Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en Yoke de yokecd (CVE-2026-26055)
Severidad: ALTA
Fecha de publicación: 12/02/2026
Fecha de última actualización: 01/04/2026
Yoke es un desplegador de paquetes de infraestructura como código (IaC) inspirado en Helm. En la versión 0.19.0 y anteriores, existe una vulnerabilidad en el componente Air Traffic Controller (ATC) de Yoke. Los puntos finales del webhook de ATC carecen de mecanismos de autenticación adecuados, lo que permite que cualquier pod dentro de la red del clúster envíe directamente solicitudes de AdmissionReview al webhook, eludiendo la autenticación del Kubernetes API Server. Esto permite a los atacantes activar la ejecución de módulos WASM en el contexto del controlador ATC sin la autorización adecuada.
-
Vulnerabilidad en Yoke de yokecd (CVE-2026-26056)
Severidad: ALTA
Fecha de publicación: 12/02/2026
Fecha de última actualización: 01/04/2026
Yoke es un desplegador de paquetes de infraestructura como código (IaC) inspirado en Helm. En la versión 0.19.0 y anteriores, existe una vulnerabilidad en el componente Air Traffic Controller (ATC) de Yoke. Permite a los usuarios con permisos de creación/actualización de CR ejecutar código WASM arbitrario en el contexto del controlador ATC inyectando una URL maliciosa a través de la anotación overrides.yoke.cd/flight. El controlador ATC descarga y ejecuta el módulo WASM sin una validación de URL adecuada, lo que permite a los atacantes crear recursos arbitrarios de Kubernetes o potencialmente escalar privilegios a nivel de cluster-admin.
-
Vulnerabilidad en Omada Cloud Controller de TP-Link Systems Inc. (CVE-2025-9292)
Severidad: BAJA
Fecha de publicación: 13/02/2026
Fecha de última actualización: 01/04/2026
Una configuración de seguridad web permisiva puede permitir que las restricciones de origen cruzado impuestas por los navegadores modernos sean eludidas bajo circunstancias específicas. La explotación requiere la presencia de una vulnerabilidad de inyección del lado del cliente existente y acceso de usuario a la interfaz web afectada. La explotación exitosa podría permitir la divulgación no autorizada de información sensible. Corregido en versiones actualizadas del servicio Omada Cloud Controller desplegadas automáticamente por TP?Link. No se requiere ninguna acción del usuario.
-
Vulnerabilidad en TP-Link Systems Inc. (CVE-2025-9293)
Severidad: ALTA
Fecha de publicación: 13/02/2026
Fecha de última actualización: 01/04/2026
Una vulnerabilidad en la lógica de validación de certificados puede permitir a las aplicaciones aceptar identidades de servidor no confiables o validadas incorrectamente durante la comunicación TLS. Un atacante en una posición de red privilegiada puede ser capaz de interceptar o modificar el tráfico si pueden posicionarse dentro del canal de comunicación. La explotación exitosa puede comprometer la confidencialidad, la integridad y la disponibilidad de los datos de la aplicación.
-
Vulnerabilidad en .NET de Microsoft (CVE-2026-26127)
Severidad: ALTA
Fecha de publicación: 10/03/2026
Fecha de última actualización: 01/04/2026
Lectura fuera de límites en .NET permite a un atacante no autorizado denegar servicio a través de una red.
-
Vulnerabilidad en .NET 10.0 de Microsoft (CVE-2026-26131)
Severidad: ALTA
Fecha de publicación: 10/03/2026
Fecha de última actualización: 01/04/2026
Permisos predeterminados incorrectos en .NET permiten a un atacante autorizado elevar privilegios localmente.
-
Vulnerabilidad en Microsoft (CVE-2026-0385)
Severidad: MEDIA
Fecha de publicación: 16/03/2026
Fecha de última actualización: 01/04/2026
Vulnerabilidad de suplantación de Microsoft Edge (basado en Chromium) para Android