Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en ASP.NET Core de Microsoft (CVE-2026-26130)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 02/04/2026
    Asignación de recursos sin límites ni limitación en ASP.NET Core permite a un atacante no autorizado denegar el servicio a través de una red.
  • Vulnerabilidad en MCP Atlassian (CVE-2026-27825)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 02/04/2026
    MCP Atlassian es un servidor de Model Context Protocol (MCP) para productos de Atlassian (Confluence y Jira). Antes de la versión 0.17.0, la herramienta MCP 'confluence_download_attachment' acepta un parámetro 'download_path' al que se escribe sin ninguna aplicación de límites de directorio. Un atacante que puede llamar a esta herramienta y proporcionar o acceder a un archivo adjunto de Confluence con contenido malicioso puede escribir contenido arbitrario a cualquier ruta a la que el proceso del servidor tenga acceso de escritura. Debido a que el atacante controla tanto el destino de escritura como el contenido escrito (a través de un archivo adjunto de Confluence subido), esto constituye una ejecución de código arbitrario (por ejemplo, escribir una entrada cron válida en '/etc/cron.d/' logra la ejecución de código dentro de un ciclo del planificador sin necesidad de reiniciar el servidor). La versión 0.17.0 corrige el problema.
  • Vulnerabilidad en IBM Trusteer Rapport (CVE-2026-2713)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 02/04/2026
    IBM Trusteer Rapport installer 3.5.2309.290 IBM Trusteer Rapport podría permitir a un atacante local ejecutar código arbitrario en el sistema, causado por una vulnerabilidad de elemento de ruta de búsqueda no controlada de DLL. Al colocar un archivo especialmente diseñado en una carpeta comprometida, un atacante podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema.
  • Vulnerabilidad en Sunbird-Ed SunbirdEd-portal (CVE-2025-70027)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 02/04/2026
    Un problema relacionado con CWE-918: Falsificación de petición del lado del servidor fue descubierto en Sunbird-Ed SunbirdEd-portal v1.13.4. Esto permite a los atacantes obtener información sensible
  • Vulnerabilidad en Hub de JetBrains (CVE-2026-32229)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 02/04/2026
    En JetBrains Hub antes de 2026.1 era posible una discrepancia de cuenta al iniciar sesión con autenticación no-SSO y 2FA deshabilitado
  • Vulnerabilidad en TL-MR6400 v5.3 de TP-Link Systems Inc. (CVE-2026-3841)
    Severidad: ALTA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 02/04/2026
    Una vulnerabilidad de inyección de comandos ha sido identificada en la interfaz de línea de comandos (CLI) de Telnet de TP-Link TL-MR6400 v5.3. Este problema es causado por una sanitización insuficiente de los datos procesados durante operaciones específicas de la CLI. Un atacante autenticado con privilegios elevados podría ejecutar comandos de sistema arbitrarios. La explotación exitosa podría llevar a un compromiso total del dispositivo, incluyendo la posible pérdida de confidencialidad, integridad y disponibilidad.
  • Vulnerabilidad en Sterling Partner Engagement Manager de IBM (CVE-2025-14811)
    Severidad: BAJA
    Fecha de publicación: 13/03/2026
    Fecha de última actualización: 02/04/2026
    IBM Sterling Partner Engagement Manager 6.2.3.0 a 6.2.3.5 y 6.2.4.0 a 6.2.4.2 podría permitir a un atacante obtener información sensible de la cadena de consulta de un método GET HTTP para procesar una solicitud que podría obtenerse utilizando técnicas de man-in-the-middle.
  • Vulnerabilidad en TP-Link Systems Inc. (CVE-2026-1668)
    Severidad: ALTA
    Fecha de publicación: 13/03/2026
    Fecha de última actualización: 02/04/2026
    La interfaz web en múltiples switches Omada no valida adecuadamente ciertas entradas externas, lo que puede llevar a acceso a memoria fuera de límites al procesar solicitudes manipuladas. Bajo condiciones específicas, esta vulnerabilidad puede resultar en ejecución de comandos no intencionada. Un atacante no autenticado con acceso de red a la interfaz afectada puede causar corrupción de memoria, inestabilidad del servicio o revelación de información. La explotación exitosa puede permitir ejecución remota de código o denegación de servicio.
  • Vulnerabilidad en Datalore de JetBrains (CVE-2026-32745)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2026
    Fecha de última actualización: 02/04/2026
    En JetBrains Datalore antes de 2026.1 el secuestro de sesión era posible debido a la falta del atributo seguro para la configuración de cookies.
