Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Sametime de HCL (CVE-2025-31966)
    Severidad: BAJA
    Fecha de publicación: 17/03/2026
    Fecha de última actualización: 31/03/2026
    HCL Sametime es vulnerable a una validación rota del lado del servidor. Aunque la aplicación realiza comprobaciones de entrada del lado del cliente, estas no son aplicadas por el servidor web. Un atacante puede eludir estas restricciones enviando solicitudes HTTP manipuladas directamente al servidor.
  • Vulnerabilidad en server de MariaDB (CVE-2026-32710)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 31/03/2026
    El servidor MariaDB es una bifurcación desarrollada por la comunidad del servidor MySQL. Un usuario autenticado puede provocar la caída de las versiones de MariaDB 11.4 anteriores a la 11.4.10 y 11.8 anteriores a la 11.8.6 a través de un error en la función JSON_SCHEMA_VALID(). Bajo ciertas condiciones, podría ser posible convertir la caída en una ejecución remota de código. Estas condiciones requieren un control estricto sobre la disposición de la memoria, lo cual generalmente solo es alcanzable en un entorno de laboratorio. Este problema está solucionado en MariaDB 11.4.10, MariaDB 11.8.6 y MariaDB 12.2.2.
  • Vulnerabilidad en Traveler de HCLSoftware (CVE-2026-21783)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2026
    Fecha de última actualización: 31/03/2026
    HCL Traveler se ve afectado por una revelación de información sensible. La aplicación genera algunos mensajes de error que proporcionan información detallada sobre errores y fallos, como rutas internas, nombres de archivo, tokens sensibles, credenciales, códigos de error o trazas de pila. Los atacantes podrían explotar esta información para obtener información sobre la arquitectura del sistema y potencialmente lanzar ataques dirigidos.
  • Vulnerabilidad en Maximo Application Suite - Monitor Component de IBM (CVE-2025-14684)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 31/03/2026
    IBM Maximo Application Suite - Monitor Component 9.1, 9.0, 8.11 y 8.10 podría permitir a un usuario no autorizado inyectar datos en los mensajes de registro debido a una neutralización inadecuada de elementos especiales al escribirse en los archivos de registro.
  • Vulnerabilidad en Knowledge Catalog Standard Cartridge de IBM (CVE-2025-36187)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 31/03/2026
    IBM Knowledge Catalog Standard Cartridge 5.0.0, 5.0.1, 5.0.2, 5.0.3, 5.1, 5.1.1, 5,1.2, 5.1.3, 5.2.0, 5.2.1 almacena información potencialmente sensible en archivos de registro que podría ser leída por un usuario privilegiado local.
  • Vulnerabilidad en YZMCMS (CVE-2026-29933)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Una vulnerabilidad de cross-site scripting (XSS) reflejada en el componente /index/login.html de YZMCMS v7.4 permite a los atacantes ejecutar Javascript arbitrario en el contexto del navegador del usuario mediante la modificación del valor del referrer en la cabecera de la solicitud.
  • Vulnerabilidad en Timo (CVE-2026-30162)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Vulnerabilidad de Cross Site Scripting (XSS) en Timo 2.0.3 mediante enlaces manipulados en el campo de título.
  • Vulnerabilidad en OpenClaw (CVE-2026-32846)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    OpenClaw hasta 2026.3.23 (corregido en el commit 4797bbc) contiene una vulnerabilidad de salto de ruta en el análisis de medios que permite a los atacantes leer archivos arbitrarios al eludir la validación de rutas en las funciones isLikelyLocalPath() e isValidMedia(). Los atacantes pueden explotar la validación incompleta y el bypass allowBareFilename para hacer referencia a archivos fuera del sandbox de la aplicación previsto, lo que resulta en la divulgación de información sensible, incluyendo archivos del sistema, archivos de entorno y claves SSH.
  • Vulnerabilidad en kysely de kysely-org (CVE-2026-33442)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Kysely es un constructor de consultas SQL de TypeScript con tipado seguro. En las versiones 0.28.12 y 0.28.13, el método `sanitizeStringLiteral` en el compilador de consultas de Kysely escapa las comillas simples (`'` ? `''`) pero no escapa las barras invertidas. En MySQL con el modo SQL predeterminado `BACKSLASH_ESCAPES`, un atacante puede inyectar una barra invertida antes de una comilla simple para neutralizar el escape, saliendo del literal de cadena de ruta JSON e inyectando SQL arbitrario. La versión 0.28.14 corrige el problema.
