Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la función do_extract_currentfile en minizip (CVE-2014-9485)
    Severidad: MEDIA
    Fecha de publicación: 16/01/2018
    Fecha de última actualización: 24/03/2026
    Vulnerabilidad de salto de directorio en la función do_extract_currentfile en miniunz.c en miniunzip en minizip en versiones anteriores a la 1.1-5 podría permitir que atacantes remotos escriban en archivos arbitrarios mediante una entrada manipulada en un archivo ZIP.
  • Vulnerabilidad en la función cil_reset_classpermission en el compilador CIL en SELinux (CVE-2021-36086)
    Severidad: BAJA
    Fecha de publicación: 01/07/2021
    Fecha de última actualización: 24/03/2026
    El compilador CIL en SELinux versión 3.2, presenta un uso de la memoria previamente liberada en la función cil_reset_classpermission (llamado desde cil_reset_classperms_set y cil_reset_classperms_list)
  • Vulnerabilidad en knock (CVE-2020-36941)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2026
    Fecha de última actualización: 24/03/2026
    Knockpy 4.1.1 contiene una vulnerabilidad de inyección CSV que permite a los atacantes inyectar fórmulas maliciosas en informes CSV a través de encabezados de servidor sin filtrar. Los atacantes pueden manipular los encabezados de respuesta del servidor para incluir fórmulas de hoja de cálculo que se ejecutarán cuando el CSV se abra en aplicaciones de hoja de cálculo.
  • Vulnerabilidad en SyncBreeze (CVE-2020-36946)
    Severidad: ALTA
    Fecha de publicación: 27/01/2026
    Fecha de última actualización: 24/03/2026
    SyncBreeze 10.0.28 contiene una vulnerabilidad de denegación de servicio en el endpoint de inicio de sesión que permite a atacantes remotos colapsar el servicio. Los atacantes pueden enviar una carga útil sobredimensionada en la solicitud de inicio de sesión para sobrecargar la aplicación y potencialmente interrumpir la disponibilidad del servicio.
  • Vulnerabilidad en Windows SMB Server (CVE-2026-26128)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 24/03/2026
    Autenticación incorrecta en el servidor SMB de Windows permite a un atacante autorizado elevar privilegios localmente.
  • Vulnerabilidad en Windows Kernel Elevation (CVE-2026-26132)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 24/03/2026
    Uso después de liberar en el kernel de Windows permite a un atacante autorizado elevar privilegios localmente.
  • Vulnerabilidad en Splunk (CVE-2026-20164)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 24/03/2026
    En las versiones de Splunk Enterprise anteriores a la 10.2.0, 10.0.3, 9.4.9 y 9.3.10, y en las versiones de Splunk Cloud Platform anteriores a la 10.2.2510.5, 10.1.2507.16, 10.0.2503.11 y 9.3.2411.123, un usuario con privilegios bajos que no posee los roles de Splunk 'admin' o 'power' podría acceder al endpoint de la API REST `/splunkd/__raw/servicesNS/-/-/configs/conf-passwords`, que expone los valores de contraseña con hash o en texto plano que se almacenan en el archivo de configuración passwords.conf debido a un control de acceso inadecuado. Esta vulnerabilidad podría permitir la divulgación no autorizada de credenciales sensibles.
  • Vulnerabilidad en Splunk (CVE-2026-20165)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 24/03/2026
    En las versiones de Splunk Enterprise anteriores a 10.2.1, 10.0.4, 9.4.9 y 9.3.10, y en las versiones de Splunk Cloud Platform anteriores a 10.2.2510.7, 10.1.2507.17, 10.0.2503.12 y 9.3.2411.124, un usuario con privilegios bajos que no posee los roles de Splunk 'admin' o 'power' podría recuperar información sensible al inspeccionar el registro de búsqueda del trabajo debido a un control de acceso inadecuado en el canal de registro de MongoClient.
  • Vulnerabilidad en Splunk (CVE-2026-20166)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 24/03/2026
    En las versiones de Splunk Enterprise anteriores a la 10.2.1 y 10.0.4, y en las versiones de Splunk Cloud Platform anteriores a la 10.2.2510.5, 10.1.2507.16 y 10.0.2503.12, un usuario con privilegios bajos que no posee los roles de Splunk 'admin' o 'power' podría recuperar el token de acceso de la API de Observability Cloud a través de la aplicación Discover Splunk Observability Cloud debido a un control de acceso inadecuado. Esta vulnerabilidad no afecta a las versiones de Splunk Enterprise anteriores a la 9.4.9 y 9.3.10 porque la aplicación Discover Splunk Observability Cloud no viene incluida con Splunk Enterprise.
