Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Eclipse ThreadX - USBX de Eclipse Foundation (CVE-2025-55095)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2026
    Fecha de última actualización: 02/04/2026
    La función _ux_host_class_storage_media_mount() es responsable de montar particiones en un dispositivo de almacenamiento masivo USB. Cuando encuentra una entrada de partición extendida en la tabla de particiones, se llama a sí misma recursivamente para montar la siguiente partición lógica. Esta recursión ocurre en _ux_host_class_storage_partition_read(), que analiza hasta cuatro entradas de partición. Si se encuentra una partición extendida (con el tipo UX_HOST_CLASS_STORAGE_PARTITION_EXTENDED o EXTENDED_LBA_MAPPED), el código invoca: _ux_host_class_storage_media_mount(storage, sector + _ux_utility_long_get(...)); No hay límite en la profundidad de recursión ni seguimiento de los sectores visitados. Como resultado, una imagen de disco maliciosa o malformada puede incluir cadenas cíclicas o excesivamente profundas de particiones extendidas, lo que hace que la función recurra hasta que ocurra un desbordamiento de pila.
  • Vulnerabilidad en NetX IPv6 de Eclipse ThreadX NetX Duo (CVE-2025-55102)
    Severidad: ALTA
    Fecha de publicación: 27/01/2026
    Fecha de última actualización: 02/04/2026
    Hay una vulnerabilidad de denegación de servicio en la funcionalidad del componente NetX IPv6 de Eclipse ThreadX NetX Duo. Un paquete de red especialmente diseñado de 'Packet Too Big' con más de 15 direcciones de origen diferentes puede provocar una denegación de servicio. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • Vulnerabilidad en Eclipse ThreadX de Eclipse Foundation (CVE-2026-0648)
    Severidad: ALTA
    Fecha de publicación: 27/01/2026
    Fecha de última actualización: 02/04/2026
    La vulnerabilidad se deriva de una lógica incorrecta de comprobación de errores en la función CreateCounter() (en threadx/utility/rtos_compatibility_layers/OSEK/tx_osek.c) al manejar el valor de retorno de osek_get_counter(). Específicamente, el código actual comprueba si cntr_id es igual a 0u para determinar un fallo, pero @osek_get_counter() en realidad devuelve E_OS_SYS_STACK (definido como 12U) cuando falla. Esta discrepancia hace que la rama de error nunca se ejecute, incluso cuando el pool de contadores está agotado. Como resultado, cuando el pool de contadores se agota, el código procede a convertir el código de error (12U) a un puntero (OSEK_COUNTER *), creando un puntero salvaje. Las escrituras posteriores a miembros de este puntero conducen a escrituras en direcciones de memoria ilegales (por ejemplo, 0x0000000C), lo que puede desencadenar HardFaults inmediatos o corrupción de memoria silenciosa. Esta vulnerabilidad plantea riesgos significativos, incluyendo posibles ataques de denegación de servicio (mediante llamadas repetidas para agotar el pool de contadores) y acceso no autorizado a la memoria.
  • Vulnerabilidad en Drupal (CVE-2026-0945)
    Severidad: ALTA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 02/04/2026
    La vulnerabilidad "Privilege Defined With Unsafe Actions" en la delegación de roles de Drupal permite la escalada de privilegios. Este problema afecta a la delegación de roles: desde la versión 1.3.0 hasta la 1.5.0.
  • Vulnerabilidad en OpenMQ (CVE-2026-22886)
    Severidad: CRÍTICA
    Fecha de publicación: 03/03/2026
    Fecha de última actualización: 02/04/2026
    OpenMQ expone un servicio de gestión basado en TCP (imqbrokerd) que por defecto requiere autenticación. Sin embargo, el producto se envía con una cuenta administrativa por defecto (admin/admin) y no impone un cambio de contraseña obligatorio en el primer uso. Después del primer inicio de sesión exitoso, el servidor continúa aceptando la contraseña por defecto indefinidamente sin advertencia ni imposición. En implementaciones del mundo real, este servicio a menudo se deja habilitado sin cambiar las credenciales por defecto. Como resultado, un atacante remoto con acceso al puerto del servicio podría autenticarse como administrador y obtener control total de las características administrativas del protocolo.
