Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en GiveWP Give (CVE-2024-27987)
    Severidad: MEDIA
    Fecha de publicación: 15/03/2024
    Fecha de última actualización: 01/04/2026
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en GiveWP Give permite XSS reflejado. Este problema afecta a Give: desde n/a hasta 3.3.1.
  • Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70029)
    Severidad: ALTA
    Fecha de publicación: 11/02/2026
    Fecha de última actualización: 01/04/2026
    Un problema en Sunbird-Ed SunbirdEd-portal v1.13.4 permite a los atacantes obtener información sensible. La aplicación deshabilita la validación de certificados TLS/SSL al establecer 'rejectUnauthorized': false en las opciones de solicitud HTTP.
  • Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70032)
    Severidad: MEDIA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 01/04/2026
    Un problema relacionado con CWE-601: Redirección de URL a sitio no confiable fue descubierto en Sunbird-Ed SunbirdEd-portal v1.13.4.
  • Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70033)
    Severidad: MEDIA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 01/04/2026
    Un problema relacionado con CWE-79: Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web fue descubierto en Sunbird-Ed SunbirdEd-portal v1.13.4.
  • Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70030)
    Severidad: ALTA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 01/04/2026
    Un problema relacionado con CWE-1333: Complejidad Ineficiente de Expresiones Regulares (4.19) fue descubierto en Sunbird-Ed SunbirdEd-portal v1.13.4.
  • Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70031)
    Severidad: ALTA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 01/04/2026
    Un problema relacionado con CWE-352: Falsificación de petición en sitios cruzados fue descubierto en Sunbird-Ed SunbirdEd-portal v1.13.4.
  • Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70028)
    Severidad: ALTA
    Fecha de publicación: 09/03/2026
    Fecha de última actualización: 01/04/2026
    Un problema relacionado con CWE-22: Limitación incorrecta de un nombre de ruta a un directorio restringido ('Salto de ruta') fue descubierto en Sunbird-Ed SunbirdEd-portal v1.13.4.
  • Vulnerabilidad en Red Hat (CVE-2026-4366)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 01/04/2026
    Se identificó una vulnerabilidad en Keycloak, una solución de gestión de identidades y accesos, donde sigue incorrectamente las redirecciones HTTP al procesar ciertas solicitudes de configuración del cliente. Este comportamiento permite a un atacante engañar al servidor para que realice solicitudes no intencionadas a recursos internos o restringidos. Como resultado, servicios internos sensibles como los puntos finales de metadatos en la nube podrían ser accedidos. Este problema puede llevar a la revelación de información y permitir a los atacantes mapear la infraestructura de red interna.
  • Vulnerabilidad en Azure DevOps: msazure de Microsoft (CVE-2026-23658)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 01/04/2026
    Credenciales insuficientemente protegidas en Azure DevOps permite a un atacante no autorizado elevar privilegios sobre una red.
  • Vulnerabilidad en Azure Data Factory de Microsoft (CVE-2026-23659)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 01/04/2026
    Exposición de información sensible a un actor no autorizado en Azure Data Factory permite a un atacante no autorizado divulgar información a través de una red.
  • Vulnerabilidad en Microsoft Bing (CVE-2026-26120)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 01/04/2026
    Falsificación de petición del lado del servidor (SSRF) en Microsoft Bing permite a un atacante no autorizado realizar manipulaciones a través de una red.
  • Vulnerabilidad en Microsoft Copilot (CVE-2026-26136)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 01/04/2026
    Neutralización incorrecta de elementos especiales utilizados en un comando ('inyección de comandos') en Microsoft Copilot permite a un atacante no autorizado divulgar información a través de una red.
  • Vulnerabilidad en Zimbra Collaboration Suite (ZCS) (CVE-2026-33368)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 01/04/2026
    Zimbra Collaboration Suite (ZCS) 10.0 y 10.1 contiene una vulnerabilidad de cross-site scripting (XSS) reflejada en la interfaz REST de Classic Webmail (/h/rest). La aplicación no logra sanear correctamente la entrada proporcionada por el usuario, permitiendo a un atacante no autenticado inyectar JavaScript malicioso en una URL manipulada. Cuando un usuario víctima accede al enlace, el script inyectado se ejecuta en el contexto de la aplicación de webmail de Zimbra, lo que podría permitir al atacante realizar acciones en nombre de la víctima.
  • Vulnerabilidad en Zimbra Collaboration (ZCS) (CVE-2026-33369)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 01/04/2026
    Zimbra Collaboration (ZCS) 10.0 y 10.1 contiene una vulnerabilidad de inyección LDAP en el servicio SOAP de Mailbox dentro de una operación FolderAction. La aplicación no logra sanear adecuadamente la entrada proporcionada por el usuario antes de incorporarla a un filtro de búsqueda LDAP. Un atacante autenticado puede explotar este problema enviando una solicitud SOAP manipulada que manipula la consulta LDAP, permitiendo la recuperación de atributos de directorio sensibles.