  • Vulnerabilidad en openclaw (CVE-2026-32302)
    Severidad: ALTA
    Fecha de publicación: 13/03/2026
    Fecha de última actualización: 24/03/2026
    OpenClaw es un asistente personal de IA. Antes de 2026.3.11, las conexiones WebSocket originadas en el navegador podían eludir la validación de origen cuando gateway.auth.mode estaba configurado como trusted-proxy y la solicitud llegaba con encabezados de proxy. Una página servida desde un origen no confiable podía conectarse a través de un proxy inverso confiable, heredar una identidad autenticada por proxy y establecer una sesión de operador privilegiada. Esta vulnerabilidad está corregida en 2026.3.11.
  • Vulnerabilidad en apostrophe de apostrophecms (CVE-2026-32730)
    Severidad: ALTA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 24/03/2026
    ApostropheCMS es un framework de gestión de contenido de código abierto. Antes de la versión 4.28.0, el middleware de autenticación de token de portador en `@apostrophecms/express/index.js` (líneas 386-389) contiene una consulta de MongoDB incorrecta que permite que tokens de inicio de sesión incompletos — donde la contraseña fue verificada pero los requisitos de TOTP/MFA NO lo fueron — sean usados como tokens de portador completamente autenticados. Esto omite completamente la autenticación multifactor para cualquier despliegue de ApostropheCMS que use `@apostrophecms/login-totp` o cualquier requisito de inicio de sesión `afterPasswordVerified` personalizado. La versión 4.28.0 corrige el problema.
  • Vulnerabilidad en import-export de apostrophecms (CVE-2026-32731)
    Severidad: CRÍTICA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 24/03/2026
    ApostropheCMS es un framework de gestión de contenido de código abierto. Antes de la versión 3.5.3 de `'@apostrophecms/import-export'`, la función `'extract'`() en `'gzip.js'` construye rutas de escritura de archivos usando `'fs.createWriteStream(path.join(exportPath, header.name))'`. `'path.join'`() no resuelve ni sanitiza segmentos de recorrido como `'../'`. Los concatena tal cual, lo que significa que una entrada tar llamada `'../../evil.js'` se resuelve a una ruta fuera del directorio de extracción previsto. No se realiza ninguna comprobación de ruta canónica antes de que se abra el flujo de escritura. Esta es una vulnerabilidad Zip Slip de libro de texto. Cualquier usuario al que se le haya concedido el permiso de Modificar Contenido Global — un rol asignado rutinariamente a editores de contenido y administradores de sitios — puede cargar un archivo '.tar.gz' manipulado a través de la interfaz de usuario de importación estándar del CMS y escribir contenido controlado por el atacante en cualquier ruta que el proceso de Node.js pueda alcanzar en el sistema de archivos del host. La versión 3.5.3 de `'@apostrophecms/import-export'` soluciona el problema.
  • Vulnerabilidad en romeo de ctfer-io (CVE-2026-32737)
    Severidad: ALTA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 25/03/2026
    Romeo proporciona la capacidad de alcanzar una alta cobertura de código de aplicaciones Go ?1.20 al ayudar a medir la cobertura de código para pruebas funcionales y de integración dentro de GitHub Actions. Antes de la versión 0.2.1, debido a una NetworkPolicy mal escrita, un actor malicioso puede pivotar desde el espacio de nombres 'hardened' a cualquier Pod fuera de este. Esto rompe la propiedad de seguridad por defecto esperada como parte del programa de despliegue, lo que lleva a un posible movimiento lateral. Eliminar la NetworkPolicy 'inter-ns' corrige la vulnerabilidad en la versión 0.2.1. Si las actualizaciones no son posibles en entornos de producción, elimine manualmente 'inter-ns' y actualice lo antes posible. Dado el contexto de cada uno, elimine la política de red fallida que debería tener el prefijo 'inter-ns-' en el espacio de nombres de destino.
