Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en iOS y iPadOS (CVE-2023-41974)
    Severidad: ALTA
    Fecha de publicación: 10/01/2024
    Fecha de última actualización: 12/03/2026
    Se solucionó un problema de use after free con una gestión de memoria mejorada. Este problema se solucionó en iOS 17 y iPadOS 17. Es posible que una aplicación pueda ejecutar código arbitrario con privilegios del kernel.
  • Vulnerabilidad en tvOS, iOS, iPadOS, macOS Sonoma, Safari, macOS Ventura y macOS Monterey (CVE-2024-23222)
    Severidad: ALTA
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 12/03/2026
    Se solucionó un problema de confusión de tipos con comprobaciones mejoradas. Este problema se solucionó en tvOS 17.3, iOS 17.3 y iPadOS 17.3, macOS Sonoma 14.3, iOS 16.7.5 y iPadOS 16.7.5, Safari 17.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3. El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado.
  • Vulnerabilidad en CodeProjects Restaurant Reservation System v1.0 (CVE-2024-37800)
    Severidad: MEDIA
    Fecha de publicación: 18/06/2024
    Fecha de última actualización: 12/03/2026
    Se descubrió que CodeProjects Restaurant Reservation System v1.0 contiene una vulnerabilidad de cross-site scripting (XSS) reflejado a través del parámetro Fecha en index.php.
  • Vulnerabilidad en Anonymous Restricted Content para WordPress (CVE-2024-11089)
    Severidad: MEDIA
    Fecha de publicación: 21/11/2024
    Fecha de última actualización: 12/03/2026
    El complemento Anonymous Restricted Content para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.6.5 incluida, a través de la función de búsqueda principal de WordPress. Esto permite que atacantes no autenticados extraigan datos confidenciales de publicaciones que han sido restringidas a usuarios registrados.
  • Vulnerabilidad en PcVue (CVE-2026-1692)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Una vulnerabilidad de validación de origen faltante en WebSockets afecta a los servicios web GraphicalData utilizados por las características WebVue, WebScheduler, TouchVue y SnapVue de PcVue en la versión 12.0.0 hasta la 16.3.3 incluida. Podría permitir a un atacante remoto atraer a un usuario autenticado con éxito a un sitio web malicioso. Esta vulnerabilidad solo afecta a los dos siguientes endpoints: GraphicalData/js/signalR/connect y GraphicalData/js/signalR/reconnect.
  • Vulnerabilidad en PcVue (CVE-2026-1693)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    El flujo de tipo de concesión OAuth Credenciales de Contraseña del Propietario del Recurso (ROPC) sigue siendo utilizado por los servicios web utilizados por las características WebVue, WebScheduler, TouchVue y Snapvue de PcVue en la versión 12.0.0 hasta la 16.3.3 incluida a pesar de estar desaprobado. Podría permitir a un atacante remoto robar credenciales de usuario.
  • Vulnerabilidad en PcVue (CVE-2026-1694)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Los encabezados HTTP son añadidos por la configuración predeterminada de IIS y ASP.net, y no son eliminados en la fase de despliegue de los servicios web utilizados por las funcionalidades WebVue, WebScheduler, TouchVue y SnapVue de PcVue desde la versión 12.0.0 hasta la 16.3.3 incluida. Esto expone innecesariamente información sensible sobre la configuración del servidor.
  • Vulnerabilidad en PcVue (CVE-2026-1695)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Una vulnerabilidad XSS afecta los servicios web OAuth utilizados por las características WebVue, WebScheduler, TouchVue y SnapVue de PcVue en la versión 12.0.0 hasta la 16.3.3 incluida. Podría permitir a un atacante remoto engañar a un usuario legítimo para que cargue contenido de otro sitio tras una autenticación de usuario fallida en una aplicación desconocida (client_id desconocido). Esta vulnerabilidad solo afecta la página de error del servidor OAuth.
