Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en ERPNext (CVE-2018-3882)
    Severidad: ALTA
    Fecha de publicación: 12/09/2018
    Fecha de última actualización: 08/05/2026
    Existe una vulnerabilidad explotable de inyección SQL en la parte autenticada de ERPNext v10.1.6. Las peticiones web especialmente manipuladas pueden provocar una inyección SQL, lo que resulta en el compromiso de los datos. El parámetro searchfield puede emplearse para realizar un ataque de inyección SQL. Un atacante puede emplear un navegador para desencadenar estas vulnerabilidades; no se requieren herramientas especiales.
  • Vulnerabilidad en ERPNext (CVE-2018-3883)
    Severidad: ALTA
    Fecha de publicación: 12/09/2018
    Fecha de última actualización: 08/05/2026
    Existe una vulnerabilidad explotable de inyección SQL en la parte autenticada de ERPNext v10.1.6. Las peticiones web especialmente manipuladas pueden provocar una inyección SQL, lo que resulta en el compromiso de los datos. Los parámetros employee y sort_order pueden emplearse para realizar un ataque de inyección SQL. Un atacante puede emplear un navegador para desencadenar estas vulnerabilidades; no se requieren herramientas especiales.
  • Vulnerabilidad en ERPNext (CVE-2018-3884)
    Severidad: ALTA
    Fecha de publicación: 12/09/2018
    Fecha de última actualización: 08/05/2026
    Existe una vulnerabilidad explotable de inyección SQL en la parte autenticada de ERPNext v10.1.6. Las peticiones web especialmente manipuladas pueden provocar una inyección SQL, lo que resulta en el compromiso de los datos. Los parámetros sort_by y start pueden emplearse para realizar un ataque de inyección SQL. Un atacante puede emplear un navegador para desencadenar estas vulnerabilidades; no se requieren herramientas especiales.
  • Vulnerabilidad en ERPNext (CVE-2018-3885)
    Severidad: ALTA
    Fecha de publicación: 12/09/2018
    Fecha de última actualización: 08/05/2026
    Existe una vulnerabilidad explotable de inyección SQL en la parte autenticada de ERPNext v10.1.6. Las peticiones web especialmente manipuladas pueden provocar una inyección SQL, lo que resulta en el compromiso de los datos. El parámetro order_by puede emplearse para realizar un ataque de inyección SQL. Un atacante puede emplear un navegador para desencadenar estas vulnerabilidades; no se requieren herramientas especiales.
  • Vulnerabilidad en OpenSSL (CVE-2025-15467)
    Severidad: ALTA
    Fecha de publicación: 27/01/2026
    Fecha de última actualización: 07/05/2026
    Resumen del problema: Analizar un mensaje CMS AuthEnvelopedData con parámetros AEAD creados maliciosamente puede desencadenar un desbordamiento de búfer de pila. Resumen del impacto: Un desbordamiento de búfer de pila puede provocar un fallo, causando Denegación de Servicio, o potencialmente ejecución remota de código. Al analizar estructuras CMS AuthEnvelopedData que utilizan cifrados AEAD como AES-GCM, el IV (Vector de Inicialización) codificado en los parámetros ASN.1 se copia en un búfer de pila de tamaño fijo sin verificar que su longitud se ajuste al destino. Un atacante puede proporcionar un mensaje CMS manipulado con un IV de tamaño excesivo, causando una escritura fuera de límites basada en pila antes de que ocurra cualquier autenticación o verificación de etiqueta. Las aplicaciones y servicios que analizan contenido CMS o PKCS#7 no confiable utilizando cifrados AEAD (por ejemplo, S/MIME AuthEnvelopedData con AES-GCM) son vulnerables. Debido a que el desbordamiento ocurre antes de la autenticación, no se requiere material de clave válido para desencadenarlo. Si bien la explotabilidad para la ejecución remota de código depende de las mitigaciones de la plataforma y la cadena de herramientas, la primitiva de escritura basada en pila representa un riesgo grave. Los módulos FIPS en 3.6, 3.5, 3.4, 3.3 y 3.0 no se ven afectados por este problema, ya que la implementación de CMS está fuera del límite del módulo FIPS de OpenSSL. OpenSSL 3.6, 3.5, 3.4, 3.3 y 3.0 son vulnerables a este problema. OpenSSL 1.1.1 y 1.0.2 no se ven afectados por este problema.
