Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en kernel de Linux (CVE-2024-35861)
    Severidad: ALTA
    Fecha de publicación: 19/05/2024
    Fecha de última actualización: 24/03/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: smb: cliente: corrige UAF potencial en cifs_signal_cifsd_for_reconnect() Omita las sesiones que se están eliminando (estado == SES_EXITING) para evitar UAF.
  • Vulnerabilidad en kernel de Linux (CVE-2024-35863)
    Severidad: ALTA
    Fecha de publicación: 19/05/2024
    Fecha de última actualización: 24/03/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: smb: cliente: corrige UAF potencial en is_valid_oplock_break() Omita las sesiones que se están eliminando (estado == SES_EXITING) para evitar UAF.
  • Vulnerabilidad en kernel de Linux (CVE-2024-41096)
    Severidad: ALTA
    Fecha de publicación: 29/07/2024
    Fecha de última actualización: 24/03/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: PCI/MSI: corrige UAF en msi_capability_init KFENCE informa el siguiente UAF: ERROR: KFENCE: lectura de uso después de liberación en __pci_enable_msi_range+0x2c0/0x488 Lectura de uso después de liberación en 0x0000000024629571 (en kfence-#12): __pci_enable_msi_range+0x2c0/0x488 pci_alloc_irq_vectors_affinity+0xec/0x14c pci_alloc_irq_vectors+0x18/0x28 kfence-#12: 0x0000000008614900-0x00000000e06c22 8d, tamaño=104, caché=kmalloc-128 asignado por la tarea 81 en la CPU 7 en 10.808142 s: __kmem_cache_alloc_node+0x1f0/0x2bc kmalloc_trace+0x44/0x138 msi_alloc_desc+0x3c/0x9c msi_domain_insert_msi_desc+0x30/0x78 msi_setup_msi_desc+0x13c/0x184 __pci_enable_msi_range+0 x258/0x488 pci_alloc_irq_vectors_affinity+0xec/0x14c pci_alloc_irq_vectors+0x18/0x28 liberado por la tarea 81 en la CPU 7 en 10.811436s: msi_domain_free_descs+0xd4/0x10c msi_domain_free_locked.part.0+0xc0/0x1d8 msi_domain_alloc_irqs_all_locked+0xb4/0xbc pci_msi_setup_msi_irqs+0x30/0x4c __pci_enable_msi_range+ 0x2a8/0x488 pci_alloc_irq_vectors_affinity+0xec/0x14c pci_alloc_irq_vectors+0x18/0x28 Asignación de descriptores realizada en: __pci_enable_msi_range msi_capability_init msi_setup_msi_desc msi_insert_msi_desc msi_domain_insert_msi_desc msi_alloc_desc ... Liberado en caso de fallo en __msi_domain_alloc_locked() __pci_enable_msi_range msi_capability_init pci_msi_setup_msi_irqs msi_domain_alloc_irqs_all_locked msi_domain_alloc_locked __msi_ domain_alloc_locked => falla msi_domain_free_locked... Ese error se propaga nuevamente a pci_msi_setup_msi_irqs() en msi_capability_init() que accede al descriptor para desenmascarar en la salida de error camino. Soréguelo copiando el descriptor y usando la copia para la operación de desenmascarar la ruta de salida del error. [tglx: registro de cambios masajeado]
  • Vulnerabilidad en kernel de Linux (CVE-2024-42136)
    Severidad: ALTA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 24/03/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: cdrom: reorganice la verificación de last_media_change para evitar un desbordamiento involuntario. Al ejecutar syzkaller con el sanitizador de ajuste de enteros firmado recientemente reintroducido, nos encontramos con este símbolo: [366.015950] UBSAN: desbordamiento de enteros firmados en .. /drivers/cdrom/cdrom.c:2361:33 [ 366.021089] -9223372036854775808 - 346321 no se puede representar en el tipo '__s64' (también conocido como 'long long') [ 366.025894] El programa syz-executor.4 está utilizando un ioctl SCSI obsoleto, conviértalo a SG_IO [366.027502] CPU: 5 PID: 28472 Comm: syz-executor.7 Not tainted 6.8.0-rc2-00035-gb3ef86b5a957 #1 [366.027512] Nombre de hardware: PC estándar QEMU (i440FX + PIIX, 1996) , BIOS 1.16.3-debian-1.16.3-2 01/04/2014 [ 366.027518] Seguimiento de llamadas: [ 366.027523] [ 366.027533] dump_stack_lvl+0x93/0xd0 [ 366.027899] 1b0 [366.038787] ata1 .00: ¿multi_count 32 no válido se ignora [366.043924] cdrom_ioctl+0x2c3f/0x2d10 [366.063932]? __pm_runtime_resume+0xe6/0x130 [ 366.071923] sr_block_ioctl+0x15d/0x1d0 [ 366.074624] ? __pfx_sr_block_ioctl+0x10/0x10 [ 366.077642] blkdev_ioctl+0x419/0x500 [ 366.080231] ? __pfx_blkdev_ioctl+0x10/0x10 ... Históricamente, el sanitizador de desbordamiento de enteros con signo no funcionaba en el kernel debido a su interacción con `-fwrapv` pero desde entonces esto se ha cambiado [1] en la versión más reciente de Clang. Se volvió a habilitar en el kernel con el compromiso 557f8c582a9ba8ab ("ubsan: reintroducir el sanitizadorde desbordamiento firmado"). Reorganicemos la verificación para no realizar ninguna aritmética y así no activar el sanitizador.
