Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en gradle-completion (CVE-2026-25063)
    Severidad: ALTA
    Fecha de publicación: 29/01/2026
    Fecha de última actualización: 12/03/2026
    gradle-completion proporciona soporte de autocompletado para Bash y Zsh para Gradle. Una vulnerabilidad de inyección de comandos fue encontrada en gradle-completion hasta la versión 9.3.0 inclusive que permite la ejecución de código arbitrario cuando un usuario activa el autocompletado de tabulación de Bash en un proyecto que contiene un archivo de compilación Gradle malicioso. El script 'gradle-completion' para Bash no logra sanitizar adecuadamente los nombres y descripciones de las tareas de Gradle, permitiendo la inyección de comandos a través de un archivo de compilación Gradle malicioso cuando el usuario completa un comando en Bash (sin que ejecuten explícitamente ninguna tarea en la compilación). Por ejemplo, dada una descripción de tarea que incluye una cadena entre comillas invertidas, entonces esa cadena sería evaluada como un comando al presentar la descripción de la tarea en la lista de autocompletado. Si bien la ejecución de tareas es la característica principal de Gradle, esta ejecución inherente puede llevar a resultados inesperados. La vulnerabilidad no afecta al autocompletado de zsh. La primera versión parcheada es la 9.3.1. Como solución alternativa, es posible y efectivo deshabilitar temporalmente el autocompletado de Bash para Gradle eliminando 'gradle-completion' de '.bashrc' o '.bash_profile'.
  • Vulnerabilidad en Online-Exam-System 2015 (CVE-2020-37051)
    Severidad: ALTA
    Fecha de publicación: 30/01/2026
    Fecha de última actualización: 12/03/2026
    Online-Exam-System 2015 contiene una vulnerabilidad de inyección SQL ciega basada en tiempo en el formulario de comentarios que permite a los atacantes extraer hashes de contraseñas de la base de datos. Los atacantes pueden explotar el endpoint 'feed.php' mediante la creación de solicitudes de carga útil maliciosas que utilizan retrasos de tiempo para enumerar sistemáticamente los caracteres de las contraseñas de los usuarios.
  • Vulnerabilidad en Online-Exam-System 2015 (CVE-2020-37057)
    Severidad: ALTA
    Fecha de publicación: 30/01/2026
    Fecha de última actualización: 12/03/2026
    Online-Exam-System 2015 contiene una vulnerabilidad de inyección SQL en el módulo de comentarios que permite a los atacantes manipular consultas de base de datos a través del parámetro 'fid'. Los atacantes pueden inyectar código SQL malicioso en el parámetro 'fid' para potencialmente extraer, modificar o eliminar información de la base de datos.
  • Vulnerabilidad en thesystem (CVE-2019-25311)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 12/03/2026
    La versión 1.0 de thesystem contiene una vulnerabilidad de cross-site scripting persistente que permite a los atacantes inyectar scripts maliciosos a través de múltiples campos de entrada de datos del servidor. Los atacantes pueden enviar cargas útiles de scripts manipuladas en los parámetros operating_system, system_owner, system_username, system_password, system_description y server_name para ejecutar JavaScript arbitrario en los navegadores de las víctimas.
  • Vulnerabilidad en pretix-newsletter de pretix (CVE-2026-2452)
    Severidad: ALTA
    Fecha de publicación: 16/02/2026
    Fecha de última actualización: 12/03/2026
    Los correos electrónicos enviados por pretix pueden utilizar marcadores de posición que se rellenarán con datos del cliente. Por ejemplo, cuando se utiliza {name} en una plantilla de correo electrónico, se reemplazará con el nombre del comprador para el correo electrónico final. Este mecanismo contenía un error de seguridad relevante: Era posible exfiltrar información sobre el sistema pretix a través de nombres de marcadores de posición especialmente diseñados, como {{event.__init__.__code__.co_filename}}. De esta manera, un atacante con la capacidad de controlar plantillas de correo electrónico (normalmente cualquier usuario del backend de pretix) podría recuperar información sensible de la configuración del sistema, incluyendo incluso contraseñas de base de datos o claves API. pretix sí incluye mecanismos para evitar el uso de tales marcadores de posición maliciosos, sin embargo, debido a un error en el código, no fueron completamente efectivos para este plugin. Por precaución, recomendamos que rote todas las contraseñas y claves API contenidas en su archivo pretix.cfg https://docs.pretix.eu/self-hosting/config/.