  • Vulnerabilidad en PcVue (CVE-2026-1696)
    Severidad: BAJA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Algunas cabeceras de seguridad HTTP no se establecen correctamente por el servidor web al enviar respuestas a la aplicación cliente.
  • Vulnerabilidad en PcVue (CVE-2026-1697)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Faltan los atributos Secure y SameSite en los servicios web GraphicalData y la aplicación web WebClient de PcVue en las versiones 12.0.0 hasta la 16.3.3 incluida.
  • Vulnerabilidad en PcVue (CVE-2026-1698)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Una vulnerabilidad de ataque de encabezado Host HTTP afecta a las aplicaciones web WebClient y WebScheduler de PcVue en las versiones 15.0.0 hasta la 16.3.3 incluidas, permitiendo a un atacante remoto inyectar cargas útiles maliciosas que manipulan el comportamiento del lado del servidor. Esta vulnerabilidad solo afecta a los puntos finales /Authentication/ExternalLogin, /Authentication/AuthorizationCodeCallback y /Authentication/Logout de las aplicaciones web WebClient y WebScheduler.
  • Vulnerabilidad en Cloudflare (CVE-2026-2833)
    Severidad: CRÍTICA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 12/03/2026
    Se encontró una vulnerabilidad de contrabando de solicitudes HTTP (CWE-444) en el manejo de Pingora de las actualizaciones de conexión HTTP/1.1. El problema ocurre cuando un proxy de Pingora lee una solicitud que contiene un encabezado Upgrade, haciendo que el proxy pase el resto de los bytes de la conexión a un backend antes de que el backend haya aceptado la actualización. Un atacante puede así reenviar directamente una carga útil maliciosa después de una solicitud con un encabezado Upgrade a ese backend de una manera que puede ser interpretada como un encabezado de solicitud subsiguiente, eludiendo los controles de seguridad a nivel de proxy y permitiendo el secuestro de sesión entre usuarios. Impacto Esta vulnerabilidad afecta principalmente a implementaciones de Pingora independientes donde un proxy de Pingora está expuesto al tráfico externo. Un atacante podría explotar esto para: * Eludir los controles ACL a nivel de proxy y la lógica WAF * Envenenar cachés y conexiones ascendentes, haciendo que las solicitudes subsiguientes de usuarios legítimos reciban respuestas destinadas a solicitudes de contrabando * Realizar ataques entre usuarios secuestrando sesiones o contrabandeando solicitudes que parecen originarse de la IP del proxy de confianza La infraestructura CDN de Cloudflare no se vio afectada por esta vulnerabilidad, ya que los proxies de entrada en la pila CDN mantienen límites de análisis HTTP adecuados y no cambian prematuramente al modo de reenvío de conexión actualizada. Mitigación: Los usuarios de Pingora deberían actualizar a Pingora v0.8.0 o superior Como solución alternativa, los usuarios pueden devolver un error en solicitudes con el encabezado Upgrade presente en su lógica de filtro de solicitudes para detener el procesamiento de bytes más allá del encabezado de la solicitud y deshabilitar la reutilización de la conexión descendente.
