Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Idno (CVE-2026-28508)
    Severidad: CRÍTICA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    Idno es una plataforma de publicación social. Antes de la versión 1.6.4, un error lógico en el flujo de autenticación de la API provoca que la protección CSRF en el endpoint del servicio de expansión de URL sea trivialmente eludida por cualquier atacante remoto no autenticado. Combinado con la ausencia de un requisito de inicio de sesión en el propio endpoint, esto permite a un atacante forzar al servidor a realizar solicitudes HTTP salientes arbitrarias a cualquier host, incluyendo direcciones de red internas y servicios de metadatos de instancias en la nube, y recuperar el contenido de la respuesta. Este problema ha sido parcheado en la versión 1.6.4.
  • Vulnerabilidad en LangBot (CVE-2026-28509)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    LangBot es una plataforma global de bots de mensajería instantánea (IM) diseñada para LLMs. Antes de la versión 4.8.7, la interfaz de usuario web de LangBot renderiza HTML sin procesar suministrado por el usuario utilizando rehypeRaw, lo que puede llevar a una vulnerabilidad de cross-site scripting (XSS). Este problema ha sido parcheado en la versión 4.8.7.
  • Vulnerabilidad en Plunk de useplunk (CVE-2026-32095)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Plunk es una plataforma de correo electrónico de código abierto construida sobre AWS SES. Antes de la versión 0.7.1, el punto final de carga de imágenes de Plunk aceptaba archivos SVG, que los navegadores tratan como documentos activos capaces de ejecutar JavaScript incrustado, creando una vulnerabilidad de XSS almacenado. Esta vulnerabilidad está corregida en la versión 0.7.1.
  • Vulnerabilidad en Plunk de useplunk (CVE-2026-32096)
    Severidad: CRÍTICA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Plunk es una plataforma de correo electrónico de código abierto construida sobre AWS SES. Antes de la 0.7.0, existía una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en el gestor de webhook de SNS. Un atacante no autenticado podría enviar una petición manipulada que causaba que el servidor realizara una petición HTTP GET saliente arbitraria a cualquier host accesible desde el servidor. Esta vulnerabilidad está corregida en la 0.7.0.
  • Vulnerabilidad en PingPong de comppolicylab (CVE-2026-32097)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    PingPong es una plataforma para usar modelos de lenguaje grandes (LLM) para la enseñanza y el aprendizaje. Antes de la versión 7.27.2, un usuario autenticado podría recuperar o eliminar archivos fuera del alcance de autorización previsto. Este problema podría resultar en la recuperación o eliminación de archivos privados, incluyendo archivos subidos por el usuario y archivos de salida generados por el modelo. La explotación requería autenticación y permiso para ver al menos un hilo para la recuperación, y autenticación y permiso para participar en al menos un hilo para la eliminación. Esta vulnerabilidad está corregida en la versión 7.27.2.
  • Vulnerabilidad en ZITADEL (CVE-2026-32130)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    ZITADEL es una plataforma de gestión de identidades de código abierto. Desde la versión 2.68.0 hasta antes de la 3.4.8 y la 4.12.2, Zitadel proporciona una API de System for Cross-domain Identity Management (SCIM) para aprovisionar usuarios de proveedores externos en Zitadel. Las solicitudes a la API con valores de ruta codificados en URL se enrutaban correctamente, pero omitían las comprobaciones necesarias de autenticación y permisos. Esto permitía a atacantes no autenticados recuperar información sensible como nombres, direcciones de correo electrónico, números de teléfono, direcciones, IDs externos y roles. Tenga en cuenta que, debido a comprobaciones adicionales al manipular datos, un atacante no podía modificar ni eliminar ningún dato de usuario. Esta vulnerabilidad está corregida en 3.4.8 y 4.12.2.
  • Vulnerabilidad en zitadel (CVE-2026-32131)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    ZITADEL es una plataforma de gestión de identidades de código abierto. Antes de las versiones 3.4.8 y 4.12.2, se ha reportado una vulnerabilidad en la API de Gestión de Zitadel, que permitía a usuarios autenticados con un token válido de bajo privilegio (por ejemplo, project.read, project.grant.read o project.app.read) recuperar información del plano de gestión perteneciente a otras organizaciones especificando el project_id, grant_id o app_id de un inquilino diferente. Esta vulnerabilidad está corregida en las versiones 3.4.8 y 4.12.2.
  • Vulnerabilidad en zitadel (CVE-2026-32132)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    ZITADEL es una plataforma de gestión de identidad de código abierto. Antes de las 3.4.8 y 4.12.2, existe una posible vulnerabilidad en los puntos finales de registro de passkey de Zitadel. Este punto final permite registrar una nueva passkey utilizando un código recuperado previamente. Una comprobación de caducidad incorrecta del código podría permitir a un atacante registrar potencialmente su propia passkey y obtener acceso a la cuenta de la víctima. Esta vulnerabilidad está corregida en las 3.4.8 y 4.12.2.
  • Vulnerabilidad en Google Chrome (CVE-2026-3930)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Navegación insegura en la navegación de Google Chrome en iOS anterior a 146.0.7680.71 permitió a un atacante remoto eludir las restricciones de navegación a través de una página HTML diseñada. (Gravedad de seguridad de Chromium: Media)
  • Vulnerabilidad en Google Chrome en Android (CVE-2026-3932)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Aplicación insuficiente de políticas en PDF en Google Chrome en Android anterior a 146.0.7680.71 permitió a un atacante remoto eludir las restricciones de navegación mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
  • Vulnerabilidad en ChromeDriver en Google Chrome (CVE-2026-3934)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Aplicación insuficiente de políticas en ChromeDriver en Google Chrome anterior a 146.0.7680.71 permitió a un atacante remoto eludir la política del mismo origen mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
  • Vulnerabilidad en Chrome (CVE-2026-3939)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Aplicación insuficiente de políticas en PDF en Google Chrome anterior a 146.0.7680.71 permitió a un atacante remoto eludir las restricciones de navegación mediante un archivo PDF manipulado. (Gravedad de seguridad de Chromium: Baja)
  • Vulnerabilidad en Chrome (CVE-2026-3940)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Aplicación de políticas insuficiente en DevTools en Google Chrome anterior a 146.0.7680.71 permitió a un atacante remoto eludir las restricciones de navegación a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
  • Vulnerabilidad en Online Doctor Appointment System de itsourcecode (CVE-2026-3980)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    Una vulnerabilidad ha sido encontrada en itsourcecode Online Doctor Appointment System 1.0. Esto impacta una función desconocida del archivo /admin/patient_action.php. Tal manipulación del argumento patient_id lleva a inyección SQL. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser usado.
  • Vulnerabilidad en Online Doctor Appointment System de itsourcecode (CVE-2026-3981)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    Una vulnerabilidad fue encontrada en itsourcecode Online Doctor Appointment System 1.0. Afectada es una función desconocida del archivo /admin/doctor_action.php. Realizar una manipulación del argumento ID resulta en inyección SQL. La explotación remota del ataque es posible. El exploit ha sido hecho público y podría ser usado.