  • Vulnerabilidad en Zimbra Collaboration (ZCS) (CVE-2026-33370)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 01/04/2026
    Se descubrió un problema en Zimbra Collaboration (ZCS) 10.0 y 10.1. Existe una vulnerabilidad de cross-site scripting (XSS) almacenado en la función Zimbra Briefcase debido a una sanitización insuficiente de tipos de archivos subidos específicos. Cuando un usuario abre un archivo de Briefcase compartido públicamente que contiene scripts maliciosos, el JavaScript incrustado se ejecuta en el contexto de la sesión del usuario. Esto permite a un atacante ejecutar scripts arbitrarios, lo que podría llevar a la exfiltración de datos o a otras acciones no autorizadas en nombre del usuario víctima.
  • Vulnerabilidad en Zimbra Collaboration (ZCS) (CVE-2026-33371)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 01/04/2026
    Se descubrió un problema en Zimbra Collaboration (ZCS) 10.0 y 10.1. Existe una vulnerabilidad de entidad externa XML (XXE) en la interfaz SOAP de Zimbra Exchange Web Services (EWS) debido a un manejo inadecuado de la entrada XML. Un atacante autenticado puede enviar datos XML manipulados que son procesados por un analizador XML con la resolución de entidades externas habilitada. La explotación exitosa puede permitir la divulgación de archivos locales sensibles del servidor.
  • Vulnerabilidad en Zimbra Collaboration (ZCS) (CVE-2026-33372)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 01/04/2026
    Se descubrió un problema en Zimbra Collaboration (ZCS) 10.0 y 10.1. Existe una vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en Zimbra Webmail debido a una validación incorrecta de los tokens CSRF. La aplicación acepta tokens CSRF suministrados dentro del cuerpo de la petición en lugar de requerirlos a través de la cabecera de petición esperada. Un atacante puede explotar este problema engañando a un usuario autenticado para que envíe una petición manipulada. Esto puede permitir que se realicen acciones no autorizadas en nombre de la víctima.
  • Vulnerabilidad en Red Hat (CVE-2026-4628)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 01/04/2026
    Se encontró un fallo en Keycloak. Una vulnerabilidad de control de acceso inadecuado en el endpoint 'resource_set' de Acceso Gestionado por el Usuario (UMA) de Keycloak permite a atacantes con credenciales válidas eludir la restricción 'allowRemoteResourceManagement=false'. Esto ocurre debido a la aplicación incompleta de las comprobaciones de control de acceso en operaciones PUT al endpoint 'resource_set'. Este problema permite la modificación no autorizada de recursos protegidos, impactando la integridad de los datos.
  • Vulnerabilidad en Red Hat Build of Keycloak (CVE-2026-4633)
    Severidad: BAJA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 01/04/2026
    Se encontró una falla en Keycloak. Un atacante remoto puede explotar mensajes de error diferenciales durante el flujo de inicio de sesión 'identity-first' cuando las Organizaciones están habilitadas. Esta vulnerabilidad permite a un atacante determinar la existencia de usuarios, lo que lleva a la revelación de información a través de la enumeración de usuarios.
  • Vulnerabilidad en Panorama Suite de CODRA (CVE-2026-4761)
    Severidad: BAJA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 01/04/2026
    Cuando se instala un certificado y su clave privada en el almacén de certificados de la máquina Windows utilizando la herramienta de Red y Seguridad, se conceden innecesariamente derechos de acceso a la clave privada al grupo de operadores. * Las instalaciones basadas en Panorama Suite 2025 (25.00.004) son vulnerables a menos que se instale la actualización PS-2500-00-0357 (o superior). * Las instalaciones basadas en Panorama Suite 2025 Actualizado 25 Dic. (25.10.007) no son vulnerables. Consulte el boletín de seguridad BS-036, disponible en el sitio web del CSIRT de Panorama: https://my.codra.net/en-gb/csirt.
  • Vulnerabilidad en Server de HYPR (CVE-2026-2414)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 01/04/2026
    Elusión de autorización a través de una vulnerabilidad de clave controlada por el usuario en el servidor HYPR permite la escalada de privilegios. Este problema afecta al servidor: desde 9.5.2 antes de 10.7.2.
  • Vulnerabilidad en plexus-utils (CVE-2025-67030)
    Severidad: ALTA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 01/04/2026
    Vulnerabilidad de salto de directorio en el método extractFile de org.codehaus.plexus.util.Expand en plexus-utils anterior a 6d780b3378829318ba5c2d29547e0012d5b29642. Esto permite a un atacante ejecutar código arbitrario
  • Vulnerabilidad en ralphje Signify (CVE-2025-70887)
    Severidad: ALTA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 01/04/2026
    Un problema en ralphje Signify antes de la v.0.9.2 permite a un atacante remoto escalar privilegios a través de los componentes signed_data.py y context.py
  • Vulnerabilidad en pf4j (CVE-2025-70952)
    Severidad: ALTA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 01/04/2026
    pf4j anterior a 20c2f80 tiene una vulnerabilidad de salto de ruta en la función extract() de Unzip.java, donde el manejo inadecuado de los nombres de las entradas zip puede permitir ataques de salto de directorio o Zip Slip, debido a la falta de una normalización y validación de ruta adecuadas.
