Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en varios productos de Cisco
  • Crosss-Site Scripting en la integración de jQuery de Drupal

Múltiples vulnerabilidades en varios productos de Cisco

Fecha16/04/2026
Importancia5 - Crítica
Recursos Afectados
  • Cisco Webex Services, basados en la nube y que hayan sido configurados para emplear integración SSO con Control Hub.
  • Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC), independientemente de la configuración del dispositivo. En concreto están afectadas las siguientes versiones:
    • Anteriores a 3.2;
    • 3.2;
    • 3.3;
    • 3.4;
    • 3.5.
Descripción

Cisco ha informado de 5 vulnerabilidades en sus productos, 4 de severidad crítica y 1 media que, en caso de ser explotadas, podrían permitir a un atacante suplantar cualquier usuario del sistema o ejecutar comandos arbitrarios, entre otras acciones.

Solución

En la medida de lo posible, actualizar el producto a la última versión.

En el caso de Cisco Webex Services, los clientes que estén utilizando SSO deben cargar un nuevo certificado SAML del proveedor de identidad (IdP) en el Control Hub. 

Detalle

CVE-2026-20184: hay una vulnerabilidad en la integración de inicio de sesión único (SSO) con Control Hub en Cisco Webex Services que podría haber permitido a un atacante remoto no autenticado suplantar a cualquier usuario dentro del servicio. La vulnerabilidad se produce por una la validación incorrecta del certificado. Un atacante podría explotar esta vulnerabilidad conectándose a un endpoint del servicio y suministrando un token manipulado. 

CVE-2026-20180 y CVE-2026-20186: hay una vulnerabilidad de validación insuficiente de la entrada suministrada por el usuario en Cisco Identity Services Engine (ISE); un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Si se explota con éxito se podría permitir a un atacante obtener acceso a nivel de usuario al sistema operativo subyacente y luego elevar privilegios a root. Para explotar esta vulnerabilidad el atacante debe tener, al menos, credenciales de Administrador de solo-lectura.

CVE-2026-20147: hay una vulnerabilidad de validación insuficiente de la entrada suministrada por el usuario en Cisco Identity Services Engine (ISE); un atacante podría explotar esta vulnerabilidad enviando una solicitud HTTP manipulada a un dispositivo afectado. Si se explota con éxito se podría permitir a un atacante obtener acceso a nivel de usuario al sistema operativo subyacente y luego elevar privilegios a root. Para explotar esta vulnerabilidad el atacante debe tener credenciales válidas de Administrador.

Para la vulnerabilidad de severidad media se puede consultar su información en los enlaces de las referencias.

 

Crosss-Site Scripting en la integración de jQuery de Drupal

Fecha16/04/2026
Importancia5 - Crítica
Recursos Afectados

Drupal core en las versiones comprendidas entre :

  • 8.0.0 y 10.5.9, esta última sin incluir;
  • 10.6.0 y 10.6.7, esta última sin incluir;
  • 11.0.0 y 11.2.11, esta última sin incluir;
  • 11.3.0 y 11.3.7, esta última sin incluir.
Descripción

Murat Kekiç (murat_kekic) ha informado sobre 1 vulnerabilidad crítica que, en caso de ser explotada, podría permitir a un atacante ejecutar código JavaScript en el navegador de la víctima.

Solución

Se recomienda actualizar a una de las siguientes versiones:

  • 10.5.9;
  • 10.6.7;
  • 11.2.11;
  • 11.3.7.
Detalle

CVE-2026-6365: vulnerabilidad de tipo Cross-Site Scripting (XSS) en la integración de jQuery de Drupal Core que, en caso de ser explotada, podría permitir a un atacante ejecutar código JavaScript.