Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Windmill (CVE-2026-29059)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 14/04/2026
    Windmill es una plataforma para desarrolladores de código abierto para código interno: APIs, trabajos en segundo plano, flujos de trabajo e interfaces de usuario. Antes de la versión 1.603.3, existe una vulnerabilidad de salto de ruta sin autenticación en el endpoint get_log_file de Windmill '(/api/w/{workspace}/jobs_u/get_log_file/{filename})'. El parámetro filename se concatena en una ruta de archivo sin saneamiento, permitiendo a un atacante leer archivos arbitrarios en el servidor usando secuencias ../. Este problema ha sido parcheado en la versión 1.603.3.
  • Vulnerabilidad en node-server de honojs (CVE-2026-29087)
    Severidad: ALTA
    Fecha de publicación: 06/03/2026
    Fecha de última actualización: 14/04/2026
    @hono/node-server permite ejecutar la aplicación Hono en Node.js. Antes de la versión 1.19.10, al usar el servicio de archivos estáticos de @hono/node-server junto con protecciones de middleware basadas en rutas (por ejemplo, protegiendo /admin/*), una decodificación de URL inconsistente puede permitir que los recursos estáticos protegidos sean accedidos sin autorización. En particular, las rutas que contienen barras codificadas (%2F) pueden ser evaluadas de manera diferente por la coincidencia de enrutamiento/middleware frente a la resolución de rutas de archivos estáticos, lo que permite una omisión donde el middleware no se ejecuta pero el archivo estático aún es servido. Este problema ha sido parcheado en la versión 1.19.10.
  • Vulnerabilidad en Clasp de Google (CVE-2026-4092)
    Severidad: ALTA
    Fecha de publicación: 13/03/2026
    Fecha de última actualización: 14/04/2026
    Salto de ruta en Clasp que afecta a las versiones < 3.2.0 permite a un atacante remoto realizar ejecución remota de código mediante un proyecto malicioso de Google Apps Script que contiene nombres de archivo especialmente manipulados con secuencias de salto de directorio.
  • Vulnerabilidad en SDT-CS3B1 de Telesquare (CVE-2017-20221)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 14/04/2026
    El router Telesquare SKT LTE SDT-CS3B1 versión 1.2.0 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a atacantes autenticados ejecutar comandos de sistema arbitrarios al explotar la falta de validación de peticiones. Los atacantes pueden crear páginas web maliciosas que realizan acciones administrativas cuando son visitadas por usuarios con sesión iniciada, lo que permite la ejecución de comandos con privilegios de router.
  • Vulnerabilidad en SDT-CS3B1 de Telesquare (CVE-2017-20222)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 14/04/2026
    Telesquare SKT LTE Router SDT-CS3B1 versión de software 1.2.0 contiene una vulnerabilidad de reinicio remoto no autenticado que permite a los atacantes activar el reinicio del dispositivo sin autenticación. Los atacantes pueden enviar solicitudes POST al endpoint lte.cgi con el parámetro Command=Reboot para causar denegación de servicio al forzar el reinicio del router.
  • Vulnerabilidad en SDT-CS3B1 de Telesquare (CVE-2017-20223)
    Severidad: CRÍTICA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 14/04/2026
    La versión de firmware 1.2.0 del Telesquare SKT LTE Router SDT-CS3B1 contiene una vulnerabilidad de referencia directa a objeto insegura que permite a los atacantes eludir la autorización y acceder a recursos manipulando parámetros de entrada proporcionados por el usuario. Los atacantes pueden referenciar directamente objetos en el sistema para recuperar información sensible y acceder a funcionalidades sin los controles de acceso adecuados.