  • Vulnerabilidad en Mumble (CVE-2025-71264)
    Severidad: BAJA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 02/04/2026
    Mumble anterior a 1.6.870 es propenso a un acceso a un array fuera de límites, lo que puede resultar en una denegación de servicio (caída del cliente).
  • Vulnerabilidad en Zephyr (CVE-2026-0849)
    Severidad: BAJA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 02/04/2026
    Respuestas ATAES132A malformadas con un campo de longitud sobredimensionado desbordan un búfer de pila de 52 bytes en el controlador criptográfico de Zephyr, permitiendo a un dispositivo comprometido o a un atacante del bus corromper la memoria del kernel y potencialmente secuestrar la ejecución.
  • Vulnerabilidad en CICS Transaction Gateway for Multiplatforms de IBM (CVE-2026-0977)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 02/04/2026
    IBM CICS Transaction Gateway para multiplataformas 9.3 y 10.1 podría permitir a un usuario transferir o ver archivos debido a controles de acceso inadecuados.
  • Vulnerabilidad en MongoDB Server (CVE-2026-4358)
    Severidad: MEDIA
    Fecha de publicación: 17/03/2026
    Fecha de última actualización: 02/04/2026
    Una consulta de agregación especialmente diseñada con $lookup por un usuario autenticado con privilegios de escritura puede causar un problema de memoria de doble liberación o uso después de liberación en el motor de ejecución basado en ranuras (SBE) cuando una tabla hash en memoria se vuelca a disco.
  • Vulnerabilidad en MongoDB C Driver (CVE-2026-4359)
    Severidad: BAJA
    Fecha de publicación: 17/03/2026
    Fecha de última actualización: 02/04/2026
    Un servidor en la nube de terceros comprometido o un atacante man-in-the-middle podría enviar una respuesta HTTP malformada y causar un fallo en las aplicaciones que utilizan el controlador C de MongoDB.
  • Vulnerabilidad en Oracle Edge Cloud Infrastructure Designer and Visualisation Toolkit de Oracle Corporation (CVE-2026-21994)
    Severidad: CRÍTICA
    Fecha de publicación: 17/03/2026
    Fecha de última actualización: 02/04/2026
    Vulnerabilidad en el producto Oracle Edge Cloud Infrastructure Designer and Visualisation Toolkit de Oracle Open Source Projects (componente: Desktop). La versión soportada que está afectada es 0.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso de red vía HTTP comprometer Oracle Edge Cloud Infrastructure Designer and Visualisation Toolkit. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Edge Cloud Infrastructure Designer and Visualisation Toolkit. Puntuación Base CVSS 3.1 9.8 (impactos en Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
  • Vulnerabilidad en wgcloud (CVE-2026-30404)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 02/04/2026
    La característica de prueba de conexión de gestión de base de datos de backend en wgcloud v3.6.3 tiene una vulnerabilidad de falsificación de petición del lado del servidor (SSRF). Este problema puede ser explotado para hacer que el servidor envíe peticiones para sondear la red interna, descargar archivos maliciosos de forma remota y realizar otras operaciones peligrosas.
  • Vulnerabilidad en wgcloud (CVE-2026-30402)
    Severidad: CRÍTICA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 02/04/2026
    Un problema en wgcloud v.2.3.7 y versiones anteriores permite a un atacante remoto ejecutar código arbitrario a través de la función de prueba de conexión.
  • Vulnerabilidad en wgcloud (CVE-2026-30403)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 02/04/2026
    Hay una vulnerabilidad de lectura arbitraria de archivos en la función de prueba de conexión de la gestión de bases de datos de backend en wgcloud v3.6.3 y versiones anteriores, que puede ser utilizada para leer cualquier archivo en el servidor de la víctima.
  • Vulnerabilidad en Bitcoin Core (CVE-2025-46598)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 02/04/2026
    Bitcoin Core hasta la versión 29.0 permite una denegación de servicio a través de una transacción manipulada.
  • Vulnerabilidad en Bitcoin Core (CVE-2025-46597)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 02/04/2026
    Bitcoin Core 0.13.0 hasta 29.x tiene un desbordamiento de entero.
  • Vulnerabilidad en A15 de Tenda (CVE-2026-4567)
    Severidad: ALTA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 02/04/2026
    Una vulnerabilidad ha sido encontrada en Tenda A15 15.13.07.13. El elemento afectado es la función UploadCfg del archivo /cgi-bin/UploadCfg. La manipulación del argumento File conduce a desbordamiento de búfer basado en pila. El ataque puede ser iniciado remotamente. El exploit ha sido divulgado al público y puede ser usado.
