento de búfer basado en pila mediante una solicitud HTTP POST manipulada utilizando el método ubr-network, lo que resulta en el compromiso total del dispositivo.
Vulnerabilidad en MBS (CVE-2025-41767)
Severidad: ALTA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante remoto con altos privilegios puede comprometer completamente el dispositivo abusando de una vulnerabilidad de omisión de firma de actualización en el método wwwupdate.cgi en la interfaz web de UBR.
Vulnerabilidad en MBS (CVE-2025-41772)
Severidad: ALTA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Un atacante remoto no autenticado puede obtener tokens de sesión válidos porque están expuestos en texto plano dentro de los parámetros de la URL del endpoint wwwupdate.cgi en UBR.
Vulnerabilidad en D-Link DIR-513 (CVE-2025-70238)
Severidad: ALTA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Vulnerabilidad de desbordamiento de búfer de pila en D-Link DIR-513 v1.10 a través del parámetro curTime a goform/formSetWAN_Wizard52.
Vulnerabilidad en D-Link DIR-513 (CVE-2025-70243)
Severidad: ALTA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Vulnerabilidad de desbordamiento de búfer de pila en D-Link DIR-513 v1.10 a través del parámetro curTime a goform/formSetWAN_Wizard534.
Vulnerabilidad en D-Link DIR-513 (CVE-2025-70250)
Severidad: ALTA
Fecha de publicación: 09/03/2026
Fecha de última actualización: 11/03/2026
Vulnerabilidad de desbordamiento de búfer de pila en D-Link DIR-513 v1.10 a través del parámetro curTime a goform/formdumpeasysetup.