Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en dpkg de Debian (CVE-2026-2219)
    Severidad: ALTA
    Fecha de publicación: 07/03/2026
    Fecha de última actualización: 02/06/2026
    Se descubrió que dpkg-deb (un componente de dpkg, el sistema de gestión de paquetes de Debian) no valida correctamente el final del flujo de datos al descomprimir un archivo .deb comprimido con zstd, lo que puede resultar en denegación de servicio (bucle infinito que consume la CPU).
  • Vulnerabilidad en LibreDWG (CVE-2025-61154)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 02/06/2026
    Vulnerabilidad de desbordamiento de búfer de montón en las versiones de LibreDWG v0.13.3.7571 hasta la v0.13.3.7835 permite que un archivo DWG manipulado cause una Denegación de Servicio (DoS) a través de la función decompress_R2004_section en decode.c.
  • Vulnerabilidad en varios componentes de Asseco SEE Live (CVE-2025-66955)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 02/06/2026
    Inclusión local de ficheros en los componentes Contact Plan, E-Mail, SMS y Fax en Asseco SEE Live 2.0 permite a usuarios autenticados remotos acceder a ficheros en el host a través del parámetro 'path' en las llamadas a la API downloadAttachment y downloadAttachmentFromPath.
  • Vulnerabilidad en openssh de Ubuntu (CVE-2026-3497)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 02/06/2026
    Vulnerabilidad en el delta GSSAPI de OpenSSH incluida en varias distribuciones de Linux. Esta vulnerabilidad afecta a los parches GSSAPI añadidos por varias distribuciones de Linux y no afecta al proyecto upstream de OpenSSH en sí. El uso de sshpkt_disconnect() en caso de error, que no termina el proceso, permite a un atacante enviar un tipo de mensaje GSSAPI inesperado durante el intercambio de claves GSSAPI al servidor, lo que llamará a la función subyacente y continuará la ejecución del programa sin establecer las variables de conexión relacionadas. Como las variables no se inicializan a NULL, el código accede posteriormente a esas variables no inicializadas, accediendo a memoria aleatoria, lo que podría llevar a un comportamiento indefinido. La solución alternativa recomendada es usar ssh_packet_disconnect() en su lugar, que sí termina el proceso. El impacto de la vulnerabilidad depende en gran medida de la configuración de endurecimiento de las banderas del compilador.
  • Vulnerabilidad en Red Hat (CVE-2026-2376)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2026
    Fecha de última actualización: 02/06/2026
    Se encontró una vulnerabilidad en mirror-registry donde un usuario autenticado puede engañar al sistema para que acceda a sistemas internos o restringidos no previstos al proporcionar direcciones web maliciosas. Cuando la aplicación procesa estas direcciones, sigue automáticamente las redirecciones sin verificar el destino final, lo que permite a los atacantes enrutar solicitudes a sistemas a los que no deberían tener acceso.
  • Vulnerabilidad en ThinOS 10 de Dell (CVE-2026-23862)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 02/06/2026
    Las versiones de Dell ThinOS 10 anteriores a ThinOS 2602_10.0573, contienen una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando ('inyección de comandos'). Un atacante con pocos privilegios y acceso local podría potencialmente explotar esta vulnerabilidad, lo que llevaría a una Elevación de Privilegios.