  • Vulnerabilidad en MongoDB Server (CVE-2026-5170)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    Un usuario con acceso al clúster con un conjunto limitado de acciones de privilegio puede desencadenar una caída de un proceso mongod durante la ventana limitada e impredecible cuando el clúster está siendo promovido de un conjunto de réplicas a un clúster fragmentado. Esto puede causar una denegación de servicio al derribar el primario del conjunto de réplicas. Este problema afecta a MongoDB Server v8.2 versiones anteriores a 8.2.2, MongoDB Server v8.0 versiones entre 8.0.18, MongoDB Server v7.0 versiones entre 7.0.31.
  • Vulnerabilidad en MRCMS (CVE-2026-29909)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    MRCMS V3.1.2 contiene una vulnerabilidad de enumeración de directorios no autenticada en el módulo de gestión de archivos. El endpoint /admin/file/list.do carece de controles de autenticación y de validación de entrada adecuada, lo que permite a atacantes remotos enumerar el contenido de los directorios en el servidor sin ninguna credencial.
  • Vulnerabilidad en nginx-ui de 0xJacky (CVE-2026-33029)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    Nginx UI es una interfaz de usuario web para el servidor web Nginx. Antes de la versión 2.3.4, una vulnerabilidad de validación de entrada en la configuración de logrotate permite a un usuario autenticado causar una completa denegación de servicio (DoS). Al enviar un número entero negativo para el intervalo de rotación, el backend entra en un bucle infinito o un estado no válido, lo que hace que la interfaz web no responda. Este problema se ha corregido en la versión 2.3.4.
  • Vulnerabilidad en Vim (CVE-2026-34714)
    Severidad: CRÍTICA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    Vim anterior a la versión 9.2.0272 permite la ejecución de código que ocurre inmediatamente al abrir un archivo especialmente diseñado en la configuración predeterminada, porque se produce una inyección de %{expr} con tabpanel que carece de P_MLE.
  • Vulnerabilidad en Tautulli (CVE-2026-28505)
    Severidad: ALTA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Servidor. Antes de la versión 2.17.0, la función str_eval() en notification_handler.py implementa un eval() en sandbox para plantillas de texto de notificación. El sandbox intenta restringir los nombres invocables inspeccionando code.co_names del objeto de código compilado. Sin embargo, co_names solo contiene nombres del objeto de código externo. Cuando se utiliza una expresión lambda, esta crea un objeto de código anidado cuyos accesos a atributos se almacenan en code.co_consts, NO en code.co_names. El sandbox nunca inspecciona objetos de código anidados. Este problema ha sido parcheado en la versión 2.17.0.
  • Vulnerabilidad en Invoice Ninja (CVE-2026-29925)
    Severidad: ALTA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    Invoice Ninja v5.12.46 y v5.12.48 es vulnerable a falsificación de petición del lado del servidor (SSRF) en CheckDatabaseRequest.php.
  • Vulnerabilidad en Tautulli (CVE-2026-31799)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Server. Desde la versión 2.14.2 hasta antes de la versión 2.17.0 para los parámetros 'before' y 'after', y desde la versión 2.1.0-beta hasta antes de la versión 2.17.0 para los parámetros 'section_id' y 'user_id', el endpoint /api/v2?cmd=get_home_stats pasa los parámetros de consulta section_id, user_id, before y after directamente a SQL a través del formato de cadena % de Python sin parametrización. Un atacante que posee la clave API de administrador de Tautulli puede inyectar SQL arbitrario y exfiltrar cualquier valor de la base de datos SQLite de Tautulli mediante inferencia booleana a ciegas. Este problema ha sido parcheado en la versión 2.17.0.
  • Vulnerabilidad en Tautulli (CVE-2026-31831)
    Severidad: ALTA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Server. Antes de la versión 2.17.0, el endpoint de la API /newsletter/image/images es vulnerable a salto de ruta, permitiendo a atacantes no autenticados leer archivos arbitrarios del sistema de archivos del servidor de aplicaciones. Este problema ha sido parcheado en la versión 2.17.0.
  • Vulnerabilidad en Tautulli (CVE-2026-32275)
    Severidad: ALTA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    Tautulli es una herramienta de monitoreo y seguimiento basada en Python para Plex Media Server. Desde la versión 1.3.10 hasta antes de la versión 2.17.0, un parámetro de callback JSONP no saneado permite la inyección de scripts de origen cruzado y el robo de claves API. Este problema ha sido parcheado en la versión 2.17.0.