  • Vulnerabilidad en Splunk (CVE-2026-20163)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 24/03/2026
    En las versiones de Splunk Enterprise anteriores a 10.2.0, 10.0.4, 9.4.9 y 9.3.10, y las versiones de Splunk Cloud Platform anteriores a 10.2.2510.5, 10.0.2503.12, 10.1.2507.16 y 9.3.2411.124, un usuario que posee un rol que contiene la capacidad de alto privilegio 'edit_cmd' podría ejecutar comandos de shell arbitrarios utilizando el parámetro 'unarchive_cmd' para el endpoint REST /splunkd/__upload/indexing/preview.
  • Vulnerabilidad en SuiteCRM (CVE-2026-29096)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    SuiteCRM es una aplicación de software de gestión de relaciones con clientes (CRM) de código abierto, lista para empresas. Antes de las versiones 7.15.1 y 8.9.3, al crear o editar un informe (módulo AOR_Reports), el parámetro 'field_function' de los datos POST se guarda directamente en la tabla 'aor_fields' sin ninguna validación. Más tarde, cuando el informe se ejecuta/visualiza, este valor se concatena directamente en una consulta SQL SELECT sin saneamiento, lo que permite una inyección SQL de segundo orden. Cualquier usuario autenticado con acceso a Informes puede extraer contenido arbitrario de la base de datos (hashes de contraseñas, tokens de API, valores de configuración). En MySQL con privilegio FILE, esto podría llevar a RCE a través de SELECT INTO OUTFILE. Las versiones 7.15.1 y 8.9.3 corrigen el problema.
  • Vulnerabilidad en SuiteCRM (CVE-2026-29097)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    SuiteCRM es una aplicación de software de Gestión de Relaciones con Clientes (CRM) de código abierto y de nivel empresarial. Las versiones anteriores a la 7.15.1 y 8.9.3 contienen una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) combinada con una condición de denegación de servicio (DoS) en el componente RSS Feed Dashlet. Las versiones 7.15.1 y 8.9.3 corrigen el problema.
  • Vulnerabilidad en SuiteCRM (CVE-2026-29098)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    SuiteCRM es una aplicación de software de Gestión de Relaciones con Clientes (CRM) de código abierto y lista para empresas. Antes de las versiones 7.15.1 y 8.9.3, la función 'action_exportCustom' en 'modules/ModuleBuilder/controller.php' no logra neutralizar correctamente las secuencias de salto de ruta en los parámetros '$modules' y '$name'. Ambos parámetros luego alcanzan la función 'exportCustom' en 'modules/ModuleBuilder/MB/MBPackage.php' donde ambos son utilizados en la construcción de rutas para la lectura y escritura de archivos. Como tal, es posible que un usuario con acceso al módulo ModuleBuilder, generalmente un administrador, elabore una solicitud que pueda copiar el contenido de cualquier directorio legible en el host subyacente en la raíz web, haciéndolos legibles. Como el módulo 'ModuleBuilder' es parte de ambas versiones principales 7 y 8, ambas versiones principales actuales están afectadas. Esta vulnerabilidad permite a un atacante copiar cualquier directorio legible en la raíz web. Esto incluye archivos del sistema como el contenido de '/etc', o el directorio raíz del servidor web, exponiendo potencialmente secretos y variables de entorno. Las versiones 7.15.1 y 8.9.3 parchean el problema.
