Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Open Solution Quick.Cms y Quick.Cart (CVE-2012-6430)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/03/2014
    Fecha de última actualización: 16/03/2026
    Vulnerabilidad de XSS en Open Solution Quick.Cms 5.0 y Quick.Cart 6.0, posiblemente descargado antes del 19 de diciembre del 2012, permite a atacantes remotos inyectar script Web o HTML arbitrarios a través del PATH_INFO hacia admin.php. NOTA: Esto podría ser un duplicado de CVE-2008-4140.
  • Vulnerabilidad en TP-Link Systems Inc. (CVE-2025-9289)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2026
    Fecha de última actualización: 16/03/2026
    Una vulnerabilidad de cross-site scripting (XSS) fue identificada en un parámetro en los Controladores Omada debido a una sanitización de entrada inadecuada. La explotación requiere condiciones avanzadas, como el posicionamiento en la red o la emulación de una entidad de confianza, y la interacción del usuario por parte de un administrador autenticado. Si tiene éxito, un atacante podría ejecutar JavaScript arbitrario en el navegador del administrador, exponiendo potencialmente información sensible y comprometiendo la confidencialidad.
  • Vulnerabilidad en Inspektor Gadget (CVE-2026-24905)
    Severidad: MEDIA
    Fecha de publicación: 29/01/2026
    Fecha de última actualización: 16/03/2026
    Inspektor Gadget es un conjunto de herramientas y un framework para la recopilación de datos e inspección de sistemas en clústeres de Kubernetes y hosts Linux usando eBPF. El binario `ig` proporciona un subcomando para la construcción de imágenes, utilizado para generar imágenes OCI de gadgets personalizadas. Una parte de esta funcionalidad está implementada en el archivo `inspektor-gadget/cmd/common/image/build.go`. El archivo `Makefile.build` es la plantilla de Makefile empleada durante el proceso de construcción. Este archivo incluye datos controlados por el usuario de manera insegura; específicamente, algunos parámetros se incrustan sin un escape adecuado en los comandos dentro del Makefile. Antes de la versión 0.48.1, esta implementación es vulnerable a inyección de comandos: un atacante capaz de controlar valores en la estructura `buildOptions` podría ejecutar comandos arbitrarios durante el proceso de construcción. Un atacante capaz de explotar esta vulnerabilidad podría ejecutar comandos arbitrarios en el host Linux donde se lanza el comando `ig`, si las imágenes se construyen con la bandera `--local` o en el contenedor de construcción invocado por `ig`, si la bandera `--local` no se proporciona. La estructura `buildOptions` se extrae del manifiesto YAML del gadget pasado al comando `ig image build`. Por lo tanto, el atacante necesitaría una forma de controlar el archivo `build.yml` completo pasado al comando `ig image build`, o una de sus opciones. Típicamente, esto podría ocurrir en un escenario de CI/CD que construye gadgets no confiables para verificar su corrección. La versión 0.48.1 corrige el problema.
  • Vulnerabilidad en SKSPro (CVE-2025-8587)
    Severidad: ALTA
    Fecha de publicación: 02/02/2026
    Fecha de última actualización: 16/03/2026
    Vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un comando SQL ('Inyección SQL') en AKCE Software Technology R&D Industry and Trade Inc. SKSPro permite la inyección SQL. Este problema afecta a SKSPro: hasta el 07012026.
  • Vulnerabilidad en MediaWiki de Wikimedia Foundation (CVE-2025-61636)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 16/03/2026
    Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web (XSS o 'cross-site scripting') vulnerabilidad en Wikimedia Foundation MediaWiki. Esta vulnerabilidad está asociada con los archivos de programa includes/htmlform/fields/HTMLButtonField.PHP. Este problema afecta a MediaWiki: desde * antes de 1.39.14, 1.43.4, 1.44.1.
  • Vulnerabilidad en MediaWiki de Wikimedia Foundation (CVE-2025-61637)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 16/03/2026
    Neutralización Incorrecta de Entrada Durante la Generación de Páginas Web (XSS o 'cross-site scripting') vulnerabilidad en Wikimedia Foundation MediaWiki. Esta vulnerabilidad está asociada con archivos de programa resources/src/mediawiki.Action/mediawiki.Action.Edit.Preview.Js, resources/src/mediawiki.Page.Preview.Js. Este problema afecta a MediaWiki: desde * antes de 1.39.14, 1.43.4, 1.44.1.
  • Vulnerabilidad en Wikimedia Foundation (CVE-2025-61638)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 16/03/2026
    Vulnerabilidad de Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web (XSS o 'cross-site scripting') en Wikimedia Foundation MediaWiki, Wikimedia Foundation Parsoid. Esta vulnerabilidad está asociada con los archivos de programa includes/parser/Sanitizer.PHP, src/Core/Sanitizer.PHP. Este problema afecta a MediaWiki: desde * antes de 1.39.14, 1.43.4, 1.44.1; Parsoid: desde * antes de 0.16.6, 0.20.4, 0.21.1.
