Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Kubewarden (CVE-2026-29773)
    Severidad: MEDIA
    Fecha de publicación: 10/03/2026
    Fecha de última actualización: 13/05/2026
    Kubewarden es un motor de políticas para Kubernetes. Los operadores de clúster de Kubewarden pueden otorgar permisos a los usuarios para desplegar AdmissionPolicies y AdmissionPolicyGroups con ámbito de nombre de espacio en sus Namespaces. Una de las promesas de Kubewarden es que los usuarios configurados pueden desplegar políticas con ámbito de nombre de espacio de manera segura, sin escalada de privilegios. Un atacante con permisos privilegiados de creación de 'AdmissionPolicy' (lo cual no es el valor predeterminado) podría hacer uso de 3 API de devolución de llamada de host obsoletas: kubernetes/ingresses, kubernetes/namespaces, kubernetes/services. El atacante puede elaborar una política que utilice estas llamadas a la API obsoletas y les permitiría acceso de lectura a los recursos Ingresses, Namespaces y Services respectivamente. Este ataque es de solo lectura, no hay capacidad de escritura y no hay acceso a Secrets, ConfigMaps u otros tipos de recursos más allá de estos tres.
  • Vulnerabilidad en AOS-CX de Hewlett Packard Enterprise (HPE) (CVE-2026-23817)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 13/05/2026
    Una vulnerabilidad en la interfaz de gestión basada en web de los switches AOS-CX podría permitir a un atacante remoto no autenticado redirigir a los usuarios a una URL arbitraria.
  • Vulnerabilidad en Enterprise Edition de neo4j (CVE-2026-1497)
    Severidad: BAJA
    Fecha de publicación: 11/03/2026
    Fecha de última actualización: 13/05/2026
    La resolución incorrecta de espacios de nombres en bases de datos compuestas en Neo4j Enterprise edition anterior a las versiones 2026.02 y 5.26.22 puede llevar al siguiente escenario: un administrador que intenta dar a un usuario acceso a un constituyente de base de datos remoto 'namespace.name' concederá acceso inadvertidamente a cualquier base de datos local o alias remoto llamado 'name'. Si dicha base de datos o alias no existe cuando se ejecuta el comando, los privilegios se aplicarán si se crea en el futuro.
  • Vulnerabilidad en eParking.fi de IGL-Technologies (CVE-2026-29796)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 13/05/2026
    Los puntos finales de WebSocket carecen de mecanismos de autenticación adecuados, lo que permite a los atacantes realizar suplantación de estación no autorizada y manipular datos enviados al backend. Un atacante no autenticado puede conectarse al punto final WebSocket de OCPP utilizando un identificador de estación de carga conocido o descubierto, luego emitir o recibir comandos OCPP como un cargador legítimo. Dado que no se requiere autenticación, esto puede llevar a una escalada de privilegios, control no autorizado de la infraestructura de carga y corrupción de los datos de la red de carga reportados al backend.