  • Vulnerabilidad en Domoticz (CVE-2026-1001)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 01/04/2026
    Las versiones de Domoticz anteriores a 2026.1 contienen una vulnerabilidad de cross-site scripting almacenado en la funcionalidad Add Hardware y rename device de la interfaz web que permite a los administradores autenticados ejecutar scripts arbitrarios al proporcionar nombres manipulados que contienen scripts o marcado HTML. Los atacantes pueden inyectar código malicioso que se almacena y se renderiza sin una codificación de salida adecuada, provocando la ejecución de scripts en los navegadores de los usuarios que visualizan la página afectada y permitiendo acciones no autorizadas dentro del contexto de su sesión.
  • Vulnerabilidad en Red Hat (CVE-2026-4874)
    Severidad: BAJA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Se encontró una vulnerabilidad en Keycloak. Un atacante autenticado puede realizar falsificación de petición del lado del servidor (SSRF) manipulando el parámetro 'client_session_host' durante las peticiones de token de actualización. Esto ocurre cuando un cliente de Keycloak está configurado para usar la 'backchannel.logout.url' con el marcador de posición 'application.session.host'. La explotación exitosa permite al atacante realizar peticiones HTTP desde el contexto de red del servidor de Keycloak, potencialmente sondeando redes internas o APIs internas, lo que lleva a la revelación de información.
  • Vulnerabilidad en Red Hat (CVE-2026-3121)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Se encontró un fallo en Keycloak. Un administrador con permiso 'manage-clients' puede explotar una mala configuración donde este permiso es equivalente a 'manage-permissions'. Esto permite al administrador escalar privilegios y obtener control sobre roles, usuarios u otras funciones administrativas dentro del ámbito. Esta escalada de privilegios puede ocurrir cuando los permisos de administrador están habilitados a nivel de ámbito.
  • Vulnerabilidad en Red Hat (CVE-2026-3190)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Se encontró una falla en Keycloak. El endpoint de la API de protección de User-Managed Access (UMA) 2.0 para tickets de permiso no aplica la verificación del rol 'uma_protection'. Esto permite que cualquier usuario autenticado con un token emitido para un cliente de servidor de recursos, incluso sin el rol 'uma_protection', enumere todos los tickets de permiso en el sistema. Esta vulnerabilidad conduce parcialmente a la revelación de información.
  • Vulnerabilidad en Calculation Fields de Drupal (CVE-2026-3528)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    La vulnerabilidad de Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web ('cross-site scripting') en Drupal Calculation Fields permite cross-site scripting (XSS). Este problema afecta a Calculation Fields: desde 0.0.0 anterior a 1.0.4.
  • Vulnerabilidad en OpenID Connect / OAuth client de Drupal (CVE-2026-3530)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en el cliente Drupal OpenID Connect / OAuth permite la falsificación de petición del lado del servidor. Este problema afecta al cliente OpenID Connect / OAuth: desde 0.0.0 anterior a 1.5.0.
  • Vulnerabilidad en OpenID Connect / OAuth client de Drupal (CVE-2026-3531)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Vulnerabilidad de omisión de autenticación usando una ruta o canal alternativo en el cliente Drupal OpenID Connect / OAuth permite la omisión de autenticación. Este problema afecta al cliente OpenID Connect / OAuth: desde 0.0.0 anterior a 1.5.0.
  • Vulnerabilidad en OpenID Connect / OAuth client de Drupal (CVE-2026-3532)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Vulnerabilidad de manejo incorrecto de la sensibilidad a mayúsculas y minúsculas en el cliente Drupal OpenID Connect / OAuth permite la escalada de privilegios. Este problema afecta al cliente OpenID Connect / OAuth: desde la 0.0.0 anterior a la 1.5.0.
  • Vulnerabilidad en pay de yansongda (CVE-2026-33661)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Pay es un paquete de extensión de SDK de pago de código abierto para varios servicios de pago chinos. Antes de la versión 3.7.20, la función `verify_wechat_sign()` en `src/Functions.php` omite incondicionalmente toda la verificación de firma cuando la solicitud PSR-7 informa localhost como el host. Un atacante puede explotar esto enviando una solicitud HTTP manipulada al endpoint de callback de WeChat Pay con un encabezado Host: localhost, eludiendo por completo la verificación de firma RSA. Esto permite falsificar notificaciones de éxito de pago falsas de WeChat Pay, lo que podría hacer que las aplicaciones marquen los pedidos como pagados sin un pago real. La versión 3.7.20 corrige el problema.