  • Vulnerabilidad en Pi-hole Web Interface (CVE-2026-26952)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 12/03/2026
    La Interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación de bloqueo de anuncios y rastreadores de internet a nivel de red. Las versiones 6.4 e inferiores son vulnerables a la inyección de HTML almacenado a través de la página de configuración de registros DNS locales, lo que permite a un administrador autenticado inyectar código que se almacena en la configuración de Pi-hole y se renderiza cada vez que se visualiza la tabla de registros DNS. La función populateDataTable() contiene una variable de datos con el valor completo del registro DNS exactamente como lo introdujo el usuario y devuelto por la API. Este valor se inserta directamente en el atributo HTML data-tag sin ningún escape o sanitización de caracteres especiales. Cuando un atacante proporciona un valor que contiene comillas dobles ("), pueden 'cerrar' prematuramente el atributo data-tag e inyectar atributos HTML adicionales en el elemento. Dado que Pi-hole implementa una Política de Seguridad de Contenido (CSP) que bloquea JavaScript en línea, el impacto es limitado. Este problema ha sido solucionado en la versión 6.4.1.
  • Vulnerabilidad en Pi-hole Web Interface (CVE-2026-26953)
    Severidad: MEDIA
    Fecha de publicación: 19/02/2026
    Fecha de última actualización: 12/03/2026
    La Interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación de bloqueo de anuncios y rastreadores de internet a nivel de red. Las versiones 6.0 y superiores tienen una vulnerabilidad de inyección HTML almacenada en la tabla de sesiones activas ubicada en la página de configuración de la API, permitiendo a un atacante con credenciales válidas inyectar código HTML arbitrario que se renderizará en el navegador de cualquier administrador que visite la página de sesiones activas. La función rowCallback contiene el valor data.x_forwarded_for, que se concatena directamente en una cadena HTML y se inserta en el DOM utilizando el método .html() de jQuery. Este método interpreta el contenido como HTML, lo que significa que cualquier etiqueta HTML presente en el valor será analizada y renderizada por el navegador. Un atacante puede usar herramientas comunes como curl, wget, Python requests, Burp Suite, o incluso JavaScript fetch() para enviar una solicitud de autenticación con una cabecera X-Forwarded-For que contiene código HTML malicioso en lugar de una dirección IP legítima. Dado que Pi-hole implementa una Política de Seguridad de Contenido (CSP) que bloquea JavaScript en línea, el impacto se limita a la inyección de HTML puro sin la capacidad de ejecutar scripts. Este problema ha sido solucionado en la versión 6.4.1.
  • Vulnerabilidad en Acronis (CVE-2025-30411)
    Severidad: CRÍTICA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 12/03/2026
    Divulgación y manipulación de datos sensibles debido a una autenticación incorrecta. Los siguientes productos están afectados: Acronis Cyber Protect 16 (Linux, Windows) antes de la compilación 39938, Acronis Cyber Protect 15 (Linux, Windows) antes de la compilación 41800.
  • Vulnerabilidad en Acronis (CVE-2025-30412)
    Severidad: CRÍTICA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 12/03/2026
    Divulgación y manipulación de datos sensibles debido a autenticación incorrecta. Los siguientes productos se ven afectados: Acronis Cyber Protect 16 (Linux, Windows) antes de la compilación 39938, Acronis Cyber Protect 15 (Linux, Windows) antes de la compilación 41800.
  • Vulnerabilidad en Acronis (CVE-2025-30416)
    Severidad: CRÍTICA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 12/03/2026
    Divulgación y manipulación de datos sensibles debido a la falta de autorización. Los siguientes productos están afectados: Acronis Cyber Protect 16 (Linux, Windows) anterior a la compilación 39938, Acronis Cyber Protect 15 (Linux, Windows) anterior a la compilación 41800.