  • Vulnerabilidad en Cloudflare (CVE-2026-2835)
    Severidad: CRÍTICA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 12/03/2026
    Una vulnerabilidad de contrabando de solicitudes HTTP (CWE-444) ha sido encontrada en el análisis de Pingora de solicitudes HTTP/1.0 y Transfer-Encoding. El problema ocurre debido a permitir incorrectamente que los cuerpos de solicitudes HTTP/1.0 sean delimitados por cierre y al manejo incorrecto de múltiples valores de Transfer-Encoding, permitiendo a los atacantes enviar solicitudes HTTP/1.0 de una manera que desincronizaría el encuadre de solicitudes de Pingora con el de los servidores backend. Impacto Esta vulnerabilidad afecta principalmente a implementaciones de Pingora independientes frente a ciertos backends que aceptan solicitudes HTTP/1.0. Un atacante podría crear una carga útil maliciosa siguiendo esta solicitud que Pingora reenvía al backend con el fin de: * Omitir los controles ACL a nivel de proxy y la lógica WAF * Envenenar cachés y conexiones ascendentes, causando que solicitudes posteriores de usuarios legítimos reciban respuestas destinadas a solicitudes de contrabando * Realizar ataques entre usuarios secuestrando sesiones o contrabandeando solicitudes que parecen originarse de la IP del proxy de confianza La infraestructura CDN de Cloudflare no se vio afectada por esta vulnerabilidad, ya que sus capas de proxy de entrada solo reenviaban solicitudes HTTP/1.1, rechazaban el encuadre ambiguo, como valores Content-Length inválidos, y reenviaban un único encabezado Transfer-Encoding: chunked para solicitudes chunked. Mitigación: Los usuarios de Pingora deberían actualizar a Pingora v0.8.0 o superior que corrige este problema analizando correctamente los encabezados de longitud de mensaje según RFC 9112 y adhiriéndose estrictamente a más directrices de RFC, incluyendo que los cuerpos de solicitudes HTTP nunca son delimitados por cierre. Como solución alternativa, los usuarios pueden rechazar ciertas solicitudes con un error en la lógica del filtro de solicitudes con el fin de detener el procesamiento de bytes en la conexión y deshabilitar la reutilización de la conexión descendente. El usuario debería rechazar cualquier solicitud que no sea HTTP/1.1, o una solicitud que tenga Content-Length inválido, múltiples encabezados Transfer-Encoding, o un encabezado Transfer-Encoding que no sea una coincidencia exacta de la cadena 'chunked'.
  • Vulnerabilidad en Cloudflare (CVE-2026-2836)
    Severidad: ALTA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 12/03/2026
    Se ha encontrado una vulnerabilidad de envenenamiento de caché en la construcción predeterminada de clave de caché del framework de proxy HTTP Pingora. El problema ocurre porque la implementación predeterminada de clave de caché HTTP genera claves de caché usando solo la ruta URI, excluyendo factores críticos como el encabezado de host (autoridad). Los operadores que dependen del valor predeterminado son vulnerables al envenenamiento de caché, y las respuestas de origen cruzado pueden ser servidas incorrectamente a los usuarios. Impacto Esta vulnerabilidad afecta a los usuarios de la característica de almacenamiento en caché de proxy alfa de Pingora que dependían de la implementación predeterminada de CacheKey. Un atacante podría explotar esto para: * Fuga de datos entre inquilinos: En implementaciones multi-inquilino, envenenar la caché para que los usuarios de un inquilino reciban respuestas en caché de otro inquilino * Ataques de envenenamiento de caché: Servir contenido malicioso a usuarios legítimos envenenando entradas de caché compartidas La infraestructura CDN de Cloudflare no se vio afectada por esta vulnerabilidad, ya que la implementación predeterminada de clave de caché de Cloudflare utiliza múltiples factores para prevenir el envenenamiento de clave de caché y nunca hizo uso del valor predeterminado proporcionado anteriormente. Mitigación: Recomendamos encarecidamente a los usuarios de Pingora que actualicen a Pingora v0.8.0 o superior, lo que elimina la implementación predeterminada insegura de clave de caché. Los usuarios ahora deben implementar explícitamente su propia función de devolución de llamada que incluya factores apropiados como el encabezado Host, el esquema HTTP del servidor de origen y otros atributos en los que su caché debería variar. Los usuarios de Pingora en versiones anteriores también pueden eliminar cualquier uso de su CacheKey predeterminada e implementar la suya propia que debería incluir como mínimo el encabezado de host / autoridad y el esquema HTTP del par ascendente.
  • Vulnerabilidad en Acronis (CVE-2026-28716)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    Revelación de información y manipulación debido a comprobaciones de autorización incorrectas. Los siguientes productos están afectados: Acronis Cyber Protect 17 (Linux, Windows) anterior a la compilación 41186.
  • Vulnerabilidad en Acronis (CVE-2026-28718)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    Denegación de servicio debido a insuficiente validación de entrada en el registro de autenticación. Los siguientes productos están afectados: Acronis Cyber Protect 17 (Linux, Windows) anterior a la compilación 41186.