  • Vulnerabilidad en picomatch de micromatch (CVE-2026-33671)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Picomatch es un comparador de globs escrito en JavaScript. Las versiones anteriores a 4.0.4, 3.0.2 y 2.3.2 son vulnerables a la denegación de servicio por expresión regular (ReDoS) al procesar patrones extglob manipulados. Ciertos patrones que utilizan cuantificadores extglob como '+()' y '*()', especialmente cuando se combinan con alternativas superpuestas o extglobs anidados, se compilan en expresiones regulares que pueden exhibir un retroceso catastrófico en entradas no coincidentes. Las aplicaciones se ven afectadas cuando permiten a usuarios no confiables suministrar patrones glob que se pasan a 'picomatch' para su compilación o coincidencia. En esos casos, un atacante puede causar un consumo excesivo de CPU y bloquear el bucle de eventos de Node.js, lo que resulta en una denegación de servicio. Las aplicaciones que solo utilizan patrones glob confiables y controlados por el desarrollador son mucho menos propensas a estar expuestas de una manera relevante para la seguridad. Este problema se corrige en picomatch 4.0.4, 3.0.2 y 2.3.2. Los usuarios deben actualizar a una de estas versiones o posteriores, dependiendo de su línea de lanzamiento compatible. Si la actualización no es posible de inmediato, evite pasar patrones glob no confiables a 'picomatch'. Las posibles mitigaciones incluyen deshabilitar el soporte de extglob para patrones no confiables usando 'noextglob: true', rechazar o sanear patrones que contengan extglobs anidados o cuantificadores extglob como '+()' y '*()', aplicar listas de permitidos estrictas para la sintaxis de patrones aceptada, ejecutar la coincidencia en un trabajador aislado o proceso separado con límites de tiempo y recursos, y aplicar la limitación de solicitudes a nivel de aplicación y la validación de entrada para cualquier punto final que acepte patrones glob.
  • Vulnerabilidad en picomatch de micromatch (CVE-2026-33672)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Picomatch es un comparador de globs escrito en JavaScript. Las versiones anteriores a 4.0.4, 3.0.2 y 2.3.2 son vulnerables a una vulnerabilidad de inyección de métodos que afecta al objeto `POSIX_REGEX_SOURCE`. Debido a que el objeto hereda de `Object.prototype`, las expresiones de corchetes POSIX especialmente diseñadas (por ejemplo, '[[:constructor:]]') pueden hacer referencia a nombres de métodos heredados. Estos métodos se convierten implícitamente en cadenas y se inyectan en la expresión regular generada. Esto conduce a un comportamiento incorrecto de coincidencia de globs (impacto en la integridad), donde los patrones pueden coincidir con nombres de archivo no deseados. El problema no permite la ejecución remota de código, pero puede causar errores lógicos relevantes para la seguridad en aplicaciones que dependen de la coincidencia de globs para el filtrado, la validación o el control de acceso. Todos los usuarios de las versiones afectadas de `picomatch` que procesan patrones de glob no confiables o controlados por el usuario están potencialmente afectados. Este problema se corrige en picomatch 4.0.4, 3.0.2 y 2.3.2. Los usuarios deben actualizar a una de estas versiones o posteriores, dependiendo de su línea de lanzamiento compatible. Si la actualización no es posible de inmediato, evite pasar patrones de glob no confiables a picomatch. Las posibles mitigaciones incluyen sanear o rechazar patrones de glob no confiables, especialmente aquellos que contienen clases de caracteres POSIX como '[[:...:]]'; evitar el uso de expresiones de corchetes POSIX si hay entrada de usuario involucrada; y parchear manualmente la biblioteca modificando `POSIX_REGEX_SOURCE` para usar un prototipo nulo.
  • Vulnerabilidad en PrestaShop (CVE-2026-33673)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    PrestaShop es una aplicación web de comercio electrónico de código abierto. Las versiones anteriores a la 8.2.5 y 9.1.0 son vulnerables a vulnerabilidades de cross-site scripting almacenado (XSS almacenado) en el BO. Un atacante que puede inyectar datos en la base de datos, a través de un acceso limitado al back-office o una vulnerabilidad existente previamente, puede explotar variables desprotegidas en las plantillas del back-office. Las versiones 8.2.5 y 9.1.0 contienen una corrección. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en PrestaShop (CVE-2026-33674)
    Severidad: BAJA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    PrestaShop es una aplicación web de comercio electrónico de código abierto. Las versiones anteriores a la 8.2.5 y 9.1.0 utilizan incorrectamente el framework de validación. Las versiones 8.2.5 y 9.1.0 contienen una corrección. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en streamlit (CVE-2026-33682)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Streamlit es un framework de desarrollo de aplicaciones orientado a datos para python. Las versiones de Streamlit Open Source anteriores a la 1.54.0 ejecutándose en hosts Windows tienen una vulnerabilidad de falsificación de petición del lado del servidor (SSRF) no autenticada. La vulnerabilidad surge de una validación incorrecta de las rutas del sistema de archivos proporcionadas por el atacante. En ciertas rutas de código, incluyendo dentro del 'ComponentRequestHandler', las rutas del sistema de archivos se resuelven usando 'os.path.realpath()' o 'Path.resolve()' antes de que ocurra una validación suficiente. En sistemas Windows, proporcionar una ruta UNC maliciosa (por ejemplo, '\\attacker-controlled-host\share') puede hacer que el servidor de Streamlit inicie conexiones SMB salientes a través del puerto 445. Cuando Windows intenta autenticarse con el servidor SMB remoto, las credenciales de desafío-respuesta NTLMv2 del usuario de Windows que ejecuta el proceso de Streamlit pueden ser transmitidas. Este comportamiento puede permitir a un atacante realizar ataques de retransmisión NTLM contra otros servicios internos y/o identificar hosts SMB accesibles internamente mediante análisis de tiempo. La vulnerabilidad ha sido corregida en la versión 1.54.0 de Streamlit Open Source.
