Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el archivo kernel/cgroup/cgroup-v1.c en la función cgroup_release_agent_write del kernel de Linux (CVE-2022-0492)
    Severidad: ALTA
    Fecha de publicación: 03/03/2022
    Fecha de última actualización: 03/06/2026
    Se ha encontrado una vulnerabilidad en la función cgroup_release_agent_write en el archivo kernel/cgroup/cgroup-v1.c del kernel de Linux. Este fallo, bajo determinadas circunstancias, permite el uso de la función cgroups v1 release_agent para escalar privilegios y saltarse el aislamiento del espacio de nombres de forma no esperada
  • Vulnerabilidad en nhost (CVE-2026-33221)
    Severidad: BAJA
    Fecha de publicación: 20/03/2026
    Fecha de última actualización: 03/06/2026
    Nhost es una alternativa de código abierto a Firebase con GraphQL. Antes de la versión 0.12.0, el gestor de carga de archivos del servicio de almacenamiento confía en el encabezado Content-Type proporcionado por el cliente sin realizar detección de tipo MIME en el servidor. Esto permite a un atacante subir archivos con un tipo MIME arbitrario, eludiendo cualquier restricción basada en el tipo MIME configurada en los buckets de almacenamiento. Este problema ha sido parcheado en la versión 0.12.0.
  • Vulnerabilidad en dd-trace-java de DataDog (CVE-2026-33728)
    Severidad: CRÍTICA
    Fecha de publicación: 27/03/2026
    Fecha de última actualización: 03/06/2026
    dd-trace-java es un cliente APM de Datadog para Java. En las versiones de dd-trace-java 0.40.0 hasta la anterior a 1.60.2, la instrumentación RMI registró un punto final personalizado que deserializaba los datos entrantes sin aplicar filtros de serialización. En la versión 16 de JDK y anteriores, un atacante con acceso de red a un puerto JMX o RMI en una JVM instrumentada podría explotar esto para lograr potencialmente la ejecución remota de código. Las tres condiciones siguientes deben ser verdaderas para explotar esta vulnerabilidad: Primero, dd-trace-java está adjunto como un agente Java ('-javaagent') en Java 16 o anterior. Segundo, un puerto JMX/RMI ha sido configurado explícitamente a través de '-Dcom.sun.management.jmxremote.port' y es accesible por red. Tercero, una biblioteca compatible con cadenas de gadgets está presente en el classpath. Para JDK >= 17, no se requiere ninguna acción, pero se recomienda encarecidamente la actualización. Para JDK >= 8u121 < JDK 17, actualice a la versión 1.60.3 o posterior de dd-trace-java. Para JDK < 8u121 y anteriores donde los filtros de serialización no están disponibles, aplique la solución alternativa. La solución alternativa es establecer la siguiente variable de entorno para deshabilitar la integración RMI: 'DD_INTEGRATION_RMI_ENABLED=false'.