  • Vulnerabilidad en MarkUs (CVE-2026-25962)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    MarkUs es una aplicación web para la entrega y calificación de tareas de estudiantes. Antes de la versión 2.9.4, MarkUs actualmente extrae archivos zip sin límites de tamaño o de número de entradas. Por ejemplo, los instructores pueden subir un archivo zip para proporcionar una configuración de tarea; los estudiantes pueden subir un archivo zip para la entrega de una tarea e indicar que su contenido debe ser extraído. Este problema ha sido parcheado en la versión 2.9.4.
  • Vulnerabilidad en MarkUs (CVE-2026-27807)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    MarkUs es una aplicación web para la entrega y calificación de tareas de estudiantes. Antes de la versión 2.9.4, MarkUs permite a los instructores del curso cargar archivos YAML para crear/actualizar varias entidades (por ejemplo, configuraciones de tareas). Estos archivos YAML se analizan con alias habilitados. Este problema ha sido parcheado en la versión 2.9.4.
  • Vulnerabilidad en OliveTin (CVE-2026-30223)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    OliveTin da acceso a comandos shell predefinidos desde una interfaz web. Antes de la versión 3000.11.1, cuando la autenticación JWT está configurada usando 'authJwtPubKeyPath' (clave pública RSA local) o 'authJwtHmacSecret' (secreto HMAC), el valor de audiencia configurado (authJwtAud) no se aplica durante el análisis del token. Como resultado, los tokens JWT firmados válidamente con una declaración 'aud' incorrecta son aceptados para la autenticación. Esto permite la autenticación usando tokens destinados a una audiencia/servicio diferente. Este problema ha sido parcheado en la versión 3000.11.1.
  • Vulnerabilidad en OliveTin (CVE-2026-30224)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    OliveTin da acceso a comandos shell predefinidos desde una interfaz web. Antes de la versión 3000.11.1, OliveTin no revoca las sesiones del lado del servidor cuando un usuario cierra sesión. Aunque la cookie del navegador se borra, la sesión correspondiente permanece válida en el almacenamiento del servidor hasta su caducidad (por defecto ? 1 año). Un atacante con una cookie de sesión previamente robada o capturada puede continuar autenticándose después de cerrar sesión, lo que resulta en una omisión de autenticación posterior al cierre de sesión. Esto es una falla de gestión de sesiones que viola la semántica esperada del cierre de sesión. Este problema ha sido parcheado en la versión 3000.11.1.
  • Vulnerabilidad en OliveTin (CVE-2026-30225)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    OliveTin da acceso a comandos shell predefinidos desde una interfaz web. Antes de la versión 3000.11.1, una vulnerabilidad de confusión de contexto de autenticación en RestartAction permite a un usuario autenticado con bajos privilegios ejecutar acciones que no tiene permitido ejecutar. RestartAction construye una nueva connect.Request interna sin preservar los encabezados de autenticación o las cookies del llamador original. Cuando esta solicitud sintética se pasa a StartAction, el resolvedor de autenticación recurre al usuario invitado. Si la cuenta de invitado tiene permisos más amplios que el llamador autenticado, esto resulta en escalada de privilegios y ejecución de comandos no autorizada. Esta vulnerabilidad permite a un usuario autenticado con bajos privilegios eludir las restricciones de ACL y ejecutar acciones shell configuradas arbitrarias. Este problema ha sido parcheado en la versión 3000.11.1.