  • Vulnerabilidad en sharp de code16 (CVE-2026-33686)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 01/04/2026
    Sharp es un framework de gestión de contenido construido para Laravel como un paquete. Las versiones anteriores a la 9.20.0 tienen una vulnerabilidad de salto de ruta en la clase FileUtil. La aplicación no sanitiza las extensiones de archivo correctamente, permitiendo que los separadores de ruta se pasen a la capa de almacenamiento. En 'src/Utils/FileUtil.php', la función 'FileUtil::explodeExtension()' extrae la extensión de un archivo dividiendo el nombre del archivo en el último punto. Este problema ha sido parcheado en la versión 9.20.0 sanitizando correctamente la extensión usando 'pathinfo(PATHINFO_EXTENSION)' en lugar de 'strrpos()', junto con la aplicación de reemplazos de expresiones regulares estrictos tanto al nombre base como a la extensión.
  • Vulnerabilidad en open-webui (CVE-2026-28788)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar completamente sin conexión. Antes de la versión 0.8.6, cualquier usuario autenticado puede sobrescribir el contenido de cualquier archivo por ID a través del endpoint 'POST /api/v1/retrieval/process/files/batch'. El endpoint no realiza ninguna verificación de propiedad, por lo que un usuario regular con acceso de lectura a una base de conocimiento compartida puede obtener los UUID de los archivos a través de 'GET /api/v1/knowledge/{id}/files' y luego sobrescribir esos archivos, escalando de lectura a escritura. El contenido sobrescrito se sirve al LLM a través de RAG, lo que significa que el atacante controla lo que el modelo dice a otros usuarios. La versión 0.8.6 corrige el problema.
  • Vulnerabilidad en open-webui (CVE-2026-29070)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar completamente sin conexión. Antes de la versión 0.8.6, falta una verificación de control de acceso al eliminar un archivo de una base de conocimiento. La única verificación que se realiza es que el usuario tenga acceso de escritura a la base de conocimiento (o sea administrador), pero NO que el archivo realmente pertenezca a esta base de conocimiento. Por lo tanto, es posible eliminar archivos arbitrarios de bases de conocimiento arbitrarias (siempre que se conozca el ID del archivo). La versión 0.8.6 corrige el problema.
  • Vulnerabilidad en open-webui (CVE-2026-29071)
    Severidad: BAJA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    Open WebUI es una plataforma de inteligencia artificial autoalojada diseñada para operar completamente sin conexión. Antes de la versión 0.8.6, cualquier usuario autenticado puede leer las memorias privadas de otros usuarios a través de '/API/v1/retrieval/query/collection'. La versión 0.8.6 corrige el problema.
  • Vulnerabilidad en incus de lxc (CVE-2026-33898)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    Incus es un gestor de contenedores de sistema y máquinas virtuales. Antes de la versión 6.23.0, el servidor web generado por `incus webui` valida incorrectamente el token de autenticación de tal manera que se acepta un valor no válido. `incus webui` ejecuta un servidor web local en un puerto localhost aleatorio. Para la autenticación, proporciona al usuario una URL que contiene un token de autenticación. Cuando se accede con ese token, Incus crea una cookie que persiste ese token sin necesidad de incluirlo en solicitudes HTTP posteriores. Si bien el cliente Incus valida correctamente el valor de la cookie, no valida correctamente el token cuando se pasa en la URL. Esto permite que un atacante capaz de localizar y comunicarse con el servidor web temporal en localhost tenga tanto acceso a Incus como el usuario que ejecutó `incus webui`. Esto puede conducir a una escalada de privilegios por parte de otro usuario local o a un acceso a las instancias de Incus del usuario y posiblemente a los recursos del sistema por parte de un ataque remoto capaz de engañar al usuario local para que interactúe con el servidor web de la interfaz de usuario de Incus. La versión 6.23.0 corrige el problema.