  • Vulnerabilidad en SuiteCRM (CVE-2026-29099)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    SuiteCRM es una aplicación de software de Gestión de Relaciones con Clientes (CRM) de código abierto y lista para empresas. Antes de las versiones 7.15.1 y 8.9.3, la función 'retrieve()' en 'include/OutboundEmail/OutboundEmail.php' no neutraliza correctamente el parámetro '$id' controlado por el usuario. Se asume que la función que llama a 'retrieve()' citará y saneará adecuadamente la entrada del usuario. Sin embargo, se han identificado dos ubicaciones a las que se puede acceder a través de la acción 'EmailUIAjax' en el módulo 'Email()' donde este no es el caso. Como tal, es posible que un usuario autenticado realice una inyección SQL a través de la función 'retrieve()'. Esto afecta a las últimas versiones principales 7.15 y 8.9. Dado que no parece haber restricciones sobre qué tablas pueden ser llamadas, sería posible para un atacante recuperar información arbitraria de la base de datos, incluyendo información de usuario y hashes de contraseña. Las versiones 7.15.1 y 8.9.3 parchean el problema.
  • Vulnerabilidad en AVideo-Encoder (CVE-2026-33024)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    AVideo es una plataforma para compartir videos. Las versiones anteriores a la 8.0 contienen una vulnerabilidad de falsificación de petición del lado del servidor (CWE-918) en los puntos finales públicos de miniaturas getImage.php y getImageMP4.php. Ambos puntos finales aceptan un parámetro GET base64Url, lo decodifican en base64 y pasan la URL resultante a ffmpeg como fuente de entrada sin ningún requisito de autenticación. La validación previa solo verificaba que la URL fuera sintácticamente válida (FILTER_VALIDATE_URL) y comenzara con http(s)://. Esto es insuficiente: un atacante puede proporcionar URLs como http://169.254.169.254/latest/meta-data/ (metadatos de instancia de AWS/nube), http://192.168.x.x/, o http://127.0.0.1/ para hacer que el servidor acceda a recursos de red internos. La respuesta no se devuelve directamente (ciega), pero las diferencias de tiempo y los registros de errores pueden usarse para inferir resultados. El problema ha sido solucionado en la versión 8.0.
  • Vulnerabilidad en AVideo-Encoder (CVE-2026-33025)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    AVideo es una plataforma para compartir videos. Las versiones anteriores a la 8.0 contienen una vulnerabilidad de inyección SQL en el método getSqlFromPost() de Object.php. Las claves del array $_POST['sort'] se utilizan directamente como identificadores de columna SQL dentro de una cláusula ORDER BY. Aunque se aplicó real_escape_string(), solo escapa caracteres de contexto de cadena (comillas, bytes nulos) y no proporciona protección para los identificadores SQL — lo que la hace completamente ineficaz aquí. Este problema se ha solucionado en la versión 8.0. Para solucionar este problema sin actualizar, los operadores pueden aplicar una regla de WAF para bloquear solicitudes POST donde cualquier clave sort[*] contenga caracteres fuera de [A-Za-z0-9_]. Alternativamente, restringir el acceso a la vista de cola (queue.json.php, index.php) solo a rangos de IP de confianza.
  • Vulnerabilidad en WWBN AVideo (CVE-2026-33035)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    WWBN AVideo es una plataforma de video de código abierto. En las versiones 25.0 e inferiores, existe una vulnerabilidad de XSS reflejado que permite a atacantes no autenticados ejecutar JavaScript arbitrario en el navegador de una víctima. La entrada del usuario de un parámetro de URL fluye a través de json_encode() de PHP hacia una función de JavaScript que lo renderiza mediante innerHTML, omitiendo la codificación y logrando la ejecución completa del script. La vulnerabilidad es causada por dos problemas que trabajan juntos: entrada de usuario sin escapar pasada a JavaScript (videoNotFound.php), y innerHTML renderizando etiquetas HTML como DOM ejecutable (script.js). El ataque puede escalarse para robar cookies de sesión, tomar el control de cuentas, suplantar credenciales mediante formularios de inicio de sesión inyectados, propagar cargas útiles auto-propagantes y comprometer cuentas de administrador — todo explotando la falta de sanitización adecuada de la entrada y la seguridad de las cookies (p. ej., la ausencia de la bandera HttpOnly en PHPSESSID). El problema ha sido solucionado en la versión 26.0.