  • Vulnerabilidad en Romeo (CVE-2026-32805)
    Severidad: ALTA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 24/03/2026
    Romeo permite alcanzar una alta cobertura de código en aplicaciones Go ?1.20, ya que ayuda a medir la cobertura de código en pruebas funcionales y de integración dentro de GitHub Actions. Antes de la versión 0.2.2, la función `sanitizeArchivePath` en `webserver/api/v1/decoder.go` (líneas 80-88) era vulnerable a un bypass de recorrido de ruta debido a la falta de un separador de ruta final en la comprobación `strings.HasPrefix`. Un archivo tar malicioso podía escribir archivos fuera del directorio de destino previsto. La versión 0.2.2 corrige el problema.
  • Vulnerabilidad en QRadar SIEM de IBM (CVE-2025-36051)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    IBM QRadar SIEM 7.5.0 hasta 7.5.0 Update Package 14 almacena información potencialmente sensible en archivos de configuración que podría ser leída por un usuario local.
  • Vulnerabilidad en QRadar SIEM de IBM (CVE-2026-1276)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    IBM QRadar SIEM 7.5.0 hasta 7.5.0 Paquete de Actualización 14 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a un usuario autenticado incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista y lo que podría llevar a la divulgación de credenciales dentro de una sesión de confianza.
  • Vulnerabilidad en Microsoft 365 Copilot (CVE-2026-24299)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Neutralización incorrecta de elementos especiales utilizados en un comando ('inyección de comandos') en M365 Copilot permite a un atacante no autorizado divulgar información a través de una red.
  • Vulnerabilidad en Microsoft 365 Copilot's Business Chat (CVE-2026-26137)
    Severidad: CRÍTICA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Falsificación de petición del lado del servidor (SSRF) en el Chat Empresarial de Microsoft 365 Copilot permite a un atacante autorizado elevar privilegios sobre una red.
  • Vulnerabilidad en Microsoft Purview de Microsoft (CVE-2026-26138)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Falsificación de petición del lado del servidor (SSRF) en Microsoft Purview permite a un atacante no autorizado elevar privilegios a través de una red.
  • Vulnerabilidad en Microsoft Purview de Microsoft (CVE-2026-26139)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Falsificación de petición del lado del servidor (SSRF) en Microsoft Purview permite a un atacante no autorizado elevar privilegios sobre una red.
  • Vulnerabilidad en discourse (CVE-2026-27166)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 25/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, una limpieza insuficiente en el valor predeterminado de iframes permitidos de Codepen permite a un atacante engañar a un usuario para que cambie la URL de la página principal. Este problema ha sido solucionado en las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2. Como solución alternativa a este problema, elimine Codepen de la lista de iframes permitidos.
  • Vulnerabilidad en discourse (CVE-2026-27454)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 25/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, solicitar /posts/:id.json?version=X eludía las comprobaciones de autorización en las revisiones de publicaciones. El método display_post llamaba a post.revert_to directamente sin verificar si la revisión estaba oculta o si el usuario tenía permiso para ver el historial de edición. Esto significaba que las revisiones ocultas (ocultadas intencionadamente por el personal) podían ser leídas por cualquier usuario simplemente enumerando los números de versión. A partir de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, Discourse busca la PostRevision y llama a guardian.ensure_can_see! antes de revertir, de forma consistente con cómo el endpoint /posts/:id/revisions/:revision ya autoriza el acceso. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en discourse (CVE-2026-27491)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 25/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, un problema de coerción de tipos en un endpoint de la API de acciones de publicaciones permitía a usuarios que no eran parte del personal emitir advertencias a otros usuarios. Las advertencias son una característica de moderación solo para el personal. La vulnerabilidad requería que el atacante fuera un usuario con sesión iniciada y enviara una solicitud específicamente diseñada. No fue posible la exposición de datos ni la escalada de privilegios más allá de la capacidad de crear advertencias de usuario no autorizadas. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en discourse (CVE-2026-27570)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 25/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, el método onebox en el modelo SharedAiConversation renderiza el título de la conversación directamente en HTML sin una sanitización adecuada. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Como solución alternativa, restrinja el acceso cambiando la configuración del sitio 'ai_bot_public_sharing_allowed_groups'.
