Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el Servicio de Nombres de Ethereum (ENS) (CVE-2026-22866)
    Severidad: BAJA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 13/03/2026
    El Servicio de Nombres de Ethereum (ENS) es un sistema de nombres distribuido, abierto y extensible basado en la cadena de bloques de Ethereum. En las versiones 1.6.2 y anteriores, los contratos 'RSASHA256Algorithm' y 'RSASHA1Algorithm' no logran validar la estructura de relleno PKCS#1 v1.5 al verificar firmas RSA. Los contratos solo verifican si los últimos 32 (o 20) bytes de la firma descifrada coinciden con el hash esperado. Esto permite el ataque de falsificación de firmas de Bleichenbacher de 2006 contra zonas DNS que utilizan claves RSA con exponentes públicos bajos (e=3). Dos TLDs compatibles con ENS (.cc y .name) usan e=3 para sus Claves de Firma de Claves, permitiendo que cualquier dominio bajo estos TLDs sea reclamado fraudulentamente en ENS sin la propiedad de DNS. Un parche fue fusionado en el commit c76c5ad0dc9de1c966443bd946fafc6351f87587. Posibles soluciones provisionales incluyen desplegar los contratos parcheados y apuntar DNSSECImpl.setAlgorithm al contrato desplegado.
  • Vulnerabilidad en Dart y Flutter (CVE-2026-27704)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2026
    Fecha de última actualización: 13/03/2026
    Los SDK de Dart y Flutter proporcionan kits de desarrollo de software para el lenguaje de programación Dart. En versiones del SDK de Dart anteriores a la 3.11.0 y del SDK de Flutter anteriores a la versión 3.41.0, cuando el cliente pub ('dart pub' y 'flutter pub') extrae un paquete en la caché de pub, un archivo de paquete malicioso puede tener archivos extraídos fuera del directorio de destino en el `PUB_CACHE`. Se ha implementado una corrección en el commit 26c6985c742593d081f8b58450f463a584a4203a. Al normalizar la ruta del archivo antes de escribir el archivo, el atacante ya no puede ascender a través de un enlace simbólico. Este parche se publica en Dart 3.11.0 y Flutter 3.41.0. Todos los paquetes en pub.dev han sido examinados para esta vulnerabilidad. Ya no se permite que los nuevos paquetes contengan enlaces simbólicos. El propio cliente pub no sube enlaces simbólicos, sino que duplica la entrada enlazada, y ha estado haciendo esto durante años. Aquellos cuyas dependencias provienen todas de pub.dev, repositorios de terceros de confianza para no contener código malicioso, o dependencias de git no se ven afectados por esta vulnerabilidad.
  • Vulnerabilidad en Astroid Template Framework (CVE-2026-21628)
    Severidad: CRÍTICA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 13/03/2026
    Una característica de gestión de archivos incorrectamente protegida permite cargas de tipos de datos peligrosos para usuarios no autenticados, lo que lleva a ejecución remota de código.
  • Vulnerabilidad en Octopus Server (CVE-2026-3236)
    Severidad: BAJA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 13/03/2026
    En las versiones afectadas de Octopus Server era posible crear una nueva clave de API a partir de un token de acceso existente, lo que resultaba en que la nueva clave de API tuviera una vida útil que excedía la clave de API original utilizada para generar el token de acceso.
  • Vulnerabilidad en Python-Markdown (CVE-2025-69534)
    Severidad: ALTA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 13/03/2026
    Python-Markdown versión 3.8 contiene una vulnerabilidad donde secuencias malformadas similares a HTML pueden hacer que html.parser.HTMLParser genere un AssertionError no manejado durante el análisis de Markdown. Debido a que Python-Markdown no captura esta excepción, cualquier aplicación que procese Markdown controlado por el atacante puede fallar. Esto permite una denegación de servicio remota y no autenticada en aplicaciones web, sistemas de documentación, pipelines de CI/CD y cualquier servicio que renderice Markdown no confiable. El problema fue reconocido por el proveedor y corregido en la versión 3.8.1. Este problema causa una denegación de servicio remota en cualquier aplicación que analice Markdown no confiable, y puede llevar a la revelación de información a través de excepciones no capturadas.
  • Vulnerabilidad en Avira Internet Security (CVE-2026-27748)
    Severidad: ALTA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 13/03/2026
    Avira Internet Security contiene una vulnerabilidad de resolución de enlaces incorrecta en el componente Software Updater. Durante el proceso de actualización, un servicio privilegiado ejecutándose como SYSTEM elimina un archivo bajo C:\\ProgramData sin validar si la ruta se resuelve a través de un enlace simbólico o un punto de reanálisis. Un atacante local puede crear un enlace malicioso para redirigir la operación de eliminación a un archivo arbitrario, resultando en la eliminación de archivos elegidos por el atacante con privilegios de SYSTEM. Esto puede llevar a una escalada de privilegios local, denegación de servicio o compromiso de la integridad del sistema dependiendo del archivo objetivo y la configuración del sistema operativo.
  • Vulnerabilidad en Avira Internet Security (CVE-2026-27749)
    Severidad: ALTA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 13/03/2026
    Avira Internet Security contiene una vulnerabilidad de deserialización de datos no confiables en el componente System Speedup. El proceso Avira.SystemSpeedup.RealTimeOptimizer.exe, que se ejecuta con privilegios del SISTEMA, deserializa datos de un archivo ubicado en C:\\ProgramData utilizando .NET BinaryFormatter sin implementar validaciones de entrada ni medidas de seguridad para la deserialización. Dado que el archivo puede ser creado o modificado por un usuario local en las configuraciones predeterminadas, un atacante puede proporcionar una carga útil serializada diseñada que sea deserializada por el proceso con privilegios, lo que da lugar a la ejecución de código arbitrario como SYSTEM.
  • Vulnerabilidad en Avira Internet Security (CVE-2026-27750)
    Severidad: ALTA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 13/03/2026
    Avira Internet Security contiene una vulnerabilidad de tiempo de comprobación y tiempo de uso (TOCTOU) en el componente Optimizer. Un servicio con privilegios que se ejecuta como SYSTEM identifica los directorios que deben limpiarse durante una fase de análisis y, posteriormente, los elimina durante una fase de limpieza independiente sin volver a validar la ruta de destino. Un atacante local puede sustituir un directorio escaneado previamente por un punto de unión o de reanálisis antes de que se produzca la eliminación, lo que provoca que el proceso con privilegios elimine una ubicación del sistema no deseada. Esto puede dar lugar a la eliminación de archivos o directorios protegidos y puede provocar una escalada de privilegios locales, una denegación de servicio o un compromiso de la integridad del sistema, dependiendo del objetivo afectado.