  • Vulnerabilidad en MediaWiki de Wikimedia Foundation (CVE-2025-61639)
    Severidad: BAJA
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 16/03/2026
    Vulnerabilidad de exposición de información sensible a un actor no autorizado en Wikimedia Foundation MediaWiki. Esta vulnerabilidad está asociada con los archivos de programa includes/logging/ManualLogEntry.PHP, includes/recentchanges/RecentChangeFactory.PHP, includes/recentchanges/RecentChangeStore.PHP. Este problema afecta a MediaWiki: desde * antes de 1.39.14, 1.43.4, 1.44.1.
  • Vulnerabilidad en MediaWiki de Wikimedia Foundation (CVE-2025-61640)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/02/2026
    Fecha de última actualización: 16/03/2026
    Neutralización Incorrecta de Entrada Durante la Generación de Páginas Web (XSS o 'cross-site scripting') vulnerabilidad en Wikimedia Foundation MediaWiki. Esta vulnerabilidad está asociada con los archivos de programa resources/src/mediawiki.Rcfilters/ui/RclToOrFromWidget.Js. Este problema afecta a MediaWiki: desde * antes de 1.39.14, 1.43.4, 1.44.1.
  • Vulnerabilidad en ZeusWeb (CVE-2025-13650)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 16/03/2026
    Un atacante con acceso a la aplicación web ZeusWeb del proveedor Microcom (en este caso, el registro no es necesario, pero la acción debe realizarse) que tiene el software vulnerable podría introducir JavaScript arbitrario inyectando una carga útil XSS en el parámetro 'Surname' de la operación 'Create Account' en la URL: https://zeus.microcom.es:4040/index.html?zeus6=true . Este problema afecta a ZeusWeb: 6.1.31.
  • Vulnerabilidad en Inspektor Gadget (CVE-2026-25996)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2026
    Fecha de última actualización: 16/03/2026
    Inspektor Gadget es un conjunto de herramientas y framework para la recopilación de datos y la inspección del sistema en clústeres de Kubernetes y hosts Linux utilizando eBPF. Los campos de cadena de los eventos eBPF en modo de salida de columnas se renderizan en la terminal sin ninguna sanitización de caracteres de control o secuencias de escape ANSI. Por lo tanto, una carga útil de evento forjada maliciosamente – parcial o completamente –, proveniente de un contenedor observado, podría inyectar las secuencias de escape en la terminal de los operadores de ig, con diversos efectos. El modo de salida de columnas es el predeterminado al ejecutar ig run de forma interactiva.
  • Vulnerabilidad en Ettercap (CVE-2026-3606)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 16/03/2026
    Se ha encontrado una vulnerabilidad en Ettercap 0.8.4-Garofalo. Afectada por esta vulnerabilidad es la función add_data_segment del archivo src/ettercap/utils/etterfilter/ef_output.c del componente etterfilter. La manipulación conduce a una lectura fuera de límites. Se requiere acceso local para abordar este ataque. El exploit ha sido revelado al público y puede ser usado. El proyecto fue informado del problema tempranamente a través de un informe de problema pero no ha respondido aún.
  • Vulnerabilidad en Microsoft Devices Pricing Program (CVE-2026-21536)
    Severidad: CRÍTICA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 16/03/2026
    Vulnerabilidad de ejecución remota de código del Programa de Precios de Dispositivos de Microsoft
  • Vulnerabilidad en Microsoft ACI Confidential Containers (CVE-2026-23651)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 16/03/2026
    Expresión regular permisiva en Azure Compute Gallery permite a un atacante autorizado elevar privilegios localmente.
  • Vulnerabilidad en Microsoft ACI Confidential Containers (CVE-2026-26122)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 16/03/2026
    Vulnerabilidad de revelación de información de Contenedores Confidenciales de Microsoft ACI
  • Vulnerabilidad en Microsoft ACI Confidential Containers (CVE-2026-26124)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 16/03/2026
    Vulnerabilidad de Elevación de Privilegios de Contenedores Confidenciales de ACI de Microsoft
  • Vulnerabilidad en Payment Orchestrator Service de Microsoft (CVE-2026-26125)
    Severidad: ALTA
    Fecha de publicación: 05/03/2026
    Fecha de última actualización: 16/03/2026
    Servicio Orquestador de Pagos Elevación de Privilegios Vulnerabilidad
  • Vulnerabilidad en TinyWeb de maximmasiutin (CVE-2026-28497)
    Severidad: CRÍTICA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Antes de la versión 2.03, una vulnerabilidad de desbordamiento de entero en la rutina de conversión de cadena a entero (_Val) permite a un atacante remoto no autenticado eludir las restricciones de Content-Length y realizar HTTP Request Smuggling. Esto puede conducir a acceso no autorizado, elusión de filtros de seguridad y potencial envenenamiento de caché. El impacto es crítico para servidores que utilizan conexiones persistentes (Keep-Alive). Este problema ha sido parcheado en la versión 2.03.