  • Vulnerabilidad en Mesop (CVE-2026-33054)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Mesop es un framework de interfaz de usuario basado en Python que permite a los usuarios construir aplicaciones web. Las versiones 1.2.2 e inferiores contienen una vulnerabilidad de salto de ruta que permite a cualquier usuario que suministre un state_token no confiable a través de la carga útil del flujo de la interfaz de usuario dirigirse arbitrariamente a archivos en el disco bajo el backend de tiempo de ejecución estándar basado en archivos. Esto puede resultar en denegación de servicio de la aplicación (a través de bucles de bloqueo al leer archivos de destino que no son msgpack como configuraciones), o manipulación arbitraria de archivos. Esta vulnerabilidad expone gravemente los sistemas alojados que utilizan FileStateSessionBackend. Actores maliciosos no autorizados podrían interactuar con cargas útiles arbitrarias sobrescribiendo o eliminando explícitamente recursos de servicio subyacentes de forma nativa fuera de los límites de la aplicación. Este problema ha sido solucionado en la versión 1.2.3.
  • Vulnerabilidad en Tekton Pipelines (CVE-2026-33022)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    El proyecto Tekton Pipelines proporciona recursos estilo k8s para declarar pipelines estilo CI/CD. Las versiones 0.60.0 a 1.0.0, 1.1.0 a 1.3.2, 1.4.0 a 1.6.0, 1.7.0 a 1.9.0, 1.10.0 y 1.10.1 tienen una vulnerabilidad de denegación de servicio que permite a cualquier usuario que pueda crear un TaskRun o PipelineRun bloquear el controlador en todo el clúster al establecer .spec.taskRef.resolver (o .spec.pipelineRef.resolver) a una cadena de 31 o más caracteres. El bloqueo ocurre porque GenerateDeterministicNameFromSpec produce un nombre que excede el límite de etiqueta DNS-1123 de 63 caracteres, y su lógica de truncamiento entra en pánico en un límite de segmento [-1] ya que el nombre generado no contiene espacios. Una vez bloqueado, el controlador entra en un CrashLoopBackOff al reiniciar (ya que vuelve a reconciliar el recurso infractor), bloqueando toda la reconciliación de CI/CD hasta que el recurso se elimine manualmente. Los resolvedores incorporados (git, cluster, bundles, hub) no se ven afectados debido a sus nombres cortos, pero cualquier nombre de resolvedor personalizado activa el error. La solución trunca el prefijo del nombre del resolvedor en lugar de la cadena completa, preservando el sufijo hash para determinismo y unicidad. Este problema ha sido parcheado en las versiones 1.0.1, 1.3.3, 1.6.1, 1.9.2 y 1.10.2.
  • Vulnerabilidad en tar-rs (CVE-2026-33056)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    tar-rs es una biblioteca de lectura/escritura de archivos tar para Rust. En las versiones 0.4.44 e inferiores, al desempaquetar un archivo tar, la función `unpack_dir` del crate `tar` utiliza `fs::metadata()` para verificar si una ruta que ya existe es un directorio. Debido a que `fs::metadata()` sigue los enlaces simbólicos, un tarball manipulado que contiene una entrada de enlace simbólico seguida de una entrada de directorio con el mismo nombre hace que el crate trate el destino del enlace simbólico como un directorio existente válido y, posteriormente, le aplique `chmod`. Esto permite a un atacante modificar los permisos de directorios arbitrarios fuera de la raíz de extracción. Este problema ha sido solucionado en la versión 0.4.45.
  • Vulnerabilidad en Mesop (CVE-2026-33057)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Mesop es un framework de UI basado en Python que permite a los usuarios construir aplicaciones web. En las versiones 1.2.2 e inferiores, un endpoint web explícito dentro de la infraestructura del módulo de pruebas ai/ ingiere directamente cadenas de código Python no confiables incondicionalmente sin medidas de autenticación, lo que resulta en una Ejecución Remota de Código sin Restricciones estándar. Cualquier individuo capaz de enrutar lógica HTTP a este bloque de servidor obtendrá derechos explícitos de comando de la máquina anfitriona. El paquete de código base de IA incluye un servidor Flask de depuración ligero dentro de ai/sandbox/wsgi_app.py. La ruta /exec-py acepta cargas útiles de cadenas en bruto codificadas en base_64 dentro del parámetro code, evaluadas nativamente por una solicitud web POST básica. Lo guarda rápidamente en la ruta lógica del sistema operativo y lo inyecta recursivamente usando execute_module(module_path...). Este problema ha sido solucionado en la versión 1.2.3.