  • Vulnerabilidad en MimeKit de jstedfast (CVE-2026-30227)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    MimeKit es una librería C# que puede ser utilizada para la creación y el análisis de mensajes utilizando la Extensión de Correo de Internet Multipropósito (MIME), tal como lo definen numerosas especificaciones del IETF. Antes de la versión 4.15.1, una vulnerabilidad de inyección CRLF en MimeKit permite a un atacante incrustar \r\n en la parte local de la dirección del sobre SMTP (cuando la parte local es una cadena entre comillas). Esto no cumple con la RFC 5321 y puede resultar en inyección de comandos SMTP (por ejemplo, inyectando comandos RCPT a / DATA / RSET adicionales) y/o inyección de encabezados de correo, dependiendo de cómo la aplicación utilice MailKit/MimeKit para construir y enviar mensajes. El problema se vuelve explotable cuando el atacante puede influir en un valor de MailboxAddress (MAIL FROM / RCPT TO) que luego se serializa a una sesión SMTP. La RFC 5321 define explícitamente la gramática de la parte local del buzón SMTP y no permite CR (13) o LF (10) dentro de Quoted-string (los rangos qtextSMTP y quoted-pairSMTP excluyen caracteres de control). Los comandos SMTP son terminados por , haciendo que la inyección CRLF en los argumentos de los comandos sea particularmente peligrosa. Este problema ha sido parcheado en la versión 4.15.1.
  • Vulnerabilidad en OliveTin (CVE-2026-30233)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    OliveTin permite el acceso a comandos shell predefinidos desde una interfaz web. Antes de la versión 3000.11.1, una falla de autorización en OliveTin permite a usuarios autenticados con permiso view: false enumerar enlaces de acción y metadatos a través de los puntos finales del panel de control y la API. Aunque la ejecución (exec) puede ser denegada correctamente, el backend no aplica IsAllowedView() al construir las respuestas del panel de control y los enlaces de acción. Como resultado, los usuarios restringidos pueden recuperar títulos de acción, IDs, iconos y metadatos de argumentos. Este problema ha sido parcheado en la versión 3000.11.1.
  • Vulnerabilidad en mercurius de mercurius-js (CVE-2026-30241)
    Severidad: BAJA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    Mercurius es un adaptador GraphQL para Fastify. Antes de la versión 16.8.0, Mercurius no aplica el límite de queryDepth configurado en las consultas de suscripción GraphQL recibidas a través de conexiones WebSocket. La verificación de profundidad se aplica correctamente a las consultas y mutaciones HTTP, pero las consultas de suscripción se analizan y ejecutan sin invocar la validación de profundidad. Esto permite a un cliente remoto enviar consultas de suscripción anidadas arbitrariamente profundas a través de WebSocket, eludiendo la restricción de profundidad prevista. En esquemas con tipos recursivos, esto puede llevar a una denegación de servicio a través de la resolución exponencial de datos en cada evento de suscripción. Este problema ha sido parcheado en la versión 16.8.0.
  • Vulnerabilidad en XikeStor SKS8310-8X (CVE-2026-25070)
    Severidad: CRÍTICA
    Fecha de publicación: 07/03/2026
    Fecha de última actualización: 12/03/2026
    Las versiones de firmware 1.04.B07 y anteriores del switch de red XikeStor SKS8310-8X contienen una vulnerabilidad de inyección de comandos del sistema operativo en el endpoint /goform/PingTestSet que permite a atacantes remotos no autenticados ejecutar comandos arbitrarios del sistema operativo. Los atacantes pueden inyectar comandos maliciosos a través del parámetro destIp para lograr la ejecución remota de código con privilegios de root en el switch de red.
  • Vulnerabilidad en XikeStor SKS8310-8X switch_config.src Missing Authentication (CVE-2026-25071)
    Severidad: ALTA
    Fecha de publicación: 07/03/2026
    Fecha de última actualización: 12/03/2026
    Las versiones de firmware 1.04.B07 y anteriores del switch de red XikeStor SKS8310-8X contienen una vulnerabilidad de autenticación faltante en el endpoint /switch_config.src que permite a atacantes remotos no autenticados descargar archivos de configuración del dispositivo. Los atacantes pueden acceder a este endpoint sin credenciales para recuperar información de configuración sensible, incluyendo la configuración de VLAN y detalles de direccionamiento IP.