  • Vulnerabilidad en Zephyr de zephyrproject-rtos (CVE-2026-4179)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 02/04/2026
    Problemas en el controlador de dispositivo USB stm32 (drivers/usb/device/usb_dc_stm32.c) pueden llevar a un bucle while infinito.
  • Vulnerabilidad en TIBCO BPM Enterprise (CVE-2026-3207)
    Severidad: ALTA
    Fecha de publicación: 17/03/2026
    Fecha de última actualización: 02/04/2026
    Problema de configuración en Java Management Extensions (JMX) en TIBCO BPM Enterprise versión 4.x permite acceso no autorizado.
  • Vulnerabilidad en AX53 v1 de TP-Link Systems Inc. (CVE-2025-15607)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 02/04/2026
    Una vulnerabilidad de inyección de comandos en AX53 v1 ocurre en la funcionalidad de depuración de mscd debido a un manejo de entrada insuficiente, permitiendo la redirección de registros a archivos arbitrarios y la concatenación de contenido de archivos no validado en comandos de shell, lo que permite a atacantes autenticados inyectar y ejecutar comandos arbitrarios. La explotación exitosa puede permitir la ejecución de comandos maliciosos y, en última instancia, el control total del dispositivo.
  • Vulnerabilidad en AX53 v1 de TP-Link Systems Inc. (CVE-2025-15608)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 02/04/2026
    Esta vulnerabilidad en AX53 v1 resulta de la sanitización insuficiente de entradas en la lógica de manejo de sondas del dispositivo, donde parámetros no validados pueden desencadenar un desbordamiento de búfer basado en pila que causa la caída del servicio afectado y, bajo condiciones específicas, puede permitir la ejecución remota de código a través de técnicas complejas de heap-spray. La explotación exitosa puede resultar en indisponibilidad repetida del servicio y, en ciertos escenarios, permitir a un atacante obtener control del dispositivo.
  • Vulnerabilidad en DooTask (CVE-2026-29828)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 02/04/2026
    DooTask v1.6.27 tiene una vulnerabilidad de cross-site scripting (XSS) en la página /manage/project/ a través del campo de entrada projectDesc.
  • Vulnerabilidad en Simple Food Ordering System de code-projects (CVE-2026-4533)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2026
    Fecha de última actualización: 02/04/2026
    Se detectó una vulnerabilidad en code-projects Simple Food Ordering System 1.0. Afectada por este problema es alguna funcionalidad desconocida del archivo all-tickets.PHP. La manipulación del argumento Status resulta en inyección SQL. Es posible lanzar el ataque remotamente. El exploit es ahora público y puede ser usado.
  • Vulnerabilidad en Easy Chat de Echatserver (CVE-2019-25613)
    Severidad: ALTA
    Fecha de publicación: 22/03/2026
    Fecha de última actualización: 02/04/2026
    Easy Chat Server 3.1 contiene una vulnerabilidad de denegación de servicio que permite a atacantes remotos bloquear la aplicación enviando datos de tamaño excesivo en el parámetro message. Los atacantes pueden establecer una sesión a través del endpoint chat.ghp y luego enviar una solicitud POST a body2.ghp con un valor del parámetro message excesivamente grande para causar el bloqueo del servicio.
  • Vulnerabilidad en F453 de Tenda (CVE-2026-4551)
    Severidad: ALTA
    Fecha de publicación: 22/03/2026
    Fecha de última actualización: 02/04/2026
    Se encontró una vulnerabilidad en Tenda F453 1.0.0.3. Esta vulnerabilidad afecta a la función fromSafeClientFilter del archivo /goform/SafeClientFilter del componente Gestor de Parámetros. Realizar una manipulación del argumento menufacturer/Go resulta en un desbordamiento de búfer basado en pila. El ataque es posible de llevar a cabo de forma remota. El exploit ha sido hecho público y podría ser usado.