  • Vulnerabilidad en incus de lxc (CVE-2026-33945)
    Severidad: CRÍTICA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    Incus es un gestor de contenedores de sistema y de máquinas virtuales. Las instancias de Incus tienen una opción para proporcionar credenciales a systemd en el invitado. Para los contenedores, esto se gestiona a través de un directorio compartido. Antes de la versión 6.23.0, un atacante puede establecer una clave de configuración con un nombre similar a systemd.credential.../../../../../../root/.bashrc para hacer que Incus escriba fuera del directorio 'credentials' asociado con el contenedor. Esto aprovecha el hecho de que la sintaxis de Incus para dichas credenciales es systemd.credential.XYZ, donde XYZ puede contener más puntos. Si bien no es posible leer ningún dato de esta manera, es posible escribir en archivos arbitrarios como root, lo que permite tanto la escalada de privilegios como los ataques de denegación de servicio. La versión 6.23.0 corrige el problema.
  • Vulnerabilidad en pypdf de py-pdf (CVE-2026-33699)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    pypdf es una biblioteca PDF escrita puramente en Python, gratuita y de código abierto. Las versiones anteriores a la 6.9.2 tienen una vulnerabilidad en la que un atacante puede crear un PDF que conduce a un bucle infinito. Esto requiere leer un archivo en modo no estricto. Esto ha sido corregido en pypdf 6.9.2. Si los usuarios aún no pueden actualizar, consideren aplicar los cambios del parche manualmente.
  • Vulnerabilidad en open-telemetry (CVE-2026-33701)
    Severidad: CRÍTICA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    OpenTelemetry Java Instrumentation proporciona auto-instrumentación de OpenTelemetry y bibliotecas de instrumentación para Java. En versiones anteriores a la 2.26.1, la instrumentación RMI registró un punto final personalizado que deserializaba los datos entrantes sin aplicar filtros de serialización. En la versión 16 de JDK y anteriores, un atacante con acceso de red a un puerto JMX o RMI en una JVM instrumentada podría explotar esto para lograr potencialmente la ejecución remota de código. Las tres condiciones siguientes deben cumplirse para explotar esta vulnerabilidad: Primero, la instrumentación de OpenTelemetry Java está adjunta como un agente Java ('-javaagent') en Java 16 o anterior. Segundo, el puerto JMX/RMI ha sido configurado explícitamente a través de '-Dcom.sun.management.jmxremote.port' y es accesible por red. Tercero, una biblioteca compatible con cadenas de gadgets está presente en el classpath. Esto resulta en ejecución remota de código arbitraria con los privilegios del usuario que ejecuta la JVM instrumentada. Para JDK >= 17, no se requiere ninguna acción, pero se recomienda encarecidamente la actualización. Para JDK < 17, actualice a la versión 2.26.1 o posterior. Como solución alternativa, establezca la propiedad del sistema '-Dotel.instrumentation.rmi.enabled=false' para deshabilitar la integración RMI.
  • Vulnerabilidad en MapServer (CVE-2026-33721)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    MapServer es un sistema para desarrollar aplicaciones GIS basadas en web. A partir de la versión 4.2 y antes de la versión 8.6.1, una escritura de desbordamiento de búfer de pila en el analizador SLD (Styled Layer Descriptor) de MapServer permite a un atacante remoto no autenticado bloquear el proceso de MapServer al enviar un SLD manipulado con más de 100 elementos Threshold dentro de una estructura ColorMap/Categorize (comúnmente accesible a través de WMS GetMap con SLD_BODY). La versión 8.6.1 corrige el problema.
  • Vulnerabilidad en metabase (CVE-2026-33725)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    Metabase es una herramienta de inteligencia de negocios de código abierto y análisis embebido. En Metabase Enterprise anterior a las versiones 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 y 1.59.4, los administradores autenticados en Metabase Enterprise Edition pueden lograr Ejecución Remota de Código (RCE) y Lectura Arbitraria de Archivos a través del endpoint 'POST /API/ee/serialization/import'. Un archivo de serialización manipulado inyecta una propiedad 'INIT' en la especificación H2 JDBC, que puede ejecutar SQL arbitrario durante una sincronización de base de datos. Confirmamos que esto era posible en Metabase Cloud. Esto solo afecta a Metabase Enterprise. Metabase OSS carece de las rutas de código afectadas. Todas las versiones de Metabase Enterprise que tienen serialización, lo que se remonta al menos a la versión 1.47, están afectadas. Las versiones de Metabase Enterprise 1.54.22, 1.55.22, 1.56.22, 1.57.16, 1.58.10 y 1.59.4 parchean el problema. Como solución alternativa, deshabilite el endpoint de importación de serialización en su instancia de Metabase para evitar el acceso a las rutas de código vulnerables.
