Alertas de seguridad – Abril 2026

Secure&IT » Ciberataques y alertas de seguridad » Alertas de seguridad – Abril 2026

Vulnerabilidades críticas en n8n

Se han reportado dos vulnerabilidades de severidad crítica. Los fallos podrían permitir la ejecución de código en remoto, por parte de los atacantes.

Recursos afectados:

Las siguientes versiones de n8n:

• 18.0;
• Desde la 2.17.0 hasta la 2.17.3;
• Menores a la 1.123.32.

Solución:

Actualizar el producto a las siguientes versiones respectivamente:

• 18.1
• 17.4
• 123.32

En caso de que no se sea posible instalar la actualización inmediatamente, se pueden aplicar, de forma temporal, las siguientes contramedidas:

• Limitar los permisos de creación y edición de flujos de trabajo (workflows) a solo usuarios en los que se confíe plenamente
• Deshabilitar el nodo XML añadiendo «n8n-nodes-base.xml» a la variable de entorno «NODES_EXCLUDE»

Vulnerabilidad crítica en cPanel

Se ha reportado una vulnerabilidad de severidad crítica. La explotación de este fallo podría permitir a un atacante omitir la autenticación en el software.

Recursos afectados:

La vulnerabilidad afecta a todas las versiones posteriores a a la 11.40.

Solución:

cPanel ha publicado un parche para las siguientes versiones de cPanel y WHM: 

• 86.0.41
• 110.0.97
• 118.0.63
• 126.0.54
• 130.0.19
• 132.0.29
• 136.0.5
• 134.0.20

Para WP Squared se ha publicado la versión 136.1.7.

Se recomienda seguir las pautas para actualizar a la versión correspondiente.

Vulnerabilidad crítica en MegaCMS de CRM Sistemas de Fidelización

Se ha reportado una vulnerabilidad de severidad crítica. La explotación de este fallo podría permitir a un atacante no autenticado ejecutar consultas SQL arbitrarias.

Recursos afectados:

MegaCMS en la versión 12.0.0.

Solución:

Actualizar a la última versión disponible.

Múltiples vulnerabilidades críticas en Moodle

Se han reportado dos vulnerabilidades de severidad crítica. Los fallos podrían permitir la ejecución de código en remoto y acceder y modificar valores de las bases de datos.

Recursos afectados:

 Versiones de Moodle:

• 1 hasta la 5.1.3
• 0 hasta la 5.0.6
• 5 hasta la 4.5.10
• versiones anteriores que carecen de soporte

Solución:

Actualizar el producto a las siguientes versiones, respectivamente:

• 1.4
• 0.7
• 5.11

Múltiples vulnerabilidades críticas en Minerva de MphRx

Se han reportado tres vulnerabilidades, entre las que se han identificado, una crítica y dos altas. Los fallos podrían permitir a un atacante, entre otras cosas, apropiación total de la cuenta, obtener una lista de los usuarios registrados u obtener privilegios de administrador.

Recursos afectados:

Minerva V3.6.0.

Solución:

No hay solución reportada por el momento.

Vulnerabilidad crítica en ASP.NET de Microsoft

Se ha reportado una vulnerabilidad de severidad crítica. El fallo podría permitir a un atacante obtener el control total de la máquina, al poder ejecutar instrucciones como SYSTEM.

Recursos afectados:

• Paquetes NuGet Microsoft.AspNetCore.DataProtection, versiones desde la 10.0.0 hasta 10.0.6
• Para ver qué configuraciones están realmente afectadas se recomienda consultar los enlaces de las referencias

Solución:

Actualizar el producto a la versión 10.0.7 o posterior. Instalar el parche, cerrar todas las aplicaciones basadas en .NET y reiniciar el equipo.

Vulnerabilidad crítica en Breeze Cache para WordPress

Se ha reportado una vulnerabilidad de severidad crítica. El fallo podría permitir a un atacante no autenticado cargar archivos arbitrarios en el servidor del sitio afectado, lo que podría dar lugar a la ejecución remota de código.

Recursos afectados:

Plugin para WordPress Breeze Cache: versión 2.4.4 y anteriores.

Solución:

Actualizar el plugin a la versión 2.4.5.

Vulnerabilidad crítica en LogScale de CrowdStrike

Se ha informado de una vulnerabilidad de severidad crítica. La explotación de este fallo podría permitir a un atacante remoto leer archivos arbitrarios del sistema de archivos del servidor sin autenticación.

Recursos afectados:

• LogScale autohospedado: versiones GA 1.224.0 a 1.234.0, incluida
• LogScale Self-Hosted LTS: versión 1.228.0, 1.228.1

Solución:

Actualizar el producto a alguna de las siguientes versiones:

• 235.1 o posterior
• 234.1 o posterior
• 233.1 o posterior
• 228.2 (LTS) o posterior

Múltiples vulnerabilidades críticas en VMware Tanzu

Se ha reportado de 257 vulnerabilidades, entre las que se han identificado, 10 críticas, 62 altas. La explotación de estas vulnerabilidades podría permitir la ejecución de código arbitrario, omitir la autenticación y hacer que el programa gestione incorrectamente las cabeceras, entre otras acciones.