  • Vulnerabilidad en kysely de kysely-org (CVE-2026-33468)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Kysely es un constructor de consultas SQL de TypeScript con seguridad de tipos. Antes de la versión 0.28.14, `DefaultQueryCompiler.sanitizeStringLiteral()` de Kysely solo escapaba las comillas simples duplicándolas ('`'` ? `''`) pero no escapaba las barras invertidas. Cuando se usa con el dialecto de MySQL (donde `NO_BACKSLASH_ESCAPES` está DESACTIVADO por defecto), un atacante puede usar una barra invertida para escapar la comilla final de un literal de cadena, saliendo del contexto de la cadena e inyectando SQL arbitrario. Esto afecta a cualquier ruta de código que utilice `ImmediateValueTransformer` para incrustar valores — específicamente `CreateIndexBuilder.where()` y `CreateViewBuilder.as()`. La versión 0.28.14 contiene una corrección.
  • Vulnerabilidad en Stirling-PDF de Stirling-Tools (CVE-2026-34071)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Stirling-PDF es una aplicación web alojada localmente que le permite realizar varias operaciones en archivos PDF. En la versión 2.7.3, el endpoint /API/v1/convert/eml/pdf con el parámetro downloadHtml=true devuelve HTML sin sanear del cuerpo del correo electrónico con Content-Type: text/html. Un atacante que envía un correo electrónico malicioso a un usuario de Stirling-PDF puede lograr la ejecución de JavaScript cuando ese usuario exporta el correo electrónico utilizando la función 'Descargar archivo HTML intermedio'. La versión 2.8.0 corrige el problema.
  • Vulnerabilidad en Stirling-PDF de Stirling-Tools (CVE-2026-33438)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Stirling-PDF es una aplicación web alojada localmente que permite realizar diversas operaciones en archivos PDF. Las versiones a partir de la 2.1.5 y anteriores a la 2.5.2 tienen una vulnerabilidad de denegación de servicio (DoS) en la funcionalidad de marca de agua de Stirling-PDF (punto de conexión '/api/v1/security/add-watermark'). La vulnerabilidad permite a usuarios autenticados causar agotamiento de recursos y caídas del servidor al proporcionar valores extremos para los parámetros 'fontSize' y 'widthSpacer'. La versión 2.5.2 corrige el problema.
  • Vulnerabilidad en syft de anchore (CVE-2026-33481)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Syft es una herramienta CLI y una biblioteca Go para generar una Lista de Materiales de Software (SBOM) a partir de imágenes de contenedor y sistemas de archivos. Las versiones de Syft anteriores a la v1.42.3 no limpiarían correctamente el almacenamiento temporal si este se agotaba durante un escaneo. Al escanear archivos, Syft desempaquetará esos archivos en el almacenamiento temporal y luego inspeccionará el contenido desempaquetado. Bajo operación normal, Syft eliminará los datos temporales que escribe después de completar un escaneo. Esta vulnerabilidad afectaría a los usuarios de Syft que estaban escaneando contenido que podría hacer que Syft llenara el almacenamiento temporal, lo que luego haría que Syft generara un error y saliera. Cuando se activa el error, Syft saldría sin eliminar correctamente los archivos temporales en uso. En nuestras pruebas, esto se reprodujo más fácilmente escaneando artefactos muy grandes o artefactos altamente comprimidos como una zipbomb. Debido a que Syft no limpiaría sus archivos temporales, el resultado sería el llenado del almacenamiento de archivos temporales, impidiendo futuras ejecuciones de Syft u otras utilidades del sistema que dependen de que el almacenamiento temporal esté disponible. El parche ha sido lanzado en la v1.42.3. Syft ahora limpia los archivos temporales cuando se encuentra una condición de error. No hay soluciones alternativas para esta vulnerabilidad en Syft. Los usuarios que encuentren su almacenamiento temporal agotado pueden eliminar manualmente los archivos temporales.
  • Vulnerabilidad en roadiz (CVE-2026-33486)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Roadiz es un sistema de gestión de contenido polimórfico basado en un sistema de nodos que puede manejar muchos tipos de servicios. Una vulnerabilidad en roadiz/documents anterior a las versiones 2.7.9, 2.6.28, 2.5.44 y 2.3.42 permite a un atacante autenticado leer cualquier archivo en el sistema de archivos local del servidor al que el proceso del servidor web tiene acceso, incluyendo variables de entorno altamente sensibles, credenciales de base de datos y archivos de configuración internos. Las versiones 2.7.9, 2.6.28, 2.5.44 y 2.3.42 contienen un parche.
