Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en Go cryptography libraries (CVE-2019-11840)
Severidad: MEDIA
Fecha de publicación: 09/05/2019
Fecha de última actualización: 18/05/2026
se descubrio un problema en Go cryptography libraries, también se conoce como golang-googlecode-go-crypto, anterior del 20-03-2019. Se encontró un fallo en la implementación de amd64 de golang.org/x/crypto/salsa20 y golang.org/x/crypto/salsa20/salsa. Si se generan más de 256 GiB de keystream, o si el contador crece más de 32 bits, la implementación de amd64 causará primero una salida incorrecta y entonces volverá a la secuencia de claves generada previamente. Los bytes repetidos de keystream pueden provocar la pérdida de confidencialidad en las aplicaciones de encriptación o la previsibilidad en las aplicaciones CSPRNG.
-
Vulnerabilidad en Copilot CLI de github (CVE-2026-29783)
Severidad: ALTA
Fecha de publicación: 06/03/2026
Fecha de última actualización: 18/05/2026
La herramienta de shell en las versiones de GitHub Copilot CLI anteriores e incluyendo la 0.0.422 puede permitir la ejecución de código arbitrario a través de patrones de expansión de parámetros de bash manipulados. Un atacante que puede influir en los comandos ejecutados por el agente (por ejemplo, a través de inyección de prompt mediante archivos de repositorio, respuestas del servidor MCP o instrucciones del usuario) puede explotar los operadores de transformación de parámetros de bash para ejecutar comandos ocultos, eludiendo la evaluación de seguridad que clasifica los comandos como 'solo lectura'. Esto ha sido parcheado en la versión 0.0.423. La vulnerabilidad se deriva de cómo la evaluación de seguridad de shell de la CLI evalúa los comandos antes de la ejecución. La capa de seguridad analiza y clasifica los comandos de shell como de solo lectura (seguros) o con capacidad de escritura (requiere aprobación del usuario). Sin embargo, varias características de expansión de parámetros de bash pueden incrustar código ejecutable dentro de argumentos de comandos que de otro modo serían de solo lectura, haciendo que parezcan seguros mientras que en realidad realizan operaciones arbitrarias. Los patrones peligrosos específicos son ${var@P}, ${var=value} / ${var:=value}, ${!var}, y $(cmd) o <(cmd) anidados dentro de expansiones ${...}. Un atacante que puede influir en el texto de comando enviado a la herramienta de shell - por ejemplo, a través de inyección de prompt mediante contenido de repositorio malicioso (archivos README, comentarios de código, cuerpos de incidencias), respuestas de servidor MCP comprometidas o maliciosas, o instrucciones de usuario manipuladas que contengan comandos ofuscados - podría lograr ejecución de código arbitrario en la estación de trabajo del usuario. Esto es posible incluso en modos de permiso que requieren la aprobación del usuario para operaciones de escritura, ya que los comandos pueden parecer usar solo utilidades de solo lectura para finalmente desencadenar operaciones de escritura. La explotación exitosa podría conducir a la exfiltración de datos, modificación de archivos o un compromiso adicional del sistema.