  • Vulnerabilidad en cilium (CVE-2026-33726)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    Cilium es una solución de red, observabilidad y seguridad con un plano de datos basado en eBPF. Antes de las versiones 1.17.14, 1.18.8 y 1.19.2, las políticas de red de entrada (Ingress Network Policies) no se aplican para el tráfico de pods a servicios L7 (Envoy, GAMMA) con un backend local en el mismo nodo, cuando el enrutamiento por punto final (Per-Endpoint Routing) está habilitado y el enrutamiento de host BPF (BPF Host Routing) está deshabilitado. El enrutamiento por punto final (Per-Endpoint Routing) está deshabilitado por defecto, pero se habilita automáticamente en implementaciones que utilizan IPAM en la nube, incluyendo Cilium ENI en EKS ('eni.enabled'), AlibabaCloud ENI ('alibabacloud.enabled'), Azure IPAM ('azure.enabled', pero no AKS BYOCNI), y algunas implementaciones de GKE ('gke.enabled'; las ofertas gestionadas como GKE Dataplane V2 pueden usar valores predeterminados diferentes). Normalmente no está habilitado en implementaciones con túneles, y las implementaciones en cadena no se ven afectadas. En la práctica, Amazon EKS con modo Cilium ENI es probablemente el entorno afectado más común. Las versiones 1.17.14, 1.18.8 y 1.19.2 contienen un parche. Actualmente no existe una solución alternativa oficialmente verificada o completa para este problema. La única opción sería deshabilitar las rutas por punto final, pero esto probablemente causará interrupciones en las conexiones en curso, y posibles conflictos si se ejecuta en proveedores de la nube.
  • Vulnerabilidad en opensourcepos (CVE-2026-33730)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    Open Source Point of Sale (opensourcepos) es una aplicación de punto de venta basada en la web escrita en PHP utilizando el framework CodeIgniter. Antes de la versión 3.4.2, una vulnerabilidad de Referencia Directa Insegura a Objeto (IDOR) permite a un usuario autenticado con bajos privilegios acceder a la funcionalidad de cambio de contraseña de otros usuarios, incluidos los administradores, manipulando el parámetro 'employee_id'. La aplicación no verifica la propiedad del objeto ni aplica comprobaciones de autorización. La versión 3.4.2 añade comprobaciones de autorización a nivel de objeto para validar que el usuario actual es propietario del 'employee_id' al que se accede.
  • Vulnerabilidad en BentoML de bentoml (CVE-2026-33744)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    BentoML es una biblioteca de Python para construir sistemas de servicio en línea optimizados para aplicaciones de IA e inferencia de modelos. Antes de la versión 1.4.37, el campo 'docker.system_packages' en 'bentofile.yaml' aceptaba cadenas arbitrarias que se interpolaban directamente en los comandos 'RUN' de Dockerfile sin sanitización. Dado que 'system_packages' es semánticamente una lista de nombres de paquetes del sistema operativo (datos), los usuarios no esperan que los valores se interpreten como comandos de shell. Un 'bentofile.yaml' malicioso logra la ejecución arbitraria de comandos durante 'bentoml containerize' / 'docker build'. La versión 1.4.37 corrige el problema.
  • Vulnerabilidad en cpp-httplib de yhirose (CVE-2026-33745)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    cpp-httplib es una biblioteca HTTP/HTTPS multiplataforma de un solo archivo y solo de encabezado C++11. Antes de 0.39.0, el cliente HTTP cpp-httplib reenvía las credenciales almacenadas de Basic Auth, Bearer Token y Digest Auth a hosts arbitrarios al seguir redirecciones HTTP de origen cruzado (301/302/307/308). Un servidor malicioso o comprometido puede redirigir al cliente a un host controlado por el atacante, que luego recibe las credenciales en texto plano en el encabezado 'Authorization'. La versión 0.39.0 corrige el problema.
  • Vulnerabilidad en buildkit de moby (CVE-2026-33747)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    BuildKit es un conjunto de herramientas para convertir código fuente en artefactos de compilación de manera eficiente, expresiva y repetible. Antes de la versión 0.28.1, al usar un frontend de BuildKit personalizado, el frontend puede elaborar un mensaje de API que provoca que se escriban archivos fuera del directorio de estado de BuildKit para el contexto de ejecución. El problema ha sido solucionado en la v0.28.1. La vulnerabilidad requiere usar un frontend de BuildKit no confiable configurado con '#syntax' o '--build-arg BUILDKIT_SYNTAX'. El uso de estas opciones con una imagen de frontend conocida como 'docker/dockerfile' no se ve afectado.
  • Vulnerabilidad en MyTube de franklioxygen (CVE-2026-33890)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    MyTube es un descargador y reproductor autoalojado para varios sitios web de video. Antes de la versión 1.8.71, un atacante no autenticado puede registrar una clave de acceso arbitraria y posteriormente autenticarse con ella para obtener una sesión de administrador completa. La aplicación expone puntos finales de registro de clave de acceso sin requerir autenticación previa. Cualquier clave de acceso autenticada con éxito recibe automáticamente un token de administrador, permitiendo acceso administrativo completo a la aplicación. Esto permite un compromiso completo de la aplicación sin requerir ninguna credencial existente. La versión 1.8.71 corrige el problema.