  • Vulnerabilidad en thesystem (CVE-2019-25441)
    Severidad: CRÍTICA
    Fecha de publicación: 20/02/2026
    Fecha de última actualización: 12/03/2026
    thesystem 1.0 contiene una vulnerabilidad de inyección de comandos que permite a atacantes no autenticados ejecutar comandos de sistema arbitrarios al enviar entrada maliciosa al endpoint run_command. Los atacantes pueden enviar solicitudes POST con comandos de shell en el parámetro command para ejecutar código arbitrario en el servidor sin autenticación.
  • Vulnerabilidad en AliasVault App (CVE-2026-2974)
    Severidad: BAJA
    Fecha de publicación: 23/02/2026
    Fecha de última actualización: 12/03/2026
    Se ha descubierto una vulnerabilidad en AliasVault App hasta la versión 0.25.3 en Android/iOS. Esta vulnerabilidad afecta a código desconocido del archivo shared_prefs/aliasvault.xml del componente Gestor de Copias de Seguridad. Al manipular el argumento accessToken/refreshToken/metadata/key_derivation_params/auth_methods se logra exponer el archivo de copia de seguridad a una esfera de control no autorizada. El ataque debe realizarse en local. Se considera que el ataque tiene una complejidad alta. Se afirma que es difícil de explotar. El exploit está disponible públicamente y podría ser utilizado. La actualización a la versión 0.26.0 puede resolver este problema. El identificador del parche es 873ecc03f92238e162f98a068ad56069a922b4f6/0bd662320174d8265dfe3b05a04bc13efc960532. Se recomienda actualizar el componente afectado. El creador del software explica: 'Debido al diseño de cifrado de conocimiento cero de AliasVault, los tokens almacenados en aliasvault.xml son tokens de sesión de API que no pueden descifrar la bóveda por sí solos: se necesita la contraseña maestra para ello. Así que, aunque esto no es un riesgo directo de compromiso de la bóveda, tampoco hay razón para incluirlos en las copias de seguridad.'
  • Vulnerabilidad en Audiobookshelf (CVE-2026-27973)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Audiobookshelf es un servidor de audiolibros y podcasts autoalojado. Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en versiones anteriores a la 0.12.0-beta de la aplicación móvil Audiobookshelf que permite la ejecución arbitraria de JavaScript a través de metadatos de biblioteca maliciosos. Atacantes con privilegios de modificación de biblioteca pueden ejecutar código en los navegadores/WebViews de los usuarios víctimas, lo que podría llevar al secuestro de sesión, la exfiltración de datos y el acceso no autorizado a las API de dispositivos nativos. El problema está solucionado en la versión 0.12.0-beta de audiobookshelf-app, correspondiente a la versión 2.12.0 de audiobookshelf.
  • Vulnerabilidad en Audiobooksheld (CVE-2026-27974)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Audiobookshelf es un servidor de audiolibros y podcasts autoalojado. Una vulnerabilidad de cross-site scripting (XSS) existe en versiones anteriores a la 0.12.0-beta de la aplicación móvil de Audiobookshelf que permite la ejecución arbitraria de JavaScript a través de metadatos de biblioteca maliciosos. Atacantes con privilegios de modificación de biblioteca (o control sobre un feed RSS de podcast malicioso) pueden ejecutar código en los WebViews de los usuarios víctimas, lo que podría llevar al secuestro de sesión, exfiltración de datos y acceso no autorizado a las API de dispositivos nativos. La versión 0.12.0-beta de audiobookshelf-app soluciona el problema.
  • Vulnerabilidad en Packetbeat (CVE-2026-26932)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Validación incorrecta de índice de array (CWE-129) en el analizador del protocolo PostgreSQL en Packetbeat puede conducir a denegación de servicio a través de manipulación de datos de entrada (CAPEC-153). Un atacante puede enviar un paquete especialmente diseñado causando un pánico en tiempo de ejecución de Go que termina el proceso de Packetbeat. Esta vulnerabilidad requiere que el protocolo pgsql esté explícitamente habilitado y configurado para monitorear el tráfico en el puerto objetivo.