  • Vulnerabilidad en Deutsche Telekom Account Management Portal (CVE-2025-69615)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Control de acceso incorrecto por la ausencia de limitación de velocidad de 2FA, permitiendo reintentos ilimitados de fuerza bruta y un bypass completo de MFA sin requerir interacción del usuario. Producto afectado: Deutsche Telekom AG Telekom Account Management Portal, versiones anteriores al 24-10-2025, corregido el 03-11-2025.
  • Vulnerabilidad en HCL (CVE-2026-21791)
    Severidad: BAJA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    HCL Sametime para Android se ve afectado por una revelación de información sensible. La información de los nombres de host se escribe en los registros de la aplicación y en ciertas URL.
  • Vulnerabilidad en vaadin (CVE-2026-2741)
    Severidad: BAJA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Archivos ZIP especialmente diseñados pueden escapar del directorio de extracción previsto durante la descarga y extracción de Node.js en Vaadin 14.2.0 hasta 14.14.0, 23.0.0 hasta 23.6.6, 24.0.0 hasta 24.9.8, y 25.0.0 hasta 25.0.2. El proceso de compilación de Vaadin puede descargar y extraer Node.js automáticamente si no está instalado localmente. Si un atacante puede interceptar o controlar esta descarga a través de secuestro de DNS, un ataque MitM, un espejo comprometido o un ataque a la cadena de suministro, pueden servir un archivo malicioso que contiene secuencias de salto de ruta que escriben archivos fuera del directorio de extracción previsto. Los usuarios de las versiones afectadas deben usar una versión de Node.js preinstalada globalmente compatible con su versión de Vaadin, o actualizar de la siguiente manera: 14.2.0-14.14.0 a 14.14.1, 23.0.0-23.6.6 a 23.6.7, 24.0.0-24.9.8 a 24.9.9, y 25.0.0-25.0.2 a 25.0.3 o más reciente. Tenga en cuenta que las versiones de Vaadin 10-13 y 15-22 ya no son compatibles y debe actualizar a la última versión 14, 23, 24 o 25.
  • Vulnerabilidad en vaadin (CVE-2026-2742)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Una vulnerabilidad de omisión de autenticación existe en Vaadin 14.0.0 hasta 14.14.0, 23.0.0 hasta 23.6.6, 24.0.0 hasta 24.9.7 y 25.0.0 hasta 25.0.1, aplicaciones que usan Spring Security debido a la coincidencia inconsistente de patrones de ruta de las rutas reservadas del framework. Acceder al endpoint /VAADIN sin una barra diagonal final omite los filtros de seguridad, y permite a los usuarios no autenticados activar la inicialización del framework y crear sesiones sin la autorización adecuada. Los usuarios de las versiones afectadas que usan Spring Security deben actualizar de la siguiente manera: 14.0.0-14.14.0 actualizar a 14.14.1, 23.0.0-23.6.6 a 23.6.7, 24.0.0 - 24.9.7 a 24.9.8, y 25.0.0-25.0.1 actualizar a 25.0.2 o más reciente. Tenga en cuenta que las versiones de Vaadin 10-13 y 15-22 ya no son compatibles y debe actualizar a la última versión 14, 23, 24 o 25.
  • Vulnerabilidad en web-auth (CVE-2026-30964)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    web-auth/webauthn-lib es un conjunto de código abierto de bibliotecas PHP y un paquete de Symfony para permitir a los desarrolladores integrar ese mecanismo de autenticación en sus aplicaciones web. Antes de la versión 5.2.4, cuando se configura allowed_origins, CheckAllowedOrigins reduce los valores similares a URL a su componente de host y acepta solo la coincidencia de host. Esto hace que las políticas de origen exactas sean imposibles de expresar: las diferencias de esquema y puerto se ignoran silenciosamente. Esta vulnerabilidad se corrige en la versión 5.2.4.
