Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en el juego Assassin de Gaudire
  • Permisos incorrectos en ArubaSign de Aruba

Múltiples vulnerabilidades en el juego Assassin de Gaudire

Fecha22/06/2026
Importancia5 - Crítica
Recursos Afectados

Juego Assassin, última versión.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades, 2 de severidad crítica y 1 de severidad media, que afectan al juego Assassin de Gaudire, juego participativo con tecnología y contenidos creativos. Las vulnerabilidades han sido descubiertas por Adrià Bonilla Martin k0x.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-7165: CVSS v4.0: 9.4 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H | CWE-20
  • CVE-2026-7166: CVSS v4.0: 9.2 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N | CWE-200
  • CVE-2026-7167: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N | CWE-287
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2026-7165: la vulnerabilidad está presente en el endpoint '/addJugador' de Assassin de Gaudire:
    • En los parámetros 'keyJugador' y 'keyJugadorObjectiu' se permite modificar la información de otros usuarios sin necesidad de una validación de autorización previa. Esto podría permitir a un atacante autenticado tener la posibilidad de alterar el ID de cualquier usuario y cambiar su información.
    • En los campos 'punts' y 'numObjectiusEliminats' se permite añadir datos arbitrarios, ya que no se valida correctamente la entrada del usuario. Esto posibilita obtener premios auténticos, a través de falsificar las puntuaciones del juego, que los ayuntamientos conceden. 
    • En el campo 'tokens' se permite la autoasignación de privilegios administrativos sin una validación por parte del servidor ni autenticación previa. Esta vulnerabilidad podría permitir a un atacante autenticado otorgarse permisos de administrador y conseguir así escalar de privilegios.
    • En los campos numéricos se posibilita introducir valores extremadamente largos lo que da lugar a la saturación del sistema. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante autenticado causar un ataque de denegación de servicio (DoS) impidiendo que las partidas creadas sean jugables.
    • En el parámetro 'urlImatge' se permite realizar peticiones server-side a URLs arbitrarias, posibilitando la obtención de IPs internas de usuarios, acceso a servicios internos, lectura de archivos locales y la interacción no autorizada con APIs de terceros. Un atacante autenticado podría tener acceso a datos confidenciales.
  • CVE-2026-7166: exposición de datos sensibles proporcionados sin una protección adecuada en Assassin de Gaudire. Desde la API se exponen los datos del correo y del teléfono de los campos 'email' y 'telefon'. Esta vulnerabilidad también está presente en la base de datos local ya que contiene información sensible accesible como datos de menores y usuarios de ayuntamientos. 
    La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto, no autenticado, tener acceso a información y datos sensibles.
  • CVE-2026-7167: el sistema no valida adecuadamente el campo ‘email’ en Assassin de Gaudire durante el proceso de autenticación, lo que permite la aceptación de direcciones de correo electrónico no verificadas o falsas. Esta falta de validación habilita la creación de cuentas de usuario con correos electrónicos falsos, lo que facilita la creación masiva de cuentas fraudulentas. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante autenticado llevar a cabo diversos ataques, como el envío masivo de spam, el abuso del sistema o el eludir controles de usuario, lo que comprometería la seguridad y la integridad del sistema.

Permisos incorrectos en ArubaSign de Aruba

Fecha22/06/2026
Importancia4 - Alta
Recursos Afectados

ArubaSign, versiones anteriores a la v4.6.6.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta, que afecta a ArubaSign de Aruba, aplicación de escritorio para firmar digitalmente, verificar documentos y aplicar marcas de tiempo. La vulnerabilidad ha sido descubierta por Andrea Intilangelo (acme).

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-12602: CVSS v4.0:8.8 | CVSS AV:L/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H | CWE-276
Solución

No hay solución reportada por el momento.

Detalle

CVE-2026-12602: permisos predeterminados incorrectos en ArubaSign, que afecta a versiones anteriores a v4.6.6. La vulnerabilidad es provocada por la asignación de permisos inadecuados durante la instalación predeterminada del software, en la que el ejecutable principal y otros archivos del programa ubicados en C:\Archivos de programa, tienen permisos excesivos para el grupo ‘Todos’. Esto podría permitir a un usuario sin privilegios sustituir el ejecutable principal y/o sus componentes por un archivo malicioso, lo que permitiría la ejecución de código arbitrario. En el peor de los casos, si el código malicioso se ejecuta con privilegios elevados (como los de Administrador o SYSTEM), el atacante podría escalar privilegios y tomar el control total del sistema, comprometiendo tanto la seguridad como la integridad de los datos.