  • Vulnerabilidad en Unitree Go2 (CVE-2026-27509)
    Severidad: ALTA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Las versiones de firmware de Unitree Go2 V1.1.7 a V1.1.9 y V1.1.11 (EDU) no implementan autenticación ni autorización DDS para el tema de Eclipse CycloneDDS rt/api/programming_actuator/request gestionado por actuator_manager.py. Un atacante adyacente a la red y no autenticado puede unirse al dominio DDS 0 y publicar un mensaje manipulado (api_id=1002) que contiene Python arbitrario, el cual el robot escribe en el disco bajo /unitree/etc/programming/ y lo vincula a una asignación de teclas de un controlador físico. Cuando se pulsa la asignación de teclas, el código se ejecuta como root y la vinculación persiste a través de los reinicios.
  • Vulnerabilidad en Unitree Go2 (CVE-2026-27510)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Las versiones de firmware de Unitree Go2 1.1.7 a 1.1.11, cuando se usan con la aplicación de Android Unitree Go2 (com.unitree.doggo2), son vulnerables a la ejecución remota de código debido a la falta de protección de integridad y validación de programas creados por el usuario. La aplicación de Android almacena programas en una base de datos SQLite local (unitree_go2.db, tabla dog_programme) y transmite el contenido de programme_text, incluido el campo pyCode, al robot. El archivo actuator_manager.py del robot ejecuta el Python suministrado como root sin verificación de integridad o validación de contenido. Un atacante con acceso local al dispositivo Android puede manipular el registro de programa almacenado para inyectar Python arbitrario que se ejecuta cuando el usuario activa el programa a través de una asignación de tecla del controlador, y la asignación maliciosa persiste a través de los reinicios. Además, un programa malicioso compartido a través del mercado comunitario de la aplicación puede resultar en la ejecución de código arbitrario en cualquier robot que lo importe y ejecute.
  • Vulnerabilidad en psi-probe PSI Probe (CVE-2026-3268)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2026
    Fecha de última actualización: 12/03/2026
    Una vulnerabilidad fue detectada en psi-probe PSI Probe hasta la versión 5.3.0. El elemento afectado es una función desconocida del archivo psi-probe-core/src/main/java/psiprobe/controllers/sessions/RemoveSessAttributeController.java del componente Gestor de Atributos de Sesión. Realizar una manipulación resulta en controles de acceso inadecuados. El ataque puede ser iniciado remotamente. El exploit ahora es público y puede ser utilizado. El proveedor fue contactado con antelación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Acronis (CVE-2026-28709)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    Manipulación no autorizada de recursos debido a comprobaciones de autorización incorrectas. Los siguientes productos están afectados: Acronis Cyber Protect 17 (Linux, Windows) anterior a la compilación 41186.
  • Vulnerabilidad en Acronis (CVE-2026-28710)
    Severidad: CRÍTICA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    Revelación de información sensible y manipulación debido a autenticación incorrecta. Los siguientes productos están afectados: Acronis Cyber Protect 17 (Linux, Windows) anterior a la compilación 41186.
  • Vulnerabilidad en Acronis (CVE-2026-28715)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 12/03/2026
    Revelación de información sensible debido a comprobaciones de autorización incorrectas. Los siguientes productos se ven afectados: Acronis Cyber Protect 17 (Linux, Windows) antes de la compilación 41186.
  • Vulnerabilidad en Enterprise Server de GitHub (CVE-2026-3306)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Una vulnerabilidad de autorización impropia fue identificada en GitHub Enterprise Server que permitía a un usuario con acceso de lectura a un repositorio y acceso de escritura a un proyecto modificar los metadatos de incidencias y solicitudes de extracción a través del proyecto. Al añadir un elemento a un proyecto ya existente, las actualizaciones de los valores de las columnas se aplicaban sin verificar los permisos de escritura del repositorio del actor. Esta vulnerabilidad fue reportada a través del programa GitHub Bug Bounty y ha sido corregida en las versiones de GitHub Enterprise Server 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 y 3.19.3.