  • Vulnerabilidad en AVideo de WWBN (CVE-2026-28501)
    Severidad: CRÍTICA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    WWBN AVideo es una plataforma de video de código abierto. Antes de la versión 24.0, existe una vulnerabilidad de inyección SQL no autenticada en AVideo dentro de los componentes objects/videos.json.php y objects/video.php. La aplicación no logra sanear correctamente el parámetro catName cuando se suministra a través de un cuerpo de solicitud POST con formato JSON. Debido a que la entrada JSON se analiza y se fusiona en $_REQUEST después de que se ejecutan las comprobaciones de seguridad globales, la carga útil omite los mecanismos de saneamiento existentes. Este problema ha sido parcheado en la versión 24.0.
  • Vulnerabilidad en AVideo de WWBN (CVE-2026-28502)
    Severidad: CRÍTICA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    WWBN AVideo es una plataforma de video de código abierto. Antes de la versión 24.0, se identificó una vulnerabilidad de ejecución remota de código (RCE) autenticada en AVideo relacionada con la funcionalidad de carga/importación de plugins. El problema permitía a un administrador autenticado subir un archivo ZIP especialmente diseñado que contenía archivos ejecutables del lado del servidor. Debido a la validación insuficiente del contenido de los archivos extraídos, el archivo se extraía directamente en un directorio de plugins accesible por la web, lo que permitía la ejecución arbitraria de código PHP. Este problema ha sido parcheado en la versión 24.0.
  • Vulnerabilidad en TinyWeb de maximmasiutin (CVE-2026-29046)
    Severidad: CRÍTICA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    TinyWeb es un servidor web (HTTP, HTTPS) escrito en Delphi para Win32. Antes de la versión 2.04, TinyWeb acepta valores de encabezado de solicitud y luego los mapea en variables de entorno CGI (HTTP_*). El analizador no rechazaba estrictamente los caracteres de control peligrosos en las líneas de encabezado y los valores de encabezado, incluyendo CR, LF y NUL, y no se defendía consistentemente contra formas codificadas como %0d, %0a y %00. Esto puede permitir la confusión de valores de encabezado a través de los límites del analizador y puede crear datos inseguros en el contexto de ejecución CGI. Este problema ha sido parcheado en la versión 2.04.
  • Vulnerabilidad en AVideo de WWBN (CVE-2026-29093)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    WWBN AVideo es una plataforma de video de código abierto. Antes de la versión 24.0, el docker-compose.yml oficial publica el servicio memcached en el puerto de host 11211 (0.0.0.0:11211) sin autenticación, mientras que el Dockerfile configura PHP para almacenar todas las sesiones de usuario en esa instancia de memcached. Un atacante que puede alcanzar el puerto 11211 puede leer, modificar o vaciar datos de sesión — lo que permite el secuestro de sesión, la suplantación de administrador y la destrucción masiva de sesiones sin ninguna autenticación a nivel de aplicación. Este problema ha sido parcheado en la versión 24.0.
  • Vulnerabilidad en Idno (CVE-2026-28507)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    Idno es una plataforma de publicación social. Antes de la versión 1.6.4, existe una vulnerabilidad de ejecución remota de código a través de la escritura encadenada de archivos de importación y el salto de ruta de plantilla. Este problema ha sido parcheado en la versión 1.6.4.
  • Vulnerabilidad en Easyndexer de Sourceforge (CVE-2018-25178)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    Easyndexer 1.0 contiene una vulnerabilidad de descarga arbitraria de archivos que permite a atacantes no autenticados descargar archivos sensibles manipulando el parámetro file. Los atacantes pueden enviar solicitudes POST a showtif.PHP con rutas de archivo arbitrarias en el parámetro file para recuperar archivos del sistema como archivos de configuración e inicialización.
  • Vulnerabilidad en Tina4 Stack de Tina4 (CVE-2018-25186)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    Tina4 Stack 1.0.3 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes modificar las credenciales de usuario administrador mediante el envío de peticiones POST falsificadas al endpoint de perfil. Los atacantes pueden crear formularios HTML dirigidos al endpoint /kim/profile con campos ocultos que contienen datos de usuario maliciosos como contraseñas y direcciones de correo electrónico para actualizar cuentas de administrador sin autenticación.
  • Vulnerabilidad en Tina4 Stack de Tina4 (CVE-2018-25187)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    Tina4 Stack 1.0.3 contiene múltiples vulnerabilidades que permiten a atacantes no autenticados acceder a archivos sensibles de la base de datos y ejecutar ataques de inyección SQL. Los atacantes pueden solicitar directamente el archivo de base de datos kim.db para recuperar credenciales de usuario y hashes de contraseña, o inyectar código SQL a través del endpoint menu para manipular consultas de la base de datos.
  • Vulnerabilidad en Easyndexer de Sourceforge (CVE-2018-25190)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 16/03/2026
    Easyndexer 1.0 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a atacantes no autenticados crear cuentas administrativas mediante el envío de peticiones POST falsificadas. Los atacantes pueden elaborar páginas web maliciosas que envían peticiones POST a createuser.PHP con parámetros que incluyen nombre de usuario, contraseña, nombre, apellido y privilegios establecidos en 1 para acceso de administrador.
