Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en outline (CVE-2026-33640)
    Severidad: CRÍTICA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Outline es un servicio que permite la documentación colaborativa. Outline implementa un flujo de inicio de sesión con OTP por correo electrónico para usuarios no asociados con un Proveedor de Identidad. A partir de la versión 0.86.0 y antes de la versión 1.6.0, Outline no invalida los códigos OTP basándose en la cantidad o frecuencia de envíos inválidos, sino que se basa en el limitador de velocidad para restringir los intentos. En consecuencia, los bypasses identificados en el limitador de velocidad permiten el envío ilimitado de códigos OTP dentro de la vida útil de los códigos. Esto permite a los atacantes realizar ataques de fuerza bruta que posibilitan la toma de control de cuentas. La versión 1.6.0 corrige el problema.
  • Vulnerabilidad en kestra de kestra-io (CVE-2026-33664)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Kestra es una plataforma de orquestación de código abierto impulsada por eventos. Las versiones hasta la 1.3.3 inclusive renderizan los campos de metadatos YAML de flujo proporcionados por el usuario — description, inputs[].displayName, inputs[].description — a través del componente Markdown.vue instanciado con html: true. El HTML resultante se inyecta en el DOM a través de v-html de Vue sin ninguna sanitización. Esto permite a un autor de flujo incrustar JavaScript arbitrario que se ejecuta en el navegador de cualquier usuario que vea o interactúe con el flujo. Esto es distinto de GHSA-r36c-83hm-pc8j / CVE-2026-29082, que cubre solo la renderización de archivos .md por FilePreview.vue a partir de las salidas de ejecución. El hallazgo actual afecta a diferentes componentes, diferentes fuentes de datos y requiere significativamente menos interacción del usuario (cero clics para input.displayName). Al momento de la publicación, no está claro si hay un parche disponible.