  • Vulnerabilidad en qui de autobrr (CVE-2026-30924)
    Severidad: CRÍTICA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 14/04/2026
    qui es una interfaz web para gestionar instancias de qBittorrent. Las versiones 1.14.1 e inferiores utilizan una política CORS permisiva que refleja orígenes arbitrarios y también devuelve Access-Control-Allow-Credentials: true, permitiendo efectivamente que cualquier página web externa realice solicitudes autenticadas en nombre de un usuario con sesión iniciada. Un atacante puede explotar esto engañando a una víctima para que cargue una página web maliciosa, la cual interactúa silenciosamente con la aplicación utilizando la sesión de la víctima y potencialmente exfiltrando datos sensibles como claves API y credenciales de cuenta, o incluso logrando un compromiso total del sistema a través del gestor de Programas Externos incorporado. La explotación requiere que la víctima acceda a la aplicación a través de un nombre de host que no sea localhost y cargue una página web controlada por el atacante, lo que convierte los ataques de ingeniería social altamente dirigidos en el escenario más probable en el mundo real. Este problema no fue solucionado en el momento de la publicación.
  • Vulnerabilidad en Azure Cloud Shell de Microsoft (CVE-2026-32169)
    Severidad: CRÍTICA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 14/04/2026
    Falsificación de petición del lado del servidor (SSRF) en Azure Cloud Shell permite a un atacante no autorizado elevar privilegios sobre una red.
  • Vulnerabilidad en LuCI (CVE-2026-32721)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 14/04/2026
    LuCI es la interfaz de configuración de OpenWrt. Las versiones anteriores a la 24.10.5 y a la 25.12.0 contienen una vulnerabilidad de XSS almacenado en el modal de escaneo inalámbrico, donde los valores de SSID de los resultados del escaneo se renderizan como HTML sin procesar sin ninguna sanitización. El archivo wireless.js en el paquete luci-mod-network pasa los SSID a través de un literal de plantilla a dom.append(), que los procesa a través de innerHTML, permitiendo a un atacante crear un SSID malicioso que contenga HTML/JavaScript arbitrario. La explotación requiere que el usuario abra activamente el modal de escaneo inalámbrico (por ejemplo, para conectarse a un punto de acceso Wi-Fi o para explorar canales cercanos), y solo afecta a las versiones de OpenWrt posteriores a la 23.05/22.03 hasta las versiones parcheadas (24.10.6 y 25.12.1). El problema ha sido solucionado en la versión LuCI 26.072.65753~068150b.
  • Vulnerabilidad en exactyl (CVE-2026-33061)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    exactyl es un panel de gestión de juegos y sistema de facturación personalizable. Commits después de 025e8dbb0daaa04054276bda814d922cf4af58da y antes de e28edb204e80efab628d1241198ea4f079779cfd inyectan objetos del lado del servidor en JavaScript del lado del cliente a través de resources/views/templates/wrapper.blade.php. Usar {!! json_encode(...) !!} sin escapar y sin banderas de codificación segura permite que los valores de cadena salgan del contexto de JavaScript y sean interpretados como HTML/JS por el navegador. Si algún campo serializado contiene contenido controlado por el atacante, como un nombre de usuario, nombre de visualización o valor de configuración del sitio, una carga útil maliciosa ejecutará un script arbitrario para cualquier usuario que vea la página (XSS DOM almacenado). Este problema ha sido parcheado por el commit e28edb204e80efab628d1241198ea4f079779cfd.
  • Vulnerabilidad en mcp-memory-service de doobidoo (CVE-2026-33010)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    mcp-memory-service es un backend de memoria de código abierto para sistemas multiagente. Antes de la versión 10.25.1, cuando el servidor HTTP está habilitado (MCP_HTTP_ENABLED=true), la aplicación configura el CORSMiddleware de FastAPI con allow_origins=['*'], allow_credentials=True, allow_methods=['*'] y allow_headers=['*']. El encabezado comodín Access-Control-Allow-Origin: * permite a cualquier sitio web leer respuestas de la API de origen cruzado. Cuando se combina con acceso anónimo (MCP_ALLOW_ANONYMOUS_ACCESS=true) - la forma más sencilla de hacer funcionar el panel de control HTTP sin OAuth - no se necesitan credenciales, por lo que cualquier sitio web malicioso puede leer, modificar y eliminar silenciosamente todas las memorias almacenadas. Este problema ha sido parcheado en la versión 10.25.1.
  • Vulnerabilidad en SyncFusion (CVE-2025-63260)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    SyncFusion 30.1.37 es vulnerable a Cross Site Scripting (XSS) a través del campo de respuesta a comentarios del Editor de Documentos y el mensaje de chat de la interfaz de usuario de chat.