  • Vulnerabilidad en openclaw (CVE-2026-32059)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    OpenClaw versión 2026.2.22-2 anterior a 2026.2.23, la validación de tools.exec.safeBins para el comando sort no valida correctamente las abreviaturas de opciones largas de GNU, lo que permite a los atacantes eludir las comprobaciones de banderas denegadas mediante opciones abreviadas. Los atacantes remotos pueden ejecutar comandos sort con opciones largas abreviadas para omitir los requisitos de aprobación en modo de lista de permitidos.
  • Vulnerabilidad en openclaw (CVE-2026-32060)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Las versiones de OpenClaw anteriores a 2026.2.14 contienen una vulnerabilidad de salto de ruta en apply_patch que permite a los atacantes escribir o eliminar archivos fuera del directorio de espacio de trabajo configurado. Cuando apply_patch está habilitado sin contención de sandbox del sistema de archivos, los atacantes pueden explotar rutas manipuladas, incluyendo secuencias de salto de directorio o rutas absolutas, para escapar de los límites del espacio de trabajo y modificar archivos arbitrarios.
  • Vulnerabilidad en openclaw (CVE-2026-32061)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Las versiones de OpenClaw anteriores a la 2026.2.17 contienen una vulnerabilidad de salto de ruta en la resolución de la directiva $include que permite la lectura de archivos locales arbitrarios fuera del límite del directorio de configuración. Atacantes con capacidades de modificación de configuración pueden explotar esto especificando rutas absolutas, secuencias de salto de ruta o enlaces simbólicos para acceder a archivos sensibles legibles por el usuario del proceso de OpenClaw, incluyendo claves de API y credenciales.
  • Vulnerabilidad en OpenClaw (CVE-2026-32063)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    La versión 2026.2.19-2 de OpenClaw anterior a la 2026.2.21 contiene una vulnerabilidad de inyección de comandos en la generación de archivos de unidad de systemd, donde los valores de entorno controlados por el atacante no se validan en busca de caracteres CR/LF, lo que permite la inyección de nuevas líneas para escapar de las líneas Environment= e inyectar directivas arbitrarias de systemd. Un atacante que puede influir en config.env.vars y activar la instalación o el reinicio del servicio puede ejecutar comandos arbitrarios con los privilegios del usuario del servicio de pasarela de OpenClaw.
  • Vulnerabilidad en Dell Alienware Command Center (AWCC (CVE-2026-24509)
    Severidad: BAJA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Dell Alienware Command Center (AWCC), versiones anteriores a la 6.12.24.0, contienen una vulnerabilidad de control de acceso inadecuado. Un atacante con privilegios bajos y acceso local podría explotar esta vulnerabilidad, lo que podría llevar a una denegación de servicio.
  • Vulnerabilidad en Notesnook de streetwriters (CVE-2026-31876)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Notesnook es una aplicación para tomar notas centrada en la privacidad del usuario y la facilidad de uso. Previo a la 3.3.9, existía una vulnerabilidad de cross-site scripting (XSS) almacenado en el componente de incrustación del editor de Notesnook al renderizar URLs de incrustación de Twitter/X. La función tweetToEmbed() en component.tsx interpolaba la URL proporcionada por el usuario directamente en una cadena HTML sin escapar, la cual se asignaba luego al atributo srcdoc de un . Esta vulnerabilidad está corregida en la versión 3.3.9.
  • Vulnerabilidad en runtipi (CVE-2026-31881)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Runtipi es un orquestador de homeserver personal. Antes de la versión 4.8.0, un atacante no autenticado puede restablecer la contraseña del operador (administrador) cuando una solicitud de restablecimiento de contraseña está activa, lo que resulta en una toma de control completa de la cuenta. El endpoint POST /api/auth/reset-password está expuesto sin comprobaciones de autenticación/autorización. Durante la ventana de restablecimiento de 15 minutos, cualquier usuario remoto puede establecer una nueva contraseña de operador e iniciar sesión como administrador. Esta vulnerabilidad se corrige en la versión 4.8.0.
  • Vulnerabilidad en Shopware (CVE-2026-31887)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Shopware es una plataforma de comercio abierta. Antes de las versiones 6.7.8.1 y 6.6.10.15, una verificación insuficiente de los tipos de filtro para clientes no autenticados permite el acceso a pedidos de otros clientes. Esto forma parte del soporte de deepLinkCode en el endpoint store-API.order. Esta vulnerabilidad se ha corregido en las versiones 6.7.8.1 y 6.6.10.15.
