Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en immich (CVE-2026-23896)
    Severidad: ALTA
    Fecha de publicación: 29/01/2026
    Fecha de última actualización: 15/04/2026
    immich es una solución de gestión de fotos y videos autoalojada de alto rendimiento. Antes de la versión 2.5.0, las claves API pueden escalar sus propios permisos al llamar al endpoint de actualización, permitiendo que una clave API de bajo privilegio se otorgue acceso administrativo completo al sistema. La versión 2.5.0 corrige el problema.
  • Vulnerabilidad en NordVPN de Nordvpn (CVE-2019-25572)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2026
    Fecha de última actualización: 15/04/2026
    NordVPN 6.19.6 contiene una vulnerabilidad de denegación de servicio que permite a atacantes locales provocar un fallo en la aplicación al enviar una cadena excesivamente larga en el campo de entrada de correo electrónico. Los atacantes pueden pegar un búfer de 100.000 caracteres en el campo de correo electrónico durante el inicio de sesión para provocar un fallo en la aplicación.
  • Vulnerabilidad en SimplePress CMS de Sourceforge (CVE-2019-25575)
    Severidad: ALTA
    Fecha de publicación: 21/03/2026
    Fecha de última actualización: 15/04/2026
    SimplePress CMS 1.0.7 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso a través de los parámetros 'p' y 's'. Los atacantes pueden enviar solicitudes GET con cargas útiles SQL manipuladas para extraer información sensible de la base de datos, incluyendo nombres de usuario, nombres de bases de datos y detalles de la versión.
  • Vulnerabilidad en Kepler Wallpaper Script de Keplerwallpapers (CVE-2019-25576)
    Severidad: ALTA
    Fecha de publicación: 21/03/2026
    Fecha de última actualización: 15/04/2026
    Kepler Wallpaper Script 1.1 contiene una vulnerabilidad de inyección SQL que permite a atacantes no autenticados ejecutar consultas SQL arbitrarias inyectando código malicioso en el parámetro category. Los atacantes pueden enviar solicitudes GET al endpoint category con sentencias SQL UNION codificadas en URL para extraer información de la base de datos, incluyendo nombres de usuario, nombres de bases de datos y detalles de la versión de MySQL.
  • Vulnerabilidad en SeoToaster Ecommerce de Seotoaster (CVE-2019-25577)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2026
    Fecha de última actualización: 15/04/2026
    SeoToaster Ecommerce 3.0.0 contiene una vulnerabilidad de inclusión local de ficheros que permite a atacantes autenticados leer ficheros arbitrarios manipulando parámetros de ruta en los puntos finales de temas del backend. Los atacantes pueden enviar solicitudes POST a /backend/backend_theme/editcss/ o /backend/backend_theme/editjs/ con secuencias de salto de directorio en los parámetros getcss o getjs para recuperar el contenido de los ficheros.