  • Vulnerabilidad en Enterprise Server de GitHub (CVE-2026-3854)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Una vulnerabilidad de neutralización inadecuada de elementos especiales fue identificada en GitHub Enterprise Server que permitía a un atacante con acceso de push a un repositorio lograr ejecución remota de código en la instancia. Durante una operación de git push, los valores de opción de push proporcionados por el usuario no se sanitizaban correctamente antes de ser incluidos en los encabezados de servicio internos. Debido a que el formato del encabezado interno utilizaba un carácter delimitador que también podía aparecer en la entrada del usuario, un atacante podía inyectar campos de metadatos adicionales a través de valores de opción de push manipulados. Esta vulnerabilidad fue reportada a través del programa GitHub Bug Bounty y ha sido corregida en las versiones de GitHub Enterprise Server 3.14.24, 3.15.19, 3.16.15, 3.17.12, 3.18.6 y 3.19.3.
  • Vulnerabilidad en GetSimple CMS (CVE-2026-28495)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    GetSimple CMS es un sistema de gestión de contenido. El plugin massiveAdmin (v6.0.3) incluido con GetSimpleCMS-CE v3.3.22 permite a un administrador autenticado sobrescribir el archivo de configuración gsconfig.php con código PHP arbitrario a través del módulo editor de gsconfig. El formulario carece de protección CSRF, lo que permite a un atacante remoto no autenticado explotar esto mediante falsificación de petición en sitios cruzados contra un administrador con sesión iniciada, logrando ejecución remota de código (RCE) en el servidor web.
  • Vulnerabilidad en GitHub Enterprise Server (CVE-2026-2266)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Una vulnerabilidad de neutralización de entrada inadecuada fue identificada en GitHub Enterprise Server que permitía cross-site scripting basado en DOM a través del contenido de listas de tareas. La lógica de extracción de contenido de listas de tareas no recodificaba correctamente los nodos de texto decodificados por el navegador antes de la renderización, permitiendo que HTML proporcionado por el usuario fuera inyectado en la página. Un atacante autenticado podría crear elementos maliciosos de listas de tareas en incidencias o solicitudes de extracción para ejecutar scripts arbitrarios en el contexto de la sesión del navegador de otro usuario. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.20 y fue corregida en las versiones 3.18.6 y 3.19.3. Esta vulnerabilidad fue reportada a través del programa GitHub Bug Bounty.
  • Vulnerabilidad en Enterprise Server de GitHub (CVE-2026-3582)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    Una vulnerabilidad de autorización incorrecta fue identificada en GitHub Enterprise Server que permitía a un usuario autenticado con un token de acceso personal (PAT) clásico que carecía del alcance 'repo' recuperar incidencias y commits de repositorios privados e internos a través de los puntos finales de la API REST de búsqueda. El usuario debía tener acceso existente al repositorio a través de la membresía de la organización o como colaborador para que la vulnerabilidad fuera explotable. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.20 y fue corregida en las versiones 3.16.15, 3.17.12, 3.18.6 y 3.19.3. Esta vulnerabilidad fue reportada a través del programa GitHub Bug Bounty.
  • Vulnerabilidad en OliveTin (CVE-2026-31817)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 12/03/2026
    OliveTin da acceso a comandos shell predefinidos desde una interfaz web. Antes de la versión 3000.11.2, cuando la función saveLogs está habilitada, OliveTin persiste las entradas del registro de ejecución en el disco. El nombre de archivo utilizado para estos archivos de registro se construye en parte a partir del campo UniqueTrackingId proporcionado por el usuario en la solicitud de la API StartAction. Este valor no se valida ni se sanea antes de ser utilizado en una ruta de archivo, lo que permite a un atacante utilizar secuencias de salto de directorio (por ejemplo, ../../../) para escribir archivos en ubicaciones arbitrarias del sistema de archivos. Esta vulnerabilidad se corrige en la versión 3000.11.2.