  • Vulnerabilidad en Shopware (CVE-2026-31888)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Shopware es una plataforma de comercio abierta. Antes de las versiones 6.7.8.1 y 6.6.10.15, el endpoint de inicio de sesión de la Store API (POST /store-api/account/login) devuelve diferentes códigos de error dependiendo de si la dirección de correo electrónico enviada pertenece a un cliente registrado (CHECKOUT__CUSTOMER_AUTH_BAD_CREDENTIALS) o es desconocida (CHECKOUT__CUSTOMER_NOT_FOUND). La respuesta de 'no encontrado' también hace eco de la dirección de correo electrónico probada. Esto permite a un atacante no autenticado enumerar cuentas de clientes válidas. El controlador de inicio de sesión del storefront unifica correctamente ambas rutas de error, pero la Store API no lo hace — lo que indica una defensa inconsistente. Esta vulnerabilidad está corregida en las versiones 6.7.8.1 y 6.6.10.15.
  • Vulnerabilidad en Dell Alienware Command Center (AWCC) (CVE-2026-24508)
    Severidad: BAJA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Dell Alienware Command Center (AWCC), versiones anteriores a la 6.12.24.0, contienen una vulnerabilidad de validación de certificado incorrecta. Un atacante con privilegios bajos con acceso local podría potencialmente explotar esta vulnerabilidad, lo que lleva a la exposición de información.
  • Vulnerabilidad en Dell Alienware Command Center (AWCC) (CVE-2026-24510)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Dell Alienware Command Center (AWCC), versiones anteriores a la 6.12.24.0, contienen una vulnerabilidad de gestión de privilegios inadecuada. Un atacante con privilegios bajos con acceso local podría potencialmente explotar esta vulnerabilidad, lo que llevaría a una Elevación de Privilegios.
  • Vulnerabilidad en Unity Catalog (CVE-2026-27478)
    Severidad: CRÍTICA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Unity Catalog es un Catálogo abierto y multimodal para datos e IA. En la versión 0.4.0 y anteriores, existe una vulnerabilidad crítica de omisión de autenticación en el endpoint de intercambio de tokens de Unity Catalog (/API/1.0/unity-control/auth/tokens). El endpoint extrae la declaración del emisor (iss) de los JWT entrantes y la utiliza para obtener dinámicamente el endpoint JWKS para la validación de firmas sin validar que el emisor sea un proveedor de identidad de confianza.
  • Vulnerabilidad en RIOT de RIOT-OS (CVE-2026-27703)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    RIOT es un sistema operativo de microcontrolador de código abierto, diseñado para cumplir los requisitos de los dispositivos de Internet de las Cosas (IoT) y otros dispositivos embebidos. En 2026.01 y anteriores, el gestor predeterminado para el recurso well_known_core coap_well_known_core_default_handler escribe datos de opción proporcionados por el usuario y otros datos en un búfer de tamaño fijo sin validar que el búfer sea lo suficientemente grande para contener la respuesta. Esta vulnerabilidad permite a un atacante corromper ubicaciones de pila adyacentes, incluyendo direcciones sensibles a la seguridad como la dirección de retorno, lo que lleva a una denegación de servicio o a la ejecución de código arbitrario.
  • Vulnerabilidad en Shopware (CVE-2026-31889)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Shopware es una plataforma de comercio abierta. Antes de las versiones 6.6.10.15 y 6.7.8.1, una vulnerabilidad en el flujo de registro de aplicaciones de Shopware que podría, bajo condiciones específicas, permitir a los atacantes tomar el control del canal de comunicación entre una tienda y una aplicación. El flujo de registro de aplicaciones heredado utilizaba autenticación basada en HMAC sin vincular suficientemente una instalación de tienda a su dominio original. Durante el nuevo registro, la URL de la tienda podría actualizarse sin probar el control sobre la tienda o dominio previamente registrado. Esto hizo factible el secuestro dirigido de la comunicación de la aplicación si un atacante poseía el secreto relevante del lado de la aplicación. Al abusar del nuevo registro de la aplicación, un atacante podría redirigir el tráfico de la aplicación a un dominio controlado por el atacante y potencialmente obtener credenciales de API destinadas a la tienda legítima. Esta vulnerabilidad está corregida en las versiones 6.6.10.15 y 6.7.8.1.
  • Vulnerabilidad en Black de psf (CVE-2026-31900)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Black es el formateador de código Python intransigente. Black proporciona una acción de GitHub para formatear código. Esta acción admite una opción, use_pyproject: true, para leer la versión de Black a utilizar desde el archivo pyproject.toml del repositorio. Una solicitud de extracción maliciosa podría editar pyproject.toml para usar una referencia de URL directa a un repositorio malicioso. Esto podría conducir a la ejecución de código arbitrario en el contexto de la Acción de GitHub. Los atacantes podrían entonces obtener acceso a secretos o permisos disponibles en el contexto de la acción. La versión 26.3.0 corrige esta vulnerabilidad.
  • Vulnerabilidad en Himmelblau de himmelblau-idm (CVE-2026-31957)
    Severidad: CRÍTICA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Himmelblau es una suite de interoperabilidad para Microsoft Azure Entra ID e Intune. Desde 3.0.0 hasta antes de 3.1.0, si Himmelblau se despliega sin un dominio de inquilino configurado en himmelblau.conf, la autenticación no está limitada al inquilino. En este modo, Himmelblau puede aceptar intentos de autenticación para dominios arbitrarios de Entra ID mediante el registro dinámico de proveedores en tiempo de ejecución. Este comportamiento está previsto para escenarios de arranque inicial/local, pero puede crear riesgo en entornos de autenticación remota. Esta vulnerabilidad se corrige en 3.1.0.