  • Vulnerabilidad en NanoMQ MQTT Broker (CVE-2026-25627)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    NanoMQ MQTT Broker (NanoMQ) es una plataforma de mensajería de borde integral. Antes de la versión 0.24.8, el transporte MQTT-over-WebSocket de NanoMQ puede colapsar al enviar un paquete MQTT con una longitud restante (Remaining Length) deliberadamente grande en la cabecera fija mientras se proporciona una carga útil real mucho más corta. La ruta del código copia bytes de la longitud restante sin verificar que el búfer de recepción actual contenga esa cantidad de bytes, lo que resulta en una lectura fuera de límites (ASAN informa OOB / fallo). Esto puede ser activado remotamente a través del oyente de WebSocket. Este problema ha sido parcheado en la versión 0.24.8.
  • Vulnerabilidad en OpenOLAT (CVE-2026-28228)
    Severidad: ALTA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    OpenOlat es una plataforma de e-learning de código abierto basada en web para la enseñanza, el aprendizaje, la evaluación y la comunicación. Antes de las versiones 19.1.31, 20.1.18 y 20.2.5, un usuario autenticado con el rol de Autor puede inyectar directivas de Velocity en una plantilla de correo electrónico de recordatorio. Cuando el recordatorio es procesado (ya sea activado manualmente o a través de la tarea cron diaria), las directivas inyectadas son evaluadas en el lado del servidor. Al encadenar la directiva #set de Velocity con la reflexión de Java, un atacante puede instanciar clases Java arbitrarias como java.lang.ProcessBuilder y ejecutar comandos del sistema operativo con los privilegios del proceso Tomcat (típicamente root en despliegues en contenedores). Este problema ha sido parcheado en las versiones 19.1.31, 20.1.18 y 20.2.5.
  • Vulnerabilidad en OpenOLAT (CVE-2026-31946)
    Severidad: CRÍTICA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 02/04/2026
    OpenOlat es una plataforma de e-learning de código abierto basada en la web para la enseñanza, el aprendizaje, la evaluación y la comunicación. Desde la versión 10.5.4 hasta antes de la versión 20.2.5, la implementación del flujo implícito de OpenID Connect de OpenOLAT no verifica las firmas JWT. El método JSONWebToken.parse() descarta silenciosamente el segmento de la firma del JWT compacto (encabezado.carga útil.firma), y los métodos getAccessToken() tanto en OpenIdConnectApi como en OpenIdConnectFullConfigurableApi solo validan campos a nivel de declaración (emisor, audiencia, estado, nonce) sin ninguna verificación criptográfica de la firma contra el endpoint JWKS del Proveedor de Identidad. Este problema ha sido parcheado en la versión 20.2.5.
  • Vulnerabilidad en langchain de langchain-ai (CVE-2026-34070)
    Severidad: ALTA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 02/04/2026
    LangChain es un framework para construir agentes y aplicaciones impulsadas por LLM. Antes de la versión 1.2.22, múltiples funciones en langchain_core.prompts.loading leían archivos de rutas incrustadas en diccionarios de configuración deserializados sin validar contra salto de directorio o inyección de ruta absoluta. Cuando una aplicación pasa configuraciones de prompt influenciadas por el usuario a load_prompt() o load_prompt_from_config(), un atacante puede leer archivos arbitrarios en el sistema de archivos del host, restringido solo por verificaciones de extensión de archivo (.txt para plantillas, .json/.yaml para ejemplos). Este problema ha sido parcheado en la versión 1.2.22.
  • Vulnerabilidad en D-Link (CVE-2026-5214)
    Severidad: ALTA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 02/04/2026
    Una vulnerabilidad fue encontrada en D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 y DNS-1550-04 hasta 20260205. La función afectada es cgi_addgroup_get_group_quota_minsize del archivo /cgi-bin/account_mgr.cgi. La manipulación del argumento Name resulta en un desbordamiento de búfer basado en pila. El ataque puede realizarse de forma remota. El exploit se ha hecho público y podría utilizarse.
  • Vulnerabilidad en D-Link (CVE-2026-5215)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2026
    Fecha de última actualización: 02/04/2026
    Una vulnerabilidad fue identificada en D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 y DNS-1550-04 hasta 20260205. El elemento afectado es la función cgi_get_ipv6 del archivo /cgi-bin/network_mgr.cgi. Dicha manipulación conduce a controles de acceso inadecuados. El exploit está disponible públicamente y podría ser utilizado.