  • Vulnerabilidad en discourse (CVE-2026-27740)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 25/03/2026
    Discourse es una plataforma de discusión de código abierto. Las versiones anteriores a 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 tienen una vulnerabilidad de cross-site scripting que surge porque el sistema confía en la salida sin procesar de un Modelo de Lenguaje Grande de IA (LLM) y la renderiza usando htmlSafe en la interfaz de la Cola de Revisión sin una sanitización adecuada. Un atacante malicioso puede usar técnicas válidas de Inyección de Prompt para forzar a la IA a devolver una carga útil maliciosa (p. ej., etiquetas). Cuando un miembro del personal (Administrador/Moderador) ve la publicación marcada en la Cola de Revisión, la carga útil se ejecuta. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Como solución alternativa, deshabilite temporalmente los scripts de automatización de triaje de IA.
  • Vulnerabilidad en OpenClaw (CVE-2026-32005)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Versiones de OpenClaw anteriores a 2026.2.25 fallan en hacer cumplir las comprobaciones de autorización del remitente para devoluciones de llamada interactivas, incluyendo block_action, view_submission y view_closed, en implementaciones de espacios de trabajo compartidos. Miembros no autorizados del espacio de trabajo pueden eludir las restricciones de allowFrom y las listas blancas de usuarios del canal para poner en cola texto de eventos del sistema en sesiones activas.
  • Vulnerabilidad en OpenClaw (CVE-2026-32006)
    Severidad: BAJA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Versiones de OpenClaw anteriores a 2026.2.26 contienen una vulnerabilidad de omisión de autorización donde las identidades del almacén de emparejamiento de DM son tratadas incorrectamente como identidades de lista de permitidos de grupo cuando dmPolicy=pairing y groupPolicy=allowlist. Atacantes remotos pueden enviar mensajes y reacciones como identidades emparejadas por DM sin una membresía explícita de groupAllowFrom para omitir las comprobaciones de autorización del remitente del grupo.
  • Vulnerabilidad en OpenClaw (CVE-2026-32007)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Las versiones de OpenClaw anteriores a 2026.2.23 contienen una vulnerabilidad de salto de ruta en la herramienta experimental apply_patch que permite a los atacantes con acceso a la sandbox modificar archivos fuera del directorio del espacio de trabajo explotando la aplicación inconsistente de las comprobaciones de solo espacio de trabajo en rutas montadas. Los atacantes pueden usar operaciones de apply_patch en montajes escribibles fuera de la raíz del espacio de trabajo para acceder y modificar archivos arbitrarios en el sistema.
  • Vulnerabilidad en OpenClaw (CVE-2026-32016)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Versiones de OpenClaw anteriores a la 2026.2.22 en macOS contienen una vulnerabilidad de omisión de validación de ruta en el modo de lista de permitidos de aprobación de ejecución que permite a atacantes locales ejecutar binarios no autorizados explotando entradas de lista de permitidos solo por nombre base. Los atacantes pueden ejecutar binarios locales con el mismo nombre ./echo sin aprobación cuando security=allowlist y ask=on-miss están configurados, omitiendo las restricciones de política basadas en ruta previstas.
  • Vulnerabilidad en OpenClaw (CVE-2026-32017)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Versiones de OpenClaw anteriores a 2026.2.19 contienen una vulnerabilidad de omisión de lista de permitidos en la política exec safeBins que permite a los atacantes escribir archivos arbitrarios utilizando cargas útiles de opción corta. Los atacantes pueden omitir la validación de argumentos adjuntando opciones cortas como -o a binarios en la lista de permitidos, lo que permite operaciones de escritura de archivos no autorizadas que deberían ser denegadas por las comprobaciones de safeBins.
  • Vulnerabilidad en OpenClaw (CVE-2026-32023)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Versiones de OpenClaw anteriores a 2026.2.24 contienen una vulnerabilidad de omisión de control de aprobación en el modo de lista de permitidos de system.run donde los envoltorios de despacho transparentes anidados pueden suprimir la detección de envoltorios de shell. Los atacantes pueden explotar esto encadenando múltiples envoltorios de despacho como /usr/bin/env para ejecutar comandos /bin/sh -c sin activar la solicitud de aprobación esperada en configuraciones de lista de permitidos más ask=on-miss.