  • Vulnerabilidad en Tornado de tornadoweb (CVE-2026-31958)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Tornado es un framework web de Python y una biblioteca de red asíncrona. En versiones de Tornado anteriores a la 6.5.5, el único límite en el número de partes en multipart/form-data es la configuración max_body_size (predeterminado 100MB). Dado que el análisis ocurre de forma síncrona en el hilo principal, esto crea la posibilidad de denegación de servicio debido al costo de analizar cuerpos multipart muy grandes con muchas partes. Esta vulnerabilidad se corrige en la 6.5.5.
  • Vulnerabilidad en Quill de anchore (CVE-2026-31959)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Quill proporciona firma binaria de mac y notarización simple desde cualquier plataforma. Quill antes de la versión v0.7.1 contiene una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) al intentar obtener los registros de envío de notarización de Apple. La explotación requiere la capacidad de modificar respuestas de la API del servicio de notarización de Apple, lo cual no es posible bajo condiciones de red estándar debido a HTTPS con validación adecuada de certificados TLS; sin embargo, entornos con proxies de intercepción TLS (comunes en redes corporativas), autoridades de certificación comprometidas, u otras violaciones de límites de confianza están en riesgo. Al recuperar los registros de envío, Quill obtiene una URL proporcionada en la respuesta de la API sin validar que el esquema sea https o que el host no apunte a una dirección IP local o de multidifusión. Un atacante que puede manipular la respuesta puede proporcionar una URL arbitraria, haciendo que el cliente de Quill emita peticiones HTTP o HTTPS a destinos de red controlados por el atacante o internos. Esto podría llevar a la exfiltración de datos sensibles como credenciales de proveedores de la nube o respuestas de servicios internos. Tanto la CLI de Quill como la biblioteca se ven afectadas cuando se usan para recuperar los registros de envío de notarización. Esta vulnerabilidad está corregida en 0.7.1.
  • Vulnerabilidad en Quill de anchore (CVE-2026-31960)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Quill proporciona firma binaria de mac simple y notarización desde cualquier plataforma. Quill antes de la versión v0.7.1 tiene lecturas ilimitadas de cuerpos de respuesta HTTP durante el proceso de notarización de Apple. La explotación requiere la capacidad de modificar respuestas de API del servicio de notarización de Apple, lo cual no es posible bajo condiciones de red estándar debido a HTTPS con validación adecuada de certificados TLS; sin embargo, entornos con proxies de intercepción TLS (comunes en redes corporativas), autoridades de certificación comprometidas, u otras violaciones de límites de confianza están en riesgo. Al procesar respuestas HTTP durante la notarización, Quill lee el cuerpo completo de la respuesta en la memoria sin ningún límite de tamaño. Un atacante que puede controlar o modificar el contenido de la respuesta puede devolver una carga útil arbitrariamente grande, haciendo que el cliente de Quill se quede sin memoria y falle. El impacto se limita a la disponibilidad; no hay efecto en la confidencialidad o integridad. Tanto la CLI de Quill como la biblioteca se ven afectadas cuando se utilizan para realizar operaciones de notarización. Esta vulnerabilidad se corrige en 0.7.1.
  • Vulnerabilidad en Quill de anchore (CVE-2026-31961)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Quill proporciona firma binaria de mac y notarización simples desde cualquier plataforma. Quill antes de la versión v0.7.1 contiene una vulnerabilidad de asignación de memoria ilimitada al analizar binarios Mach-O. La explotación requiere que Quill procese un binario Mach-O proporcionado por un atacante, lo cual es más probable en entornos como pipelines de CI/CD, servicios de firma compartidos o cualquier flujo de trabajo donde se acepten binarios enviados externamente para la firma. Al analizar un binario Mach-O, Quill lee varios campos de tamaño y recuento del comando de carga LC_CODE_SIGNATURE y estructuras de firma de código incrustadas (SuperBlob, BlobIndex) y los usa para asignar búferes de memoria sin validar que los valores sean razonables o consistentes con el tamaño real del archivo. Los campos afectados incluyen DataSize, DataOffset y Size del comando de carga, Count del encabezado SuperBlob y Length de los encabezados de blobs individuales. Un atacante puede crear un binario Mach-O malicioso mínimo (~4KB) con valores extremadamente grandes en estos campos, lo que hace que Quill intente asignar memoria excesiva. Esto lleva al agotamiento de la memoria y a la denegación de servicio, lo que podría bloquear el proceso anfitrión. Tanto la CLI de Quill como la biblioteca de Go se ven afectadas cuando se usan para analizar archivos Mach-O no confiables. Esta vulnerabilidad se corrige en 0.7.1.