Recursos afectados:

• VMware Tanzu Data Intelligence
• VMware Tanzu Data Suite
• VMware Tanzu Greenplum
• VMware Tanzu Data Services
• VMware Tanzu Data Services Solutions

Solución:

Actualizar los productos a su última versión.

Vulnerabilidad en el servicio PackageKit para Linux

Se ha informado de una vulnerabilidad de severidad alta. La explotación de este fallo podría permitir a un atacante sin privilegios instalar paquetes como root, lo que conlleva una escalada de privilegios local. Esta vulnerabilidad se ha denominado Pack2TheRoot.

Recursos afectados:

PackageKit, versiones desde la 0.8.1 hasta la 1.3.4, ambas incluidas.

La vulnerabilidad se ha confirmado explícitamente en las siguientes distribuciones en instalaciones predeterminadas con los gestores de paquetes apt y dnf:

• Ubuntu Desktop 18.04 (fin de soporte), 24.04.4 (LTS), 26.04 (LTS beta)
• Ubuntu Server 22.04 – 24.04 (LTS)
• Debian Desktop Trixie 13.4
• RockyLinux Desktop 10.1
• Fedora Desktop  43
• Fedora Server 43

Solución:

Actualizar a la versión 1.3.5 o superior.

Múltiples vulnerabilidades en Secure Router de Moxa

Se ha informado de dos vulnerabilidades, entre las que encontramos, una de severidad alta. La explotación de este fallo podría permitir a un atacante obtener información confidencial y provocar denegaciones de servicio.

Recursos afectados:

• TN-4900 Series: firmware 22 y versiones anteriores
• EDR-8010 Series: firmware versión 3.23 y anteriores
• EDR-G9010 Series: firmware 23.1 y versiones anteriores
• OnCell G4302-LTE4 Series: firmware 23.0 y versiones anteriores
• OnCell G4308-LTE4 Series: firmware 23.0 y versiones anteriores
• EDF-G1002-BP Series: firmware 23 y versiones anteriores

Solución:

Actualizar a la versión de firmware 3.24 o posterior.

Vulnerabilidad crítica en Boot de Spring

Se ha reportado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante el acceso no autorizado a todos los endpoints.

Recursos afectados:

Spring Boot: de la versión 4.0.0 a la versión 4.0.5.

Solución:

Actualizar a la versión 4.0.6.

Vulnerabilidad crítica en VASCO-B GNSS Receiver de Carlson Software

Se ha reportado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto alterar funciones críticas del sistema o interrumpir el funcionamiento del dispositivo.

Recursos afectados:

Versiones de VASCO-B GNSS Receiver inferiores a la 1.4.0.

Solución:

El fabricante recomienda actualizar el dispositivo a la versión 1.4.0 o superior.

Múltiples vulnerabilidades críticas en Cámaras de Milesight

Se han reportado 5 vulnerabilidades, entre las que encontramos, 1 de severidad crítica y 3 de severidad alta; cuya explotación podría permitir bloquear el dispositivo o permitir la ejecución de código en remoto.

Recursos afectados:

Las cámaras Milesight:

• MS-Cxx63-PD; la siguiente versión y anteriores 51.7.0.77-r12
• MS-Cxx64-xPD; la siguiente versión y anteriores 51.7.0.77-r12
• MS-Cxx73-xPD; la siguiente versión y anteriores 51.7.0.77-r12
• MS-Cxx75-xxPD; la siguiente versión y anteriores 51.7.0.77-r12
• MS-Cxx83-xPD; la siguiente versión y anteriores 51.7.0.77-r12
• MS-Cxx74-PA; la siguiente versión y anteriores 3x.8.0.3-r11
• MS-C8477-HPG1; la siguiente versión y anteriores 63.8.0.4-r3
• MS-C8477-PC; la siguiente versión y anteriores 48.8.0.4-r3
• MS-C5321-FPE; la siguiente versión y anteriores 62.8.0.4-r5
• MS-Cxx72-xxxPE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx62-xxxPE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx52-xxxPE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx66-xxxPE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx66-xxxGPE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx61-xxxPE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx67-xxxPE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx71-xxxPE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx41-xxxPE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx76-PE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx65-PE; la siguiente versión y anteriores 61.8.0.5-r2
• MS-Cxx66-xxxG1; la siguiente versión y anteriores 63.8.0.5-r3
• MS-Cxx62-xxxG1; la siguiente versión y anteriores 63.8.0.5-r3
• MS-Cxx72-xxxG1; la siguiente versión y anteriores 63.8.0.5-r3
• MS-CQxx31-xxxG1; la siguiente versión y anteriores CQ_63.8.0.5-r1
• MS-CQxx68-xxxG1; la siguiente versión y anteriores CQ_63.8.0.5-r1
• MS-CQxx72-xxxG1; la siguiente versión y anteriores CQ_63.8.0.5-r1
• MS-Nxxxx-NxE; la siguiente versión y anteriores 7x.9.0.19-r5
• MS-Nxxxx-xxC; la siguiente versión y anteriores 7x.9.0