  • Vulnerabilidad en F453 de Tenda (CVE-2026-4552)
    Severidad: ALTA
    Fecha de publicación: 22/03/2026
    Fecha de última actualización: 02/04/2026
    Se determinó una vulnerabilidad en Tenda F453 1.0.0.3. Este problema afecta a la función fromVirtualSer del archivo /goform/VirtualSer del componente Gestor de Parámetros. La ejecución de una manipulación del argumento page puede conducir a un desbordamiento de búfer basado en pila. El ataque puede realizarse de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
  • Vulnerabilidad en F453 de Tenda (CVE-2026-4553)
    Severidad: ALTA
    Fecha de publicación: 22/03/2026
    Fecha de última actualización: 02/04/2026
    Se identificó una vulnerabilidad en Tenda F453 1.0.0.3. Afecta a la función fromNatlimit del archivo /goform/Natlimit del componente Gestor de Parámetros. La manipulación del argumento page conduce a un desbordamiento de búfer basado en pila. Es posible iniciar el ataque de forma remota. El exploit está disponible públicamente y podría ser utilizado.
  • Vulnerabilidad en Tiki (CVE-2024-46878)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 02/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) existe en el parámetro 'page' de tiki-editpage.PHP en Tiki versión 26.3 y anteriores. Esta vulnerabilidad permite a los atacantes ejecutar código JavaScript arbitrario mediante una carga útil manipulada, lo que puede llevar a un acceso potencial a información sensible o acciones no autorizadas.
  • Vulnerabilidad en zipPath (CVE-2024-46879)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2026
    Fecha de última actualización: 02/04/2026
    Una vulnerabilidad de cross-site scripting (XSS) reflejado existe en los datos de la solicitud POST zipPath de tiki-admin_system.php en la versión 21.2 de Tiki. Esta vulnerabilidad permite a los atacantes ejecutar código JavaScript arbitrario a través de una carga útil manipulada, lo que puede llevar a un acceso potencial a información sensible o acciones no autorizadas.
  • Vulnerabilidad en pdf-image (CVE-2026-26830)
    Severidad: CRÍTICA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 02/04/2026
    pdf-image (paquete npm) hasta la versión 2.0.0 permite la inyección de comandos del sistema operativo a través del parámetro pdfFilePath. Las funciones constructGetInfoCommand y constructConvertCommandForPage usan util.format() para interpolar rutas de archivo controladas por el usuario en cadenas de comandos de shell que se ejecutan a través de child_process.exec().
  • Vulnerabilidad en Login Disable de Drupal (CVE-2026-1917)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 02/04/2026
    Vulnerabilidad de omisión de autenticación Usando una Ruta o Canal Alternativo en Drupal Login Disable permite la Omisión de Funcionalidad. Este problema afecta a Login Disable: desde 0.0.0 antes de 2.1.3.
  • Vulnerabilidad en Quick Edit de Drupal (CVE-2026-2348)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 02/04/2026
    Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web (cross-site scripting) vulnerabilidad en Drupal Quick Edit permite cross-site scripting (XSS). Este problema afecta a Quick Edit: desde 0.0.0 antes de 1.0.5, desde 2.0.0 antes de 2.0.1.
  • Vulnerabilidad en CAPTCHA de Drupal (CVE-2026-3214)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2026
    Fecha de última actualización: 02/04/2026
    Vulnerabilidad de omisión de autenticación usando una ruta o canal alternativo en Drupal CAPTCHA permite la omisión de funcionalidad. Este problema afecta a CAPTCHA: desde 0.0.0 antes de 1.17.0, desde 2.0.0 antes de 2.0.10.