  • Vulnerabilidad en XikeStor SKS8310-8X (CVE-2026-25072)
    Severidad: ALTA
    Fecha de publicación: 07/03/2026
    Fecha de última actualización: 12/03/2026
    Las versiones de firmware 1.04.B07 y anteriores del switch de red XikeStor SKS8310-8X contienen una vulnerabilidad de identificador de sesión predecible en el endpoint /goform/SetLogin que permite a atacantes remotos secuestrar sesiones autenticadas. Los atacantes pueden predecir identificadores de sesión utilizando valores de cookie insuficientemente aleatorios y explotar parámetros de sesión expuestos en las URL para obtener acceso no autorizado a sesiones de usuario autenticadas.
  • Vulnerabilidad en XikeStor SKS8310-8X de Anhui Seeker Electronic Technology Co., LTD. (CVE-2026-25073)
    Severidad: MEDIA
    Fecha de publicación: 07/03/2026
    Fecha de última actualización: 12/03/2026
    Las versiones de firmware 1.04.B07 y anteriores del switch de red XikeStor SKS8310-8X contienen una vulnerabilidad de cross-site scripting almacenado que permite a atacantes autenticados inyectar contenido de script arbitrario a través del campo Nombre del Sistema. Los atacantes pueden inyectar scripts maliciosos que se ejecutan en el navegador de una víctima cuando se visualiza el valor almacenado debido a una codificación de salida incorrecta.
  • Vulnerabilidad en netmaker de gravitl (CVE-2026-29771)
    Severidad: ALTA
    Fecha de publicación: 07/03/2026
    Fecha de última actualización: 12/03/2026
    Netmaker crea redes con WireGuard. Antes de la versión 1.2.0, el endpoint /API/servidor/shutdown permite la terminación del proceso del servidor Netmaker a través de syscall.SIGINT. Esto permite a cualquier usuario apagar repetidamente el servidor, causando una denegación de servicio cíclica con intervalos de reinicio de aproximadamente 3 segundos. Este problema ha sido parcheado en la versión 1.2.0.
  • Vulnerabilidad en netmaker de gravitl (CVE-2026-29195)
    Severidad: MEDIA
    Fecha de publicación: 07/03/2026
    Fecha de última actualización: 12/03/2026
    Netmaker crea redes con WireGuard. Antes de la versión 1.5.0, el gestor de actualización de usuarios (PUT /api/users/{username}) carece de validación para evitar que un usuario con rol de administrador asigne el rol de superadministrador durante las actualizaciones de cuenta. Si bien el código bloquea correctamente que un administrador asigne el rol de administrador a otro usuario, no incluye una verificación equivalente para el rol de superadministrador. Este problema ha sido parcheado en la versión 1.5.0.
  • Vulnerabilidad en netmaker de gravitl (CVE-2026-29196)
    Severidad: ALTA
    Fecha de publicación: 07/03/2026
    Fecha de última actualización: 12/03/2026
    Netmaker crea redes con WireGuard. Antes de la versión 1.5.0, un usuario asignado al rol de usuario 'platform-user' puede recuperar las claves privadas de WireGuard de todas las configuraciones de WireGuard en una red al llamar a GET /api/extclients/{network} o GET /api/nodes/{network}. Si bien la interfaz de usuario de Netmaker restringe la visibilidad, los endpoints de la API devuelven registros completos, incluyendo las claves privadas, sin filtrar basándose en la propiedad del usuario solicitante. Este problema ha sido parcheado en la versión 1.5.0.
  • Vulnerabilidad en oneuptime de OneUptime (CVE-2026-30956)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    OneUptime es una solución para monitorear y gestionar servicios en línea. Antes de la 10.0.21, un usuario con bajos privilegios puede eludir la autorización y el aislamiento de inquilinos en OneUptime v10.0.20 y versiones anteriores enviando un encabezado 'is-multi-tenant-query' falsificado junto con un encabezado 'projectid' controlado. Debido a que el servidor confía en este encabezado proporcionado por el cliente, se omiten las comprobaciones de permisos internas en BasePermission y el alcance de inquilinos se deshabilita. Esto permite a los atacantes acceder a datos de proyectos pertenecientes a otros inquilinos, leer campos de usuario sensibles a través de relaciones anidadas, filtrar el 'resetPasswordToken' en texto plano, y restablecer la contraseña de la víctima y tomar el control total de la cuenta. Esto resulta en exposición de datos entre inquilinos y una toma de control total de la cuenta. Esta vulnerabilidad se corrige en la 10.0.21.