  • Vulnerabilidad en DreamFactory Core (CVE-2025-55988)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    Un problema en el componente /Controllers/RestController.php de DreamFactory Core v1.0.3 permite a los atacantes ejecutar un salto de directorio a través de una ruta URI no saneada.
  • Vulnerabilidad en socket.io de socketio (CVE-2026-33151)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    Socket.IO es un framework de comunicación de código abierto, en tiempo real, bidireccional y basado en eventos. Antes de las versiones 3.3.5, 3.4.4 y 4.2.6, un paquete de Socket.IO especialmente diseñado puede hacer que el servidor espere un gran número de adjuntos binarios y los almacene en búfer, lo cual puede ser explotado para agotar la memoria del servidor. Este problema ha sido parcheado en las versiones 3.3.5, 3.4.4 y 4.2.6.
  • Vulnerabilidad en dynaconf (CVE-2026-33154)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    dynaconf es una herramienta de gestión de configuración para Python. Antes de la versión 3.2.13, Dynaconf es vulnerable a la Inyección de Plantilla del Lado del Servidor (SSTI) debido a la evaluación insegura de plantillas en el resolvedor @Jinja. Cuando el paquete jinja2 está instalado, Dynaconf evalúa expresiones de plantilla incrustadas en valores de configuración sin un entorno aislado. Este problema ha sido parcheado en la versión 3.2.13.
  • Vulnerabilidad en deepdiff de seperman (CVE-2026-33155)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    DeepDiff es un proyecto centrado en la Diferencia Profunda y la búsqueda de cualquier dato de Python. Desde la versión 5.0.0 hasta antes de la versión 8.6.2, el des-serializador de pickle _RestrictedUnpickler valida qué clases pueden cargarse, pero no limita los argumentos de sus constructores. Algunos de los tipos en SAFE_TO_IMPORT tienen constructores que asignan memoria proporcional a su entrada (builtins.bytes, builtins.list, builtins.range). Una carga útil de pickle de 40 bytes puede forzar más de 10 GB de memoria, lo que provoca el bloqueo de aplicaciones que cargan objetos delta o llaman a pickle_load con datos no confiables. Este problema ha sido parcheado en la versión 8.6.2.
  • Vulnerabilidad en effect de Effect-TS (CVE-2026-32887)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    Effect es un framework de TypeScript que consta de varios paquetes que trabajan juntos para ayudar a construir aplicaciones TypeScript. Antes de la versión 3.20.0, al usar `RpcServer.toWebHandler` (o `HttpApp.toWebHandlerRuntime`) dentro de un gestor de rutas del App Router de Next.js, cualquier API de Node.js dependiente de `AsyncLocalStorage` llamada desde dentro de una fibra de Effect puede leer el contexto de otra solicitud concurrente — o ningún contexto en absoluto. Bajo tráfico de producción, `auth()` de `@clerk/nextjs/server` devuelve la sesión de un usuario diferente. La versión 3.20.0 contiene una solución para el problema.
  • Vulnerabilidad en gpac (CVE-2026-33144)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    GPAC es un framework multimedia de código abierto. Antes del commit 86b0e36, se descubrió una vulnerabilidad de desbordamiento de búfer basado en montículo (escritura) en GPAC MP4Box. La vulnerabilidad existe en la función gf_xml_parse_bit_sequence_bs en utils/xml_bin_custom.c al procesar un archivo NHML manipulado que contiene elementos (BitSequence) maliciosos. Un atacante puede explotar esto al proporcionar un archivo NHML especialmente diseñado, causando una escritura fuera de límites en el montículo. Este problema ha sido a través del commit 86b0e36.
  • Vulnerabilidad en allure2 de allure-framework (CVE-2026-33166)
    Severidad: ALTA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 14/04/2026
    Allure 2 es la rama 2.x de Allure Report, una herramienta de informes de pruebas multilenguaje. El generador de informes de Allure anterior a la versión 2.38.0 es vulnerable a una lectura de archivo arbitraria mediante salto de ruta al procesar los resultados de las pruebas. Un atacante puede crear un archivo de resultados malicioso (-result.json, -container.json o .plist) que apunte una fuente de adjunto a un archivo sensible en el sistema anfitrión. Durante la generación del informe, Allure resolverá estas rutas e incluirá los archivos sensibles en el informe final. La versión 2.38.0 corrige el problema.
