Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Password Manager
  • Múltiples vulnerabilidades en productos de Microsoft

Múltiples vulnerabilidades en Password Manager

Fecha05/06/2026
Importancia3 - Media
Recursos Afectados
  • Password Manager (testeado en versiones anteriores a fecha 06/08/2025).
Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media que afectan a Password Manager, una aplicación para la gestión de contraseñas de múltiples tipos de servicios. Las vulnerabilidades han sido descubiertas por Julen Garrido Estévez.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-10836: CVSS v4.0: 5.8 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N | CWE-644
  • CVE-2026-10837: CVSS v4.0: 5.8 | CVSS AV:N/AC:H/AT:N/PR:N/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-601
  • CVE-2026-10839: CVSS v4.0: 5.8 | CVSS AV:N/AC:H/AT:N/PR:N/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-601
Solución

Las vulnerabilidades han sido solucionadas por el equipo de Password Manager. Se recomienda actualizar a la última versión disponible.

Detalle
  • CVE-2026-10836: vulnerabilidad de neutralización inadecuada de cabeceras HTTP que permite a un atacante remoto manipular el valor del encabezado Host mediante peticiones especialmente diseñadas. Una explotación exitosa podría provocar la generación de enlaces o respuestas manipuladas, facilitando la exposición limitada de información o afectando a la integridad de servicios dependientes.
  • CVE-2026-10837: vulnerabilidad de redirección abierta debido a una validación insuficiente del encabezado HTTP X-Forwarded-Host. Un atacante podría crear enlaces manipulados que, al ser abiertos por una víctima, provoquen su redirección a dominios controlados por el atacante, permitiendo acciones de phishing o engaño con impacto limitado en la confidencialidad e integridad.
  • CVE-2026-10839: vulnerabilidad de redirección abierta en el sistema de autenticación que permite utilizar valores manipulados del encabezado X-Forwarded-Host para alterar las URL generadas por la aplicación. Una explotación exitosa podría redirigir a usuarios autenticados a sitios maliciosos tras procesos de inicio de sesión o interacción con la interfaz, afectando de forma limitada a la confidencialidad e integridad.

Múltiples vulnerabilidades en productos de Microsoft

Fecha05/06/2026
Importancia5 - Crítica
Recursos Afectados
  • Azure HorizonDB;
  • Microsoft Exchange Online.
Descripción

Microsoft ha publicado 2 vulnerabilidades críticas que podrían permitir a una atacante divulgar información privada o realizar una escalada de privilegios.

Solución

Aunque no se requiere ninguna acción por parte del usuario, se recomienda mantener instaladas todas las actualizaciones disponibles.

Detalle
  • CVE-2026-48579: autorización incorrecta en Microsoft Exchange Online podría permitir que un atacante no autorizado divulgue información a través de una red.
  • CVE-2026-48567: omisión de la autenticación mediante suplantación de identidad en Azure HorizonDB podría permitir a un atacante no autorizado elevar sus privilegios en una red.