  • Vulnerabilidad en discourse (CVE-2026-32099)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, cuando un usuario tiene 'hide_profile' habilitado, su biografía, ubicación y sitio web aún estaban expuestos a través de la vista previa de onebox del usuario. Un usuario autenticado podía solicitar un onebox para la URL del perfil de un usuario oculto y recibir sus campos de perfil ocultos (biografía, ubicación, sitio web) en la respuesta. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No hay soluciones alternativas conocidas disponibles.
  • Vulnerabilidad en discourse (CVE-2026-33355)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, el endpoint `/private-posts` no aplicaba el filtrado de visibilidad por tipo de publicación, lo que permitía a los participantes regulares de mensajes privados ver publicaciones susurradas en temas de mensajes privados a los que tenían acceso. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en discourse (CVE-2026-33393)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, la verificación 'allowed_spam_host_domains' utilizaba 'String#end_with?' sin validación de límites de dominio, lo que permitía que dominios como 'attacker-example.com' eludieran la protección contra el correo no deseado cuando 'example.com' estaba en lista blanca. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 requieren una coincidencia exacta o una coincidencia de subdominio adecuada (precedida por '.') para evitar la elusión basada en sufijos de 'newuser_spam_host_threshold'. No hay soluciones alternativas conocidas disponibles.
  • Vulnerabilidad en discourse (CVE-2026-33394)
    Severidad: BAJA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, el informe de administración de Ediciones de Publicaciones (/admin/reports/post_edits) filtraba los primeros 40 caracteres del contenido sin procesar de las publicaciones de mensajes privados y categorías seguras a moderadores que no deberían tener acceso. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en discourse (CVE-2026-33410)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Las versiones anteriores a 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 tienen dos problemas de autorización en la API de mensajes directos del chat. Primero, al crear un canal de mensajes directos o añadir usuarios a uno existente, el parámetro 'target_groups' se pasaba directamente a la consulta de resolución de usuarios sin comprobar la visibilidad del grupo o de los miembros para el usuario que actuaba. Un usuario de chat autenticado podría elaborar una solicitud de API con un nombre de grupo privado/oculto conocido y recibir un canal que contuviera a los miembros de ese grupo, filtrando sus identidades. Segundo, 'can_chat?' solo comprobaba la pertenencia al grupo, no la preferencia de usuario 'chat_enabled'. Un usuario con el chat deshabilitado podría crear o consultar canales de MD entre otros usuarios a través de la API de mensajes directos, exponiendo potencialmente contenido privado de 'last_message' de la respuesta serializada del canal. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Discourse (CVE-2026-33395)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, el plugin discourse-graphviz contiene una vulnerabilidad de cross-site scripting (XSS) almacenado que permite a los usuarios autenticados inyectar código JavaScript malicioso a través de definiciones de gráficos DOT. Solo para instancias con CSP deshabilitado. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Como solución alternativa, deshabilite el plugin graphviz, actualice a una versión parcheada o habilite una política de seguridad de contenido.
  • Vulnerabilidad en Discourse (CVE-2026-33408)
    Severidad: BAJA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, los moderadores podían ver los primeros 40 caracteres de las ediciones de publicaciones en mensajes privados y categorías privadas. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Discourse (CVE-2026-30888)
    Severidad: BAJA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Las versiones anteriores a 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 permiten a un moderador editar documentos de política del sitio (Términos de Servicio, directrices, política de privacidad) que tienen explícitamente prohibido modificar. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Discourse (CVE-2026-30889)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, un moderador podía exploit comprobaciones de autorización insuficientes para acceder a metadatos de publicaciones que no debería tener permiso para ver. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche.
  • Vulnerabilidad en Discourse (CVE-2026-30891)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, un usuario podía acceder a la actividad privada de otro usuario debido a comprobaciones de autorización insuficientes en el endpoint de acciones de usuario. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche.
  • Vulnerabilidad en Discourse (CVE-2026-31805)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, una omisión de autorización en el plugin de encuestas permitía a usuarios autenticados votar en, eliminar votos de, o alternar el estado abierto/cerrado de encuestas a las que no tenían acceso. Al pasar post_id como un array (p. ej., post_id[]=&post_id[]=), la verificación de autorización se resuelve al post accesible mientras que la búsqueda de la encuesta se resuelve a la encuesta de un post diferente. Esto afecta a los endpoints vote, remove_vote y toggle_status en DiscoursePoll::PollsController. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche.