  • Vulnerabilidad en support de @appium (CVE-2026-30973)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Appium es un framework de automatización que proporciona posibilidades de automatización basadas en WebDriver para una amplia gama de plataformas. Antes de la versión 7.0.6, @appium/support contiene una implementación de extracción ZIP (extractAllTo() a través de ZipExtractor.extract()) con una verificación de salto de ruta (Zip Slip) que no es funcional. La verificación en la línea 88 de packages/support/lib/zip.js crea un objeto Error pero nunca lo lanza, permitiendo que entradas ZIP maliciosas con componentes de ruta ../ escriban archivos fuera del directorio de destino previsto. Esto afecta a todas las extracciones basadas en JS (la ruta de código predeterminada), no solo a aquellas que utilizan la opción fileNamesEncoding. Esta vulnerabilidad se corrige en la versión 7.0.6.
  • Vulnerabilidad en Visionline de ASSA ABLOY (CVE-2026-3315)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Permisos Predeterminados Incorrectos, : Ejecución con Privilegios Innecesarios, : Asignación Incorrecta de Permisos para un Recurso Crítico vulnerabilidad en ASSA ABLOY Visionline en Windows permite la Manipulación de la Configuración/Entorno. Este problema afecta a Visionline: desde 1.0 antes de 1.33.
  • Vulnerabilidad en BUK TS-G Gas Station Automation System de Nefteprodukttekhnika LLC (CVE-2026-3843)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Nefteprodukttekhnika BUK TS-G Sistema de Automatización de Estaciones de Servicio 2.9.1 en Linux contiene una vulnerabilidad de inyección SQL (CWE-89) en el módulo de configuración del sistema. Un atacante remoto puede enviar solicitudes HTTP POST especialmente diseñadas al endpoint /php/request.php a través del parámetro sql en datos application/x-www-form-urlencoded (e.g., action=do&sql=&reload_driver=0) para ejecutar comandos SQL arbitrarios y potencialmente lograr ejecución remota de código.
  • Vulnerabilidad en SiteMinder de Broadcom (CVE-2026-3862)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Cross-site scripting (XSS) permite a un atacante enviar datos especialmente diseñados a la aplicación que son devueltos sin alterar en la página web resultante.
  • Vulnerabilidad en Deutsche Telekom Account Management Portal (CVE-2025-69614)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Control de acceso incorrecto mediante la reutilización de tokens de activación en el endpoint de restablecimiento de contraseña, permitiendo restablecimientos de contraseña no autorizados y la toma de control total de la cuenta. Producto afectado: Deutsche Telekom AG Telekom Account Management Portal, versiones anteriores al 27-10-2025, corregido el 31-10-2025.
  • Vulnerabilidad en benkeen (CVE-2025-70025)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Un problema relacionado con CWE-79: Neutralización Incorrecta de la Entrada Durante la Generación de Páginas Web fue descubierto en benkeen generatedata 4.0.14.
  • Vulnerabilidad en pdfmake (CVE-2026-26801)
    Severidad: ALTA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Vulnerabilidad de falsificación de petición del lado del servidor (SSRF) en las versiones de pdfmake 0.3.0-beta.2 hasta 0.3.5 permite a un atacante remoto obtener información sensible a través del componente src/URLResolver.js. La corrección fue lanzada en la versión 0.3.6, que introduce el método setUrlAccessPolicy() permitiendo a los operadores del servidor definir reglas de acceso a URL. Ahora se registra una advertencia cuando pdfmake se utiliza del lado del servidor sin una política configurada.
  • Vulnerabilidad en Giflib (CVE-2026-23868)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 07/05/2026
    Giflib contiene una vulnerabilidad de doble liberación que es el resultado de una copia superficial en GifMakeSavedImage y un manejo de errores incorrecto. Las condiciones necesarias para activar esta vulnerabilidad son difíciles pero pueden ser posibles.