  • Vulnerabilidad en oneuptime de OneUptime (CVE-2026-30957)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    OneUptime es una solución para monitorear y gestionar servicios en línea. Antes de la versión 10.0.21, los Monitores Sintéticos de OneUptime permiten a un usuario de proyecto autenticado con bajos privilegios ejecutar comandos arbitrarios en el servidor/contenedor oneuptime-probe. La causa raíz es que el código no confiable del Monitor Sintético se ejecuta dentro de la vm de Node mientras que objetos de navegador y página de Playwright del reino del host en vivo están expuestos a él. Un usuario malicioso puede llamar a las API de Playwright en el objeto de navegador inyectado y hacer que la sonda genere un ejecutable controlado por el atacante. Este es un problema de ejecución remota de código de lado del servidor. No requiere un escape de sandbox de vm separado. Esta vulnerabilidad está corregida en la versión 10.0.21.
  • Vulnerabilidad en oneuptime de OneUptime (CVE-2026-30958)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    OneUptime es una solución para monitorear y gestionar servicios en línea. Antes de 10.0.21, un salto de ruta no autenticado en el endpoint /workflow/docs/:componentName permite la lectura de archivos arbitrarios del sistema de archivos del servidor. El parámetro de ruta componentName se concatena directamente en una ruta de archivo pasada a res.sendFile() en orker/FeatureSet/Workflow/Index.ts sin saneamiento ni middleware de autenticación. Esta vulnerabilidad se corrige en 10.0.21.
  • Vulnerabilidad en oneuptime de OneUptime (CVE-2026-30959)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    OneUptime es una solución para monitorear y gestionar servicios en línea. El endpoint resend-verification-code permite a cualquier usuario autenticado activar un reenvío de código de verificación para cualquier registro de UserWhatsApp por ID. La propiedad no se valida (a diferencia del endpoint verify). Esto afecta al endpoint UserWhatsAppAPI.ts y al servicio UserWhatsAppService.ts.
  • Vulnerabilidad en Desktop and Server Management de Ivanti (CVE-2026-3483)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Un método peligroso expuesto en Ivanti DSM antes de la versión 2026.1.1 permite a un atacante local autenticado escalar sus privilegios.
  • Vulnerabilidad en Firefox (CVE-2026-3845)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Desbordamiento de búfer de montón en el componente Audio/Video: Reproducción en Firefox para Android. Esta vulnerabilidad afecta a Firefox < 148.0.2.
  • Vulnerabilidad en PX4 Autopilot (CVE-2026-26741)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Las versiones del piloto automático PX4 de la 1.12.x a la 1.15.x contienen un fallo lógico en el mecanismo de cambio de modo. Al cambiar del modo automático al modo manual mientras el dron está en estado 'ARMADO' (después del aterrizaje y antes del desarmado automático activado por el parámetro COM_DISARM_LAND), el sistema carece de una comprobación de seguridad del umbral del acelerador para la palanca física del acelerador. Este fallo puede causar directamente que el dron pierda el control, experimente un ascenso rápido e incontrolado (flyaway) y provoque daños a la propiedad.
  • Vulnerabilidad en Autopiloto PX4 (CVE-2026-26742)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Las versiones 1.12.x a 1.15.x del Autopiloto PX4 contienen un fallo en el mecanismo de protección en la lógica del 'Período de Gracia de Rearmado'. El sistema aplica incorrectamente la lógica de rearmado de emergencia en vuelo a escenarios en tierra. Si un piloto cambia al modo Manual y rearma en un plazo de 5 segundos (configuración predeterminada) después de un aterrizaje automático, el sistema omite todas las comprobaciones de seguridad previas al vuelo, incluida la comprobación del umbral del acelerador. Esto permite un despegue inmediato con alto empuje si se eleva la palanca del acelerador, lo que lleva a la pérdida de control.
