Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Grafana (CVE-2026-21721)
    Severidad: ALTA
    Fecha de publicación: 27/01/2026
    Fecha de última actualización: 20/04/2026
    La API de permisos del panel no verifica el alcance del panel de destino y solo comprueba la acción dashboards.permissions:*. Como resultado, un usuario que tiene derechos de gestión de permisos en un panel puede leer y modificar permisos en otros paneles. Esto es una escalada de privilegios interna de la organización.
  • Vulnerabilidad en rapidvms de linkingvision (CVE-2026-33847)
    Severidad: ALTA
    Fecha de publicación: 24/03/2026
    Fecha de última actualización: 20/04/2026
    Restricción Inapropiada de Operaciones dentro de los Límites de un Búfer de Memoria vulnerabilidad en linkingvision rapidvms. Este problema afecta a rapidvms: antes de PR#96.
  • Vulnerabilidad en rapidvms de linkingvision (CVE-2026-33848)
    Severidad: ALTA
    Fecha de publicación: 24/03/2026
    Fecha de última actualización: 20/04/2026
    Restricción indebida de operaciones dentro de los límites de un búfer de memoria vulnerabilidad en linkingvision rapidvms. Este problema afecta a rapidvms: antes de PR#96.
  • Vulnerabilidad en rapidvms de linkingvision (CVE-2026-33849)
    Severidad: ALTA
    Fecha de publicación: 24/03/2026
    Fecha de última actualización: 20/04/2026
    Restricción Inadecuada de Operaciones dentro de los Límites de un Búfer de Memoria vulnerabilidad en linkingvision rapidvms. Este problema afecta a rapidvms: antes de PR#96.
  • Vulnerabilidad en lollms-webui de ParisNeo (CVE-2026-33340)
    Severidad: CRÍTICA
    Fecha de publicación: 24/03/2026
    Fecha de última actualización: 20/04/2026
    LoLLMs WEBUI proporciona la interfaz de usuario web para Lord of Large Language and Multi modal Systems. Una vulnerabilidad crítica de falsificación de petición del lado del servidor (SSRF) ha sido identificada en todas las versiones existentes conocidas de 'lollms-webui'. El endpoint '@router.post("/api/proxy")' permite a atacantes no autenticados forzar al servidor a realizar peticiones GET arbitrarias. Esto puede ser explotado para acceder a servicios internos, escanear redes locales o exfiltrar metadatos sensibles de la nube (p. ej., tokens IAM de AWS/GCP). A la fecha de publicación, no hay versiones parcheadas conocidas disponibles.
  • Vulnerabilidad en clearancekit de craigjbass (CVE-2026-33631)
    Severidad: ALTA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 20/04/2026
    ClearanceKit intercepta eventos de acceso al sistema de archivos en macOS y aplica políticas de acceso por proceso. En versiones de la rama 4.1 y anteriores, la extensión de sistema de seguridad de punto final opfilter aplicaba la política de acceso a archivos exclusivamente interceptando eventos ES_EVENT_TYPE_AUTH_OPEN. Siete tipos de eventos de operación de archivo adicionales no eran interceptados, permitiendo que cualquier proceso ejecutándose localmente eludiera la política FAA configurada sin activar una denegación. El commit a3d1733 añade suscripciones para los siete tipos de eventos y los enruta a través del evaluador de políticas FAA existente. AUTH_RENAME y AUTH_UNLINK adicionalmente preservan la detección de cambios de XProtect: los eventos en la ruta de XProtect son permitidos y activan la devolución de llamada onXProtectChanged existente en lugar de ser evaluados contra la política de usuario. Todas las versiones de la rama 4.2 contienen la corrección. No se conocen soluciones alternativas disponibles.
  • Vulnerabilidad en Connext Professional de RTI (CVE-2026-4374)
    Severidad: ALTA
    Fecha de publicación: 01/04/2026
    Fecha de última actualización: 21/04/2026
    Vulnerabilidad de restricción incorrecta de referencia a entidad externa XML en RTI Connext Professional (Routing Service, Observability Collector, Recording Service, Queueing Service, Cloud Discovery Service) permite el enlace externo de datos serializados, la serialización de datos...