  • Vulnerabilidad en libpng de pnggroup (CVE-2026-33416)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 02/04/2026
    LIBPNG es una biblioteca de referencia para su uso en aplicaciones que leen, crean y manipulan archivos de imagen ráster PNG (Portable Network Graphics). En las versiones 1.2.1 a 1.6.55, 'png_set_tRNS' y 'png_set_PLTE' cada una aliasan un búfer asignado en el heap entre 'png_struct' y 'png_info', compartiendo una única asignación entre dos estructuras con vidas útiles independientes. El aliasing de 'trans_alpha' ha estado presente desde al menos libpng 1.0, y el aliasing de 'palette' desde al menos 1.2.1. Ambos afectan a todas las líneas de versiones anteriores: 'png_set_tRNS' establece 'png_ptr->trans_alpha = info_ptr->trans_alpha' (búfer de 256 bytes) y 'png_set_PLTE' establece 'info_ptr->palette = png_ptr->palette' (búfer de 768 bytes). En ambos casos, llamar a 'png_free_data' (con 'PNG_FREE_TRNS' o 'PNG_FREE_PLTE') libera el búfer a través de 'info_ptr' mientras que el puntero 'png_ptr' correspondiente permanece colgante. Las funciones de transformación de fila subsiguientes desreferencian y, en algunas rutas de código, escriben en la memoria liberada. Una segunda llamada a 'png_set_tRNS' o 'png_set_PLTE' tiene el mismo efecto, porque ambas funciones llaman internamente a 'png_free_data' antes de reasignar el búfer de 'info_ptr'. La versión 1.6.56 corrige el problema.
  • Vulnerabilidad en oathkeeper de ory (CVE-2026-33495)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 02/04/2026
    ORY Oathkeeper es un Proxy de Identidad y Acceso (IAP) y una API de Decisión de Control de Acceso que autoriza solicitudes HTTP basándose en conjuntos de Reglas de Acceso. Ory Oathkeeper a menudo se despliega detrás de otros componentes como CDNs, WAFs o proxies inversos. Dependiendo de la configuración, otro componente podría reenviar la solicitud al proxy de Oathkeeper con un protocolo diferente (HTTP vs. HTTPS) que la solicitud original. Para hacer coincidir correctamente la solicitud con las reglas configuradas, Oathkeeper considera el encabezado 'X-Forwarded-Proto' al evaluar las reglas. La opción de configuración 'serve.proxy.trust_forwarded_headers' (por defecto es falso) rige si este y otros encabezados 'X-Forwarded-*' deben ser confiables. Antes de la versión 26.2.0, Oathkeeper no respetaba correctamente esta configuración y siempre consideraba el encabezado 'X-Forwarded-Proto'. Para que un atacante pueda abusar de esto, una instalación de Ory Oathkeeper necesita tener reglas distintas para solicitudes HTTP y HTTPS. Además, el atacante necesita poder activar una regla pero no la otra. En este escenario, el atacante puede enviar la misma solicitud pero con el encabezado 'X-Forwarded-Proto' para activar la otra regla. No esperamos que muchas configuraciones cumplan estas precondiciones. La versión 26.2.0 contiene un parche. Ory Oathkeeper respetará correctamente la configuración 'serve.proxy.trust_forwarded_headers' en adelante, eliminando así el escenario de ataque. Recomendamos actualizar a una versión corregida incluso si no se cumplen las precondiciones. Como mitigación adicional, generalmente se recomienda descartar cualquier encabezado inesperado lo antes posible cuando se maneja una solicitud, por ejemplo, en el WAF.
  • Vulnerabilidad en Drupal File (Field) Paths (CVE-2026-1556)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 02/04/2026
    Revelación de información en el procesamiento de URI de archivo de Rutas de Archivo (Campo) en Drupal File (Field) Paths 7.x anterior a 7.1.3 en Drupal 7.x permite a usuarios autenticados revelar archivos privados de otros usuarios mediante cargas por colisión de nombres de archivo. Esto puede causar que consumidores de hook_node_insert() (por ejemplo, módulos de adjuntos de correo electrónico) reciban la URI de archivo incorrecta, eludiendo los controles de acceso normales en archivos privados.
  • Vulnerabilidad en TigerVNC (CVE-2026-34352)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 02/04/2026
    En TigerVNC anterior a 1.16.2, Image.cxx en x0vncserver permite a otros usuarios observar o manipular el contenido de la pantalla, o causar un fallo de la aplicación, debido a permisos incorrectos.