  • Vulnerabilidad en Substance3D (CVE-2026-27275)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Las versiones 3.1.7 y anteriores de Substance3D - Stager están afectadas por una vulnerabilidad de escritura fuera de límites que podría resultar en ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en SDK de DNG (CVE-2026-27280)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Las versiones 1.7.1 2471 y anteriores del DNG SDK están afectadas por una vulnerabilidad de escritura fuera de límites que podría resultar en ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere interacción del usuario en el sentido de que una víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en SDK de DNG (CVE-2026-27281)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Las versiones 1.7.1 2471 y anteriores del SDK de DNG se ven afectadas por una vulnerabilidad de desbordamiento de entero o ajuste que podría provocar una denegación de servicio de la aplicación. Un atacante podría explotar esta vulnerabilidad para provocar que la aplicación falle o deje de responder. La explotación de este problema requiere interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en simple-git (CVE-2026-28292)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    simple-git, una interfaz para ejecutar comandos git en cualquier aplicación node.js, tiene un problema en las versiones 3.15.0 a la 3.32.2 que permite a un atacante eludir dos correcciones CVE previas (CVE-2022-25860 y CVE-2022-25912) y lograr la ejecución remota de código completa en la máquina anfitriona. La versión 3.23.0 contiene una corrección actualizada para la vulnerabilidad.
  • Vulnerabilidad en IBM Aspera Orchestrator (CVE-2025-13219)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    IBM Aspera Orchestrator 3.0.0 hasta 4.1.2 almacena información sensible en parámetros de URL. Esto puede llevar a la revelación de información si partes no autorizadas tienen acceso a las URL a través de los registros del servidor, el encabezado referrer o el historial del navegador.
  • Vulnerabilidad en IBM Aspera Faspex (CVE-2025-36226)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    IBM Aspera Faspex 5 5.0.0 hasta 5.0.14.3 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a un usuario autenticado incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría llevar a la divulgación de credenciales dentro de una sesión de confianza.
  • Vulnerabilidad en IBM Aspera Faspex (CVE-2025-36227)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    IBM Aspera Faspex 5 5.0.0 hasta 5.0.14.3 es vulnerable a la inyección de encabezados HTTP, causada por una validación incorrecta de la entrada por parte de los encabezados HOST. Esto podría permitir a un atacante llevar a cabo varios ataques contra el sistema vulnerable, incluyendo cross-site scripting, envenenamiento de caché o secuestro de sesión.
  • Vulnerabilidad en Craft (CVE-2026-29113)
    Severidad: BAJA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Craft es un sistema de gestión de contenido (CMS). Antes de 4.17.4 y 5.9.7, Craft CMS tiene un problema de CSRF en el endpoint de token de vista previa en /actions/preview/create-token. El endpoint acepta un previewToken suministrado por el atacante. Debido a que la acción no requiere POST y no impone un token CSRF, un atacante puede forzar a un editor víctima que ha iniciado sesión a acuñar un token de vista previa elegido por el atacante. Ese token puede ser usado entonces por el atacante (sin autenticación) para acceder a contenido previsualizado/no publicado vinculado al alcance de vista previa autorizado de la víctima. Esta vulnerabilidad está corregida en 4.17.4 y 5.9.7.
  • Vulnerabilidad en IBM Aspera Orchestrator (CVE-2025-13213)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    IBM Aspera Orchestrator 3.0.0 hasta 4.1.2 es vulnerable a la inyección de encabezados HTTP, causada por la validación inadecuada de la entrada por parte de los encabezados HOST. Esto podría permitir a un atacante llevar a cabo varios ataques contra el sistema vulnerable, incluyendo cross-site scripting, envenenamiento de caché o secuestro de sesión.