  • Vulnerabilidad en xygeni-action de xygeni (CVE-2026-31976)
    Severidad: CRÍTICA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    xygeni-action es la Acción de GitHub para Xygeni Scanner. El 3 de marzo de 2026, un atacante con acceso a credenciales comprometidas creó una serie de solicitudes de extracción (#46, #47, #48) inyectando código shell ofuscado en action.yml. Las solicitudes de extracción fueron bloqueadas por las reglas de protección de rama y nunca se fusionaron en la rama principal. Sin embargo, el atacante utilizó las credenciales comprometidas de la aplicación de GitHub para mover la etiqueta mutable v5 para que apuntara al commit malicioso (4bf1d4e19ad81a3e8d4063755ae0f482dd3baf12) de una de las solicitudes de extracción no fusionadas. Este commit permaneció en el almacén de objetos git del repositorio, y cualquier flujo de trabajo que hiciera referencia a @v5 lo recuperaría y ejecutaría. Esto es un compromiso de la cadena de suministro mediante envenenamiento de etiquetas. Cualquier flujo de trabajo de GitHub Actions que hiciera referencia a xygeni/xygeni-action@v5 durante la ventana afectada (aproximadamente del 3 al 10 de marzo de 2026) ejecutó un implante C2 que otorgó al atacante ejecución arbitraria de comandos en el ejecutor de CI por hasta 180 segundos por ejecución de flujo de trabajo.
  • Vulnerabilidad en Himmelblau de himmelblau-idm (CVE-2026-31979)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Himmelblau es una suite de interoperabilidad para Microsoft Azure Entra ID e Intune. Antes de las versiones 3.1.0 y 2.3.8, el demonio himmelblaud-tasks, ejecutándose como root, escribe archivos de caché de Kerberos bajo /tmp/krb5cc_ sin protecciones de enlaces simbólicos. Desde el commit 87a51ee, PrivateTmp se elimina explícitamente del endurecimiento de systemd del demonio de tareas, exponiéndolo al /tmp del host. Un usuario local puede explotar esto mediante ataques de enlaces simbólicos para cambiar el propietario (chown) o sobrescribir archivos arbitrarios, logrando una escalada de privilegios local. Esta vulnerabilidad está corregida en las versiones 3.1.0 y 2.3.8.
  • Vulnerabilidad en Shescape de ericcornelissen (CVE-2026-32094)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Shescape es una sencilla biblioteca de escape de shell para JavaScript. Antes de la versión 2.1.10, Shescape#escape() no escapa la sintaxis glob de corchetes para Bash, BusyBox sh y Dash. Las aplicaciones que interpolan el valor de retorno directamente en una cadena de comando de shell pueden hacer que un valor controlado por un atacante, como secret[12], se expanda en múltiples coincidencias del sistema de archivos en lugar de un único argumento literal, convirtiendo un argumento en múltiples coincidencias de rutas de confianza. Esta vulnerabilidad está corregida en la versión 2.1.10.
  • Vulnerabilidad en Google Chrome (CVE-2026-3935)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    UI de seguridad incorrecta en WebAppInstalls en Google Chrome anterior a 146.0.7680.71 permitió a un atacante remoto realizar suplantación de UI mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
  • Vulnerabilidad en Chrome (CVE-2026-3937)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Una interfaz de usuario de seguridad incorrecta en Descargas en Google Chrome para Android anterior a 146.0.7680.71 permitió a un atacante remoto realizar suplantación de interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
  • Vulnerabilidad en Chrome (CVE-2026-3938)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 16/03/2026
    Aplicación insuficiente de políticas en el Portapapeles en Google Chrome anterior a la versión 146.0.7680.71 permitió a un atacante remoto que había comprometido el proceso de renderizado filtrar datos de origen cruzado a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
  • Vulnerabilidad en QNAP Systems (CVE-2025-59388)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    Se ha informado que una vulnerabilidad de uso de contraseña codificada de forma rígida afecta a Hyper Data Protector. Los atacantes remotos pueden entonces explotar la vulnerabilidad para obtener acceso no autorizado. Ya hemos corregido la vulnerabilidad en la siguiente versión: Hyper Data Protector 2.3.1.455 y posteriores
  • Vulnerabilidad en DIR-513 de D-Link (CVE-2026-3978)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    Una vulnerabilidad fue detectada en D-Link DIR-513 1.10. El elemento afectado es una función desconocida del archivo /goform/formEasySetupWizard3. La manipulación del argumento wan_connected resulta en desbordamiento de búfer basado en pila. El ataque puede ser lanzado remotamente. El exploit es ahora público y puede ser usado.
  • Vulnerabilidad en OpenClaw (CVE-2026-4039)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    Se determinó una vulnerabilidad en OpenClaw 2026.2.19-2. Esta vulnerabilidad afecta la función applySkillConfigenvOverrides del componente Gestor de Entorno de Habilidades. Ejecutar una manipulación puede conducir a la inyección de código. Es posible lanzar el ataque remotamente. Actualizar a la versión 2026.2.21-beta.1 puede resolver este problema. Este parche se llama 8c9f35cdb51692b650ddf05b259ccdd75cc9a83c. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en OpenClaw (CVE-2026-4040)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    Una vulnerabilidad fue identificada en OpenClaw hasta 2026.2.17. Este problema afecta la función tools.exec.safeBins del componente Gestor de Existencia de Archivos. La manipulación conduce a la exposición de información a través de discrepancia. El ataque necesita ser realizado localmente. La actualización a la versión 2026.2.19-beta.1 es capaz de abordar este problema. El identificador del parche es bafdbb6f112409a65decd3d4e7350fbd637c7754. Se aconseja actualizar el componente afectado.