  • Vulnerabilidad en FileExplorer de MiCode (CVE-2026-29515)
    Severidad: CRÍTICA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 07/05/2026
    MiCode FileExplorer contiene una vulnerabilidad de omisión de autenticación en el componente de servidor FTP SwiFTP incrustado que permite a los atacantes de red iniciar sesión sin credenciales válidas. Los atacantes pueden enviar combinaciones arbitrarias de nombre de usuario y contraseña al gestor del comando PASS, que concede acceso incondicionalmente y permite listar, leer, escribir y eliminar archivos expuestos por el servidor FTP.
  • Vulnerabilidad en netbox-docker de netbox-community (CVE-2023-27573)
    Severidad: CRÍTICA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 07/05/2026
    netbox-docker anterior a la versión 2.5.0 tiene una cuenta de superusuario con credenciales predeterminadas (contraseña 'admin' para la cuenta 'admin', y el valor 0123456789abcdef0123456789abcdef01234567 para SUPERUSER_API_TOKEN). En la práctica, en la Internet pública, casi todos los usuarios cambiaron la contraseña, pero solo alrededor del 90% cambió el token. Tener un valor de token predeterminado fue intencional y fue valioso para el caso de uso principal previsto del producto netbox-docker (redes de desarrollo aisladas). Algunos usuarios se embarcaron en un esfuerzo para reutilizar netbox-docker para producción. La documentación para este esfuerzo indicaba que los valores predeterminados no debían usarse. Sin embargo, la instalación no garantizaba valores no predeterminados. El Proveedor estaba al tanto de la asignación del ID de CVE y no se opuso a la asignación.
  • Vulnerabilidad en spin.js (CVE-2026-3884)
    Severidad: BAJA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 07/05/2026
    Las versiones del paquete spin.js anteriores a la 3.0.0 son vulnerables a Cross-site Scripting (XSS) a través de la función spin() que permite la creación de más de 1 alerta por cada elemento 'target'. Un atacante necesitaría establecer un par clave-valor arbitrario en Object.prototype a través de una URL manipulada, logrando primero una contaminación de prototipos, antes de poder ejecutar JavaScript arbitrario en el contexto del navegador del usuario.
  • Vulnerabilidad en Red Hat (CVE-2026-3911)
    Severidad: BAJA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 07/05/2026
    Se encontró una falla en Keycloak. Un usuario autenticado con el rol view-users podría explotar una vulnerabilidad en el componente UserResource. Al acceder a un endpoint administrativo específico, este usuario podría recuperar indebidamente atributos de usuario que estaban configurados para estar ocultos. Esta revelación de información no autorizada podría exponer datos de usuario sensibles.
  • Vulnerabilidad en Koha de Koha Community (CVE-2026-31844)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 07/05/2026
    Existe una vulnerabilidad de inyección SQL autenticada (CWE-89) en la interfaz de personal de Koha, en el endpoint /cgi-bin/koha/suggestion/suggestion.pl, debido a una validación incorrecta del parámetro displayby utilizado por la funcionalidad GetDistinctValues. Un usuario de personal con bajos privilegios puede inyectar consultas SQL arbitrarias a través de solicitudes manipuladas a este parámetro, permitiendo la ejecución de sentencias SQL no intencionadas y la exposición de información sensible de la base de datos. La explotación exitosa puede llevar a un compromiso total de la base de datos de backend, incluyendo la divulgación o modificación de los datos almacenados.
  • Vulnerabilidad en NGFW Engine de Forcepoint (CVE-2025-12690)
    Severidad: ALTA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 07/05/2026
    Ejecución con privilegios innecesarios en el Motor NGFW de Forcepoint permite la escalada de privilegios local. Este problema afecta al Motor NGFW hasta la versión 6.10.19, hasta la 7.3.0, hasta la 7.2.4, hasta la 7.1.10.
  • Vulnerabilidad en staffwiki (CVE-2026-29969)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 07/05/2026
    Una vulnerabilidad de cross-site scripting (XSS) en el endpoint wff_cols_pref.css.aspx de staffwiki v7.0.1.19219 permite a los atacantes ejecutar Javascript arbitrario en el contexto del navegador del usuario a través de una solicitud HTTP manipulada.