Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en flatted de WebReflection (CVE-2026-32141)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 19/03/2026
    flatted es un analizador de JSON circular. Antes de la versión 3.4.0, la función parse() de flatted utiliza una fase recursiva revive() para resolver referencias circulares en JSON deserializado. Cuando se le proporciona una carga útil manipulada con índices $ profundamente anidados o autorreferenciales, la profundidad de recursión es ilimitada, causando un desbordamiento de pila que bloquea el proceso de Node.js. Esta vulnerabilidad se ha corregido en la versión 3.4.0.
  • Vulnerabilidad en uptime-kuma de louislam (CVE-2026-32230)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 19/03/2026
    Uptime Kuma es una herramienta de monitoreo de código abierto y autoalojada. Desde la versión 2.0.0 hasta la 2.1.3, el endpoint GET /api/badge/:id/ping/:duration? en servidor/routers/api-router.js no verifica que el monitor solicitado pertenezca a un grupo público. Todos los demás endpoints de insignia verifican AND public = 1 en su consulta SQL antes de devolver datos. El endpoint de ping omite esta verificación por completo, permitiendo a usuarios no autenticados extraer datos de tiempo promedio de ping/respuesta para monitores privados. Esta vulnerabilidad está corregida en la versión 2.2.0.
  • Vulnerabilidad en zeptoclaw de qhkm (CVE-2026-32232)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 19/03/2026
    ZeptoClaw es un asistente personal de IA. Antes de la versión 0.7.6, existe una omisión de componente de enlace simbólico colgante, TOCTOU entre validación y uso, y omisión de alias de enlace duro. Esta vulnerabilidad está corregida en la versión 0.7.6.
  • Vulnerabilidad en plugin-auth-backend de @backstage (CVE-2026-32235)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 19/03/2026
    Backstage es un framework abierto para construir portales de desarrolladores. Antes de la versión 0.27.1, el proveedor OIDC experimental en @backstage/plugin-auth-backend es vulnerable a un bypass de la lista de permitidos de URI de redirección. Las instancias que han habilitado el Registro Dinámico de Clientes experimental o los Documentos de Metadatos de ID de Cliente y han configurado allowedRedirectUriPatterns se ven afectadas. Una URI de redirección especialmente diseñada puede pasar la validación de la lista de permitidos mientras se resuelve a un host controlado por el atacante. Si una víctima aprueba la solicitud de consentimiento de OAuth resultante, su código de autorización se envía al atacante, quien puede intercambiarlo por un token de acceso válido. Esto requiere la interacción de la víctima y que una de las características experimentales esté explícitamente habilitada, lo cual no es el valor predeterminado. Esta vulnerabilidad se corrige en la versión 0.27.1.
  • Vulnerabilidad en plugin-scaffolder-backend de @backstage (CVE-2026-32237)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 19/03/2026
    Backstage es un framework abierto para construir portales de desarrollador. Antes de la versión 3.1.5, los usuarios autenticados con permiso para ejecutar 'dry-runs' de scaffolder pueden obtener acceso a secretos de entorno configurados en el servidor a través de la respuesta de la API del 'dry-run'. Los secretos se redactan correctamente en la salida de registro, pero no en todas las partes de la carga útil de la respuesta. Las implementaciones que han configurado scaffolder.defaultEnvironment.secrets se ven afectadas. Esto se ha parcheado en la versión 3.1.5 de @backstage/plugin-scaffolder-backend.
  • Vulnerabilidad en tinyauth de steveiliop56 (CVE-2026-32245)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 19/03/2026
    Tinyauth es un servidor de autenticación y autorización. Anterior a la 5.0.3, el endpoint de token OIDC no verifica que el cliente que intercambia un código de autorización sea el mismo cliente al que se le emitió el código. Un operador de cliente OIDC malicioso puede intercambiar el código de autorización de otro cliente usando sus propias credenciales de cliente, obteniendo tokens para usuarios que nunca autorizaron su aplicación. Esto viola la Sección 4.1.3 del RFC 6749. Esta vulnerabilidad se corrige en la 5.0.3.
  • Vulnerabilidad en tinyauth de steveiliop56 (CVE-2026-32246)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 19/03/2026
    Tinyauth es un servidor de autenticación y autorización. Anteriormente a la 5.0.3, el endpoint de autorización OIDC permite a los usuarios con una sesión TOTP pendiente (contraseña verificada, TOTP aún no completado) obtener códigos de autorización. Un atacante que conoce la contraseña de un usuario pero no su secreto TOTP puede obtener tokens OIDC válidos, eludiendo completamente el segundo factor. Esta vulnerabilidad se ha corregido en la versión 5.0.3.