  • Vulnerabilidad en Discourse (CVE-2026-31869)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, el endpoint ComposerController#mentions revela la membresía oculta de un grupo a cualquier usuario autenticado que puede enviar mensajes al grupo. Al proporcionar allowed_names que hacen referencia a un grupo de membresía oculta y al sondear nombres de usuario arbitrarios, un atacante puede inferir la membresía basándose en si user_reasons devuelve 'private' para un usuario dado. Esto elude los controles de visibilidad de miembros del grupo. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Para solucionar este problema, restrinja la política de mensajería de cualquier grupo de membresía oculta solo al personal o a los miembros del grupo, para que los usuarios no confiables no puedan alcanzar la ruta de código vulnerable.
  • Vulnerabilidad en Discourse (CVE-2026-32114)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Discourse es una plataforma de discusión de código abierto. Antes de las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2, existe una vulnerabilidad de Referencia Directa Insegura a Objeto (IDOR) que permite a cualquier usuario autenticado acceder a metadatos sobre personas de IA, características y modelos LLM al proporcionar sus identificadores. Esta información incluye asignaciones de crédito y estadísticas de uso que no están destinadas a ser públicas. El ataque se realiza a través de la red, requiere privilegios bajos (cualquier usuario que haya iniciado sesión) y resulta en un bajo impacto en la confidencialidad sin impacto en la integridad o la disponibilidad. Las versiones 2026.3.0-latest.1, 2026.2.1 y 2026.1.2 contienen un parche. Para solucionar este problema, deshabilite el plugin de IA o actualice a una versión parcheada.
  • Vulnerabilidad en Micronaut Framework (CVE-2026-33012)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Micronaut Framework es un framework Java de pila completa basado en JVM diseñado para construir aplicaciones JVM modulares y fácilmente testeables. Las versiones 4.7.0 a la 4.10.16 usaban una caché ConcurrentHashMap ilimitada sin política de desalojo en su DefaultHtmlErrorResponseBodyProvider. Si la aplicación lanza una excepción cuyo mensaje puede ser influenciado por un atacante, (por ejemplo, incluyendo parámetros de valor de consulta de solicitud) podría ser usado por atacantes remotos para causar un crecimiento de heap ilimitado y OutOfMemoryError, lo que lleva a DoS. Este problema ha sido solucionado en la versión 4.10.7.
  • Vulnerabilidad en Micronaut Framework (CVE-2026-33013)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Micronaut Framework es un framework Java de pila completa basado en JVM diseñado para construir aplicaciones JVM modulares y fácilmente testeables. Las versiones anteriores a la 4.10.16 y a la 3.10.5 no manejan correctamente el orden descendente de los índices de array durante la vinculación del cuerpo form-urlencoded en JsonBeanPropertyBinder::expandArrayToThreshold, lo que permite a atacantes remotos causar un DoS (bucle no terminante, agotamiento de CPU y OutOfMemoryError) a través de parámetros de formulario indexados manipulados (p. ej., authors[1].name seguido de authors[0].name). Este problema ha sido solucionado en las versiones 4.10.16 y 3.10.5.
  • Vulnerabilidad en Langflow (CVE-2026-33017)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 24/03/2026
    Langflow es una herramienta para construir y desplegar agentes y flujos de trabajo impulsados por IA. En versiones anteriores a la 1.9.0, el endpoint POST /api/v1/build_public_tmp/{flow_id}/flow permite construir flujos públicos sin requerir autenticación. Cuando se suministra el parámetro opcional data, el endpoint utiliza datos de flujo controlados por el atacante (que contienen código Python arbitrario en las definiciones de nodos) en lugar de los datos de flujo almacenados en la base de datos. Este código se pasa a exec() sin ningún sandboxing, lo que resulta en una ejecución remota de código no autenticada. Esto es distinto de CVE-2025-3248, que corrigió /api/v1/validate/code añadiendo autenticación. El endpoint build_public_tmp está diseñado para no requerir autenticación (para flujos públicos) pero acepta incorrectamente datos de flujo suministrados por el atacante que contienen código ejecutable arbitrario. Este problema ha sido solucionado en la versión 1.9.0.