  • Vulnerabilidad en 202CMS de Sourceforge (CVE-2019-25538)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    202CMS v10 beta contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados manipular consultas a la base de datos inyectando código SQL a través del parámetro log_user. Los atacantes pueden enviar solicitudes manipuladas con sentencias SQL maliciosas en el campo log_user para extraer información sensible de la base de datos o modificar el contenido de la base de datos.
  • Vulnerabilidad en 202CMS de Sourceforge (CVE-2019-25539)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    202CMS v10 beta contiene una vulnerabilidad de inyección SQL ciega que permite a atacantes no autenticados manipular consultas de la base de datos inyectando código SQL a través del parámetro log_user. Los atacantes pueden enviar solicitudes POST a index.php con cargas útiles SQL manipuladas utilizando técnicas de inyección ciega basada en tiempo para extraer información sensible de la base de datos.
  • Vulnerabilidad en unhead de unjs (CVE-2026-31860)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    Unhead es un gestor de cabecera de documento y plantillas. Antes de la 2.1.11, se puede eludir useHeadSafe() para inyectar atributos HTML arbitrarios, incluyendo manejadores de eventos, en etiquetas renderizadas por SSR. Este es el composable que la documentación de Nuxt recomienda para manejar de forma segura contenido generado por el usuario. La función acceptDataAttrs (safe.ts, línea 16-20) permite cualquier clave de propiedad que comience con 'data-' hasta el HTML final. Solo verifica el prefijo, no si la clave contiene espacios u otros caracteres que rompen el análisis de atributos HTML. Esta vulnerabilidad está corregida en la 2.1.11.
  • Vulnerabilidad en unhead de unjs (CVE-2026-31873)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    Unhead es un gestor de cabeceras de documento y plantillas. Antes de la versión 2.1.11, la comprobación de link.href en makeTagSafe (safe.ts) utiliza String.includes(), que distingue entre mayúsculas y minúsculas. Los navegadores tratan los esquemas URI sin distinguir entre mayúsculas y minúsculas. DATA:text/css,... es lo mismo que data:text/css,... para el navegador, pero 'DATA:...'.includes('data:') devuelve falso. Un atacante puede inyectar CSS arbitrario para la manipulación de la interfaz de usuario o la exfiltración de datos a través de selectores de atributos CSS con retrollamadas de background-image. Esta vulnerabilidad se corrige en la versión 2.1.11.
  • Vulnerabilidad en inspektor-gadget (CVE-2026-31890)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    Inspektor Gadget es un conjunto de herramientas y framework para la recopilación de datos y la inspección del sistema en clústeres de Kubernetes y hosts de Linux usando eBPF. Antes de la versión 0.50.1, en una situación donde el búfer circular de un gadget está – incidental o maliciosamente – ya lleno, el gadget descartará eventos silenciosamente. El archivo include/gadget/buffer.h contiene definiciones para la API de búfer que los gadgets pueden usar para, entre otras cosas, transferir datos de programas eBPF al espacio de usuario. Para hosts que ejecutan un kernel de Linux lo suficientemente moderno (>= 5.8), este mecanismo de transferencia se basa en búferes circulares. El tamaño del búfer circular para los gadgets está codificado a 256KB. Cuando un gadget_reserve_buf falla debido a espacio insuficiente, el gadget se limpia silenciosamente sin producir una alerta. El recuento de pérdidas informado por el operador eBPF, cuando se usan búferes circulares – la opción moderna – está codificado a cero. La vulnerabilidad puede ser utilizada por una fuente de eventos maliciosa (por ejemplo, un contenedor comprometido) para causar una denegación de servicio, forzando al sistema a descartar eventos provenientes de otros contenedores (o del mismo contenedor). Esta vulnerabilidad está corregida en la versión 0.50.1.
  • Vulnerabilidad en magic-wormhole (CVE-2026-32116)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 16/03/2026
    Magic Wormhole permite obtener archivos y directorios de tamaño arbitrario de un ordenador a otro. Desde la versión 0.21.0 hasta antes de la 0.23.0, recibir un archivo (wormhole receive) de un actor malicioso podría resultar en la sobrescritura de archivos locales críticos, incluyendo ~/.ssh/authorized_keys y .bashrc. Esto podría utilizarse para comprometer el ordenador del receptor. Solo el remitente del archivo (el actor que ejecuta wormhole send) puede llevar a cabo el ataque. Otras partes (incluyendo los servidores de tránsito/retransmisión) quedan excluidas por el protocolo wormhole. Esta vulnerabilidad está corregida en la versión 0.23.0.