  • Vulnerabilidad en MyTube de franklioxygen (CVE-2026-33935)
    Severidad: ALTA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 01/04/2026
    MyTube es un descargador y reproductor autoalojado para varios sitios web de videos. Antes de la versión 1.8.72, un atacante no autenticado puede bloquear las cuentas de administrador y visitante de la autenticación basada en contraseña al desencadenar intentos de inicio de sesión fallidos. La aplicación expone tres puntos finales de verificación de contraseña, todos los cuales son de acceso público. Los tres puntos finales comparten un único estado de intento de inicio de sesión respaldado por archivo almacenado en 'login-attempts.json'. Cuando cualquier punto final registra un intento de autenticación fallido a través de 'recordFailedAttempt()', el estado compartido de intento de inicio de sesión se actualiza, aumentando el contador 'failedAttempts' y ajustando las marcas de tiempo y los valores de enfriamiento asociados. Antes de verificar una contraseña, cada punto final llama a 'canAttemptLogin()'. Esta función verifica el archivo JSON compartido para determinar si un período de enfriamiento está activo. Si el enfriamiento no ha expirado, la solicitud es rechazada antes de que la contraseña sea validada. Debido a que el contador de intentos fallidos y el temporizador de enfriamiento se comparten globalmente, los intentos de autenticación fallidos contra cualquier punto final afectan a todos los demás puntos finales. Un atacante puede explotar esto enviando repetidamente solicitudes de autenticación inválidas a cualquiera de estos puntos finales, incrementando el contador compartido y esperando el período de enfriamiento entre intentos. Al hacerlo, el atacante puede aumentar progresivamente la duración del bloqueo hasta que alcance las 24 horas, impidiendo efectivamente que los usuarios legítimos se autentiquen. Una vez que se alcanza el bloqueo máximo, el atacante puede mantener la denegación de servicio indefinidamente esperando que expire el enfriamiento y enviando otro intento fallido, lo que desencadena inmediatamente otro bloqueo de 24 horas si no se produjo ningún inicio de sesión exitoso mientras tanto. La versión 1.8.72 corrige la vulnerabilidad.
  • Vulnerabilidad en SourceCodester Sales and Inventory System (CVE-2026-30556)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 01/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) reflejado existe en SourceCodester Sales and Inventory System 1.0. La vulnerabilidad se encuentra en el archivo index.php a través del parámetro 'msg'. La aplicación no logra sanear la entrada, permitiendo a atacantes remotos inyectar scripts web o HTML arbitrarios a través de una URL manipulada.
  • Vulnerabilidad en SourceCodester Sales and Inventory System (CVE-2026-30557)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 01/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) reflejado existe en SourceCodester Sales and Inventory System 1.0. La vulnerabilidad se encuentra en el archivo add_category.PHP a través del parámetro 'msg'. La aplicación no sanea la entrada, permitiendo a atacantes remotos inyectar scripts web o HTML arbitrarios a través de una URL manipulada.
  • Vulnerabilidad en SourceCodester Sales and Inventory System (CVE-2026-30558)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 01/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) reflejado existe en SourceCodester Sales and Inventory System 1.0. La vulnerabilidad se encuentra en el archivo add_customer.PHP a través del parámetro 'msg'. La aplicación no logra sanear la entrada, permitiendo a atacantes remotos inyectar scripts web o HTML arbitrarios a través de una URL manipulada.
  • Vulnerabilidad en SourceCodester Sales and Inventory System (CVE-2026-30559)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 01/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) reflejado existe en SourceCodester Sales and Inventory System 1.0. La vulnerabilidad se encuentra en el archivo add_sales.php a través del parámetro 'msg'. La aplicación no sanitiza la entrada, permitiendo a atacantes remotos inyectar scripts web o HTML arbitrarios a través de una URL manipulada.
  • Vulnerabilidad en SourceCodester Sales and Inventory System (CVE-2026-30560)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 01/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) reflejado existe en SourceCodester Sales and Inventory System 1.0. La vulnerabilidad se encuentra en el archivo add_supplier.php a través del parámetro 'msg'. La aplicación no logra sanear la entrada, permitiendo a atacantes remotos inyectar script web o HTML arbitrario a través de una URL manipulada.
  • Vulnerabilidad en SourceCodester Sales and Inventory System (CVE-2026-30561)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 01/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) reflejado existe en SourceCodester Sales and Inventory System 1.0. La vulnerabilidad se encuentra en el archivo add_purchase.PHP a través del parámetro 'msg'. La aplicación no sanea la entrada, permitiendo a atacantes remotos inyectar scripts web o HTML arbitrarios a través de una URL manipulada.