  • Vulnerabilidad en h3 de h3js (CVE-2026-33490)
    Severidad: BAJA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    H3 es un framework H(TTP) mínimo. En las versiones 2.0.0-0 hasta la 2.0.1-rc.16, el método 'mount()' en h3 usa una simple verificación 'startsWith()' para determinar si las solicitudes entrantes caen bajo el prefijo de ruta de una subaplicación montada. Debido a que esta verificación no verifica un límite de segmento de ruta (es decir, que el siguiente carácter después de la base es '/' o el final de la cadena), el middleware registrado en un montaje como '/admin' también se ejecutará para rutas no relacionadas como '/admin-public', '/administrator' o '/adminstuff'. Esto permite a un atacante activar middleware de configuración de contexto en rutas que nunca se pretendió cubrir, potencialmente contaminando el contexto de la solicitud con indicadores de privilegio no deseados. La versión 2.0.2-rc.17 contiene un parche.
  • Vulnerabilidad en Ech0 de lin-snow (CVE-2026-33638)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Ech0 es una plataforma de publicación de código abierto y autoalojada para compartir ideas personales. Antes de la versión 4.2.0, `GET /api/allusers` está montado como un endpoint público y devuelve registros de usuario sin autenticación. Esto permite la enumeración remota de usuarios no autenticados y la exposición de metadatos de perfil de usuario. Una solución está disponible en la v4.2.0.
  • Vulnerabilidad en File Access Fix (deprecated) de Drupal (CVE-2026-3525)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Vulnerabilidad de autorización incorrecta en Drupal File Access Fix (obsoleto) permite la navegación forzada. Este problema afecta a File Access Fix (obsoleto): desde 0.0.0 antes de 1.2.0.
  • Vulnerabilidad en File Access Fix (deprecated) de Drupal (CVE-2026-3526)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Vulnerabilidad de autorización incorrecta en Drupal File Access Fix (obsoleto) permite la navegación forzada. Este problema afecta a File Access Fix (obsoleto): desde 0.0.0 antes de 1.2.0.
  • Vulnerabilidad en AJAX Dashboard de Drupal (CVE-2026-3527)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Vulnerabilidad de autenticación faltante para función crítica en Drupal AJAX Dashboard permite la explotación de niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a AJAX Dashboard: desde 0.0.0 anterior a 3.1.0.
  • Vulnerabilidad en Google Analytics GA4 de Drupal (CVE-2026-3529)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Vulnerabilidad de Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web ('cross-site scripting') en Drupal Google Analytics GA4 permite cross-site scripting (XSS). Este problema afecta a Google Analytics GA4: desde 0.0.0 anterior a 1.1.14.
  • Vulnerabilidad en AI (Artificial Intelligence) de Drupal (CVE-2026-3573)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Vulnerabilidad de autorización incorrecta en Drupal IA (Inteligencia Artificial) permite la inyección de recursos. Este problema afecta a IA (Inteligencia Artificial): desde 0.0.0 antes de 1.1.11, desde 1.2.0 antes de 1.2.12.
  • Vulnerabilidad en AC5 de Tenda (CVE-2026-4903)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 31/03/2026
    Se ha encontrado una falla en Tenda AC5 15.03.06.47. Esta vulnerabilidad afecta a la función formQuickIndex del archivo /goform/QuickIndex del componente Gestor de Solicitudes POST. Esta manipulación del argumento PPPOEPassword causa un desbordamiento de búfer basado en pila. El ataque puede iniciarse de forma remota. El exploit ha sido publicado y puede ser utilizado.
  • Vulnerabilidad en AC5 de Tenda (CVE-2026-4904)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 31/03/2026
    Una vulnerabilidad ha sido encontrada en Tenda AC5 15.03.06.47. Este problema afecta a la función formSetCfm del archivo /goform/setcfm del componente Gestor de Solicitudes POST. Dicha manipulación del argumento funcpara1 conduce a desbordamiento de búfer basado en pila. El ataque puede ser lanzado remotamente. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en AC5 de Tenda (CVE-2026-4905)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 31/03/2026
    Una vulnerabilidad fue encontrada en Tenda AC5 15.03.06.47. Afectada es la función formWifiWpsOOB del archivo /goform/WifiWpsOOB del componente Gestor de Solicitudes POST. Realizar una manipulación del argumento index resulta en desbordamiento de búfer basado en pila. La explotación remota del ataque es posible. El exploit ha sido hecho público y podría ser usado.
  • Vulnerabilidad en AC5 de Tenda (CVE-2026-4906)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 31/03/2026
    Se determinó una vulnerabilidad en Tenda AC5 15.03.06.47. El elemento afectado es la función decodePwd del archivo /goform/WizardHandle del componente Gestor de Solicitudes POST. La ejecución de una manipulación del argumento WANT/WANS puede conducir a un desbordamiento de búfer basado en pila. El ataque puede ser ejecutado de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.