  • Vulnerabilidad en Red Hat (CVE-2026-5121)
    Severidad: ALTA
    Fecha de publicación: 30/03/2026
    Fecha de última actualización: 14/04/2026
    Se encontró un fallo en libarchive. En sistemas de 32 bits, existe una vulnerabilidad de desbordamiento de entero en la lógica de asignación de punteros de bloque zisofs. Un atacante remoto puede explotar esto al proporcionar una imagen ISO9660 especialmente diseñada, lo que puede llevar a un desbordamiento de búfer de pila. Esto podría permitir potencialmente la ejecución de código arbitrario en el sistema afectado.
  • Vulnerabilidad en Connext Professional de RTI (CVE-2026-2394)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2026
    Fecha de última actualización: 14/04/2026
    Vulnerabilidad de lectura excesiva de búfer en RTI Connext Professional (Core Libraries) permite la lectura excesiva de búferes. Este problema afecta a Connext Professional: desde 7.4.0 antes de 7.7.0, desde 7.0.0 antes de 7.3.1.1, desde 6.1.0 antes de 6.1.*, desde 6.0.0 antes de 6.0.*, desde 5.3.0 antes de 5.3.*, desde 4.3x antes de 5.2.*.
  • Vulnerabilidad en Foxit PDF Editor y Reader (CVE-2026-3775)
    Severidad: ALTA
    Fecha de publicación: 01/04/2026
    Fecha de última actualización: 14/04/2026
    El servicio de actualización de la aplicación, al buscar actualizaciones, carga ciertas bibliotecas del sistema desde una ruta de búsqueda que incluye directorios escribibles por usuarios con pocos privilegios y no está estrictamente restringida a ubicaciones de sistema confiables. Debido a que estas bibliotecas pueden ser resueltas y cargadas desde ubicaciones escribibles por el usuario, un atacante local puede colocar una biblioteca maliciosa allí y hacer que se cargue con privilegios de SYSTEM, lo que resulta en una escalada de privilegios local y ejecución de código arbitrario.
  • Vulnerabilidad en Foxit PDF Editor y Reader (CVE-2026-3776)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2026
    Fecha de última actualización: 14/04/2026
    La aplicación no valida la presencia de los datos de apariencia (AP) requeridos antes de acceder a los recursos de anotación de sello. Cuando un PDF contiene una anotación de sello a la que le falta su entrada AP, el código continúa desreferenciando el objeto asociado sin una comprobación previa de nulidad o validez, lo que permite que un documento manipulado active una desreferencia de puntero nulo y bloquee la aplicación, lo que resulta en denegación de servicio.
  • Vulnerabilidad en Foxit PDF Editor y Reader (CVE-2026-3777)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2026
    Fecha de última actualización: 14/04/2026
    La aplicación no valida correctamente la vida útil y la validez de los punteros internos de la caché de vistas después de que JavaScript cambia el zoom del documento y el estado de la página. Cuando un script modifica la propiedad de zoom y luego desencadena un cambio de página, el objeto de vista original puede ser destruido mientras los punteros obsoletos aún se mantienen y luego se desreferencian, lo que, bajo estructuras de JavaScript y documentos especialmente diseñadas, puede llevar a una condición de uso después de liberación y potencialmente permitir la ejecución de código arbitrario.
  • Vulnerabilidad en Foxit PDF Editor y Reader (CVE-2026-3778)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2026
    Fecha de última actualización: 14/04/2026
    La aplicación no detecta ni protege contra referencias cíclicas de objetos PDF al manejar JavaScript en PDF. Cuando se elaboran páginas y anotaciones que se referencian mutuamente en un bucle, al pasar el documento a las API (por ejemplo, SOAP) que realizan un recorrido profundo puede causar recursión incontrolada, agotamiento de la pila y bloqueos de la aplicación.