Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la pantalla OLED basada en filas en la conexión USB de los dispositivos Hyundai Pay Kasse HK-1000 (CVE-2019-14360)
    Severidad: MEDIA
    Fecha de publicación: 02/11/2019
    Fecha de última actualización: 04/06/2026
    En los dispositivos Hyundai Pay Kasse HK-1000, se encontró un canal lateral para la pantalla OLED basada en filas. El consumo de energía de cada ciclo de visualización basado en filas depende del número de píxeles iluminados, permitiendo una recuperación parcial del contenido de la pantalla. Por ejemplo, un implante de hardware en el cable USB podría ser capaz de aprovechar este comportamiento para recuperar secretos confidenciales tales como el PIN y el mnemónico BIP39. En otras palabras, el canal lateral es relevante solo si el atacante tiene control suficiente sobre la conexión USB del dispositivo para llevar a cabo mediciones de consumo de energía en un momento en que los datos secretos son mostrados. El canal lateral no es relevante en otras circunstancias, tal y como un dispositivo robado que actualmente no muestra datos secretos.
  • Vulnerabilidad en CPython (CVE-2026-3644)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 04/06/2026
    La solución para CVE-2026-0672, que rechazaba caracteres de control en http.cookies.Morsel, era incompleta. Los métodos Morsel.update(), el operador |= y las rutas de deserialización no fueron parcheados, permitiendo que los caracteres de control eludieran la validación de entrada. Además, BaseCookie.js_output() carecía de la validación de salida aplicada a BaseCookie.output().
  • Vulnerabilidad en CPython de Python Software Foundation (CVE-2026-4224)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 04/06/2026
    Cuando un analizador Expat con un ElementDeclHandler registrado analiza una definición de tipo de documento en línea que contiene un modelo de contenido profundamente anidado, se produce un desbordamiento de pila C.
  • Vulnerabilidad en Ubuntu de Canonical (CVE-2026-3888)
    Severidad: ALTA
    Fecha de publicación: 17/03/2026
    Fecha de última actualización: 04/06/2026
    La escalada de privilegios local en snapd en Linux permite a los atacantes locales obtener privilegios de root al recrear el directorio /tmp privado de snap cuando systemd-tmpfiles está configurado para limpiar automáticamente este directorio. Este problema afecta a Ubuntu 16.04 LTS, 18.04 LTS, 20.04 LTS, 22.04 LTS y 24.04 LTS.