  • Vulnerabilidad en Stirling-PDF (CVE-2026-27625)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Stirling-PDF es una aplicación web alojada localmente que realiza diversas operaciones en archivos PDF. En versiones anteriores a la 2.5.2, el endpoint /API/v1/convert/markdown/pdf extrae entradas ZIP proporcionadas por el usuario sin comprobaciones de ruta. Cualquier usuario autenticado puede escribir archivos fuera del directorio de trabajo temporal previsto, lo que lleva a la escritura arbitraria de archivos con los privilegios del usuario del proceso de Stirling-PDF (stirlingpdfuser). Esto puede sobrescribir archivos escribibles y comprometer la integridad de los datos, con un impacto adicional dependiendo de las rutas escribibles. El problema se solucionó en la versión 2.5.2.
  • Vulnerabilidad en Claude Code (CVE-2026-33068)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Claude Code es una herramienta de codificación agéntica. Las versiones anteriores a la 2.1.53 resolvían el modo de permiso a partir de archivos de configuración, incluyendo el .claude/settings.json controlado por el repositorio, antes de determinar si mostrar el diálogo de confirmación de confianza del espacio de trabajo. Un repositorio malicioso podría establecer permissions.defaultMode a bypassPermissions en su .claude/settings.json confirmado, causando que el diálogo de confianza se omitiera silenciosamente en la primera apertura. Esto permitía que un usuario fuera colocado en un modo permisivo sin ver la solicitud de confirmación de confianza, facilitando que un repositorio controlado por un atacante obtuviera la ejecución de la herramienta sin el consentimiento explícito del usuario. Este problema ha sido parcheado en la versión 2.1.53.
  • Vulnerabilidad en Uptime Kuma (CVE-2026-33130)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Uptime Kuma es una herramienta de monitoreo de código abierto y autoalojada. En las versiones 1.23.0 a 2.2.0, la corrección de GHSA-vffh-c9pq-4crh no funciona completamente para prevenir la Inyección de Plantillas del Lado del Servidor (SSTI). Las tres mitigaciones añadidas al motor Liquid (root, relativeReference, dynamicPartials) solo bloquean rutas entre comillas. Si un proyecto utiliza una ruta absoluta sin comillas, los atacantes aún pueden leer cualquier archivo en el servidor. La corrección original en notification-provider.js solo restringe los dos primeros pasos de la resolución de archivos de LiquidJS (a través de las opciones root, relativeReference y dynamicPartials), pero el tercer paso, el fallback de require.resolve() en liquid.node.js no tiene una verificación de contención, permitiendo que rutas absolutas sin comillas como /etc /passwd se resuelvan con éxito. Las rutas entre comillas se bloquean solo porque los caracteres de comillas literales hacen que require.resolve('"/etc /passwd"') arroje un error MODULE_NOT_FOUND, no debido a ninguna medida de seguridad intencional. Este problema ha sido corregido en la versión 2.2.1.
  • Vulnerabilidad en Traefik (CVE-2026-32305)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Traefik es un proxy inverso HTTP y balanceador de carga. Las versiones 2.11.40 e inferiores, 3.0.0-beta1 hasta 3.6.11, y 3.7.0-ea.1 son vulnerables a un bypass de mTLS a través de la lógica de pre-sniffing de SNI de TLS relacionada con paquetes ClientHello fragmentados. Cuando un ClientHello de TLS se fragmenta en múltiples registros, la extracción de SNI de Traefik puede fallar con un EOF y devolver un SNI vacío. El router TCP entonces recurre a la configuración TLS predeterminada, que no requiere certificados de cliente por defecto. Esto permite a un atacante saltarse la aplicación de mTLS a nivel de ruta y acceder a servicios que deberían requerir autenticación TLS mutua. Este problema está parcheado en las versiones 2.11.41, 3.6.11 y 3.7.0-ea.2.
  • Vulnerabilidad en Traefik (CVE-2026-32595)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Traefik es un proxy inverso HTTP y un balanceador de carga. Las versiones 2.11.40 e inferiores, 3.0.0-beta1 hasta 3.6.11, y 3.7.0-ea.1 contienen un middleware BasicAuth que permite la enumeración de nombres de usuario mediante un ataque de temporización. Cuando un nombre de usuario enviado existe, el middleware realiza una comparación de contraseñas bcrypt que tarda aproximadamente 166 ms. Cuando el nombre de usuario no existe, la respuesta se devuelve inmediatamente en aproximadamente 0.6 ms. Esta diferencia de temporización de aproximadamente 298x es observable a través de la red y permite a un atacante no autenticado distinguir de forma fiable los nombres de usuario válidos de los no válidos. Este problema está parcheado en las versiones 2.11.41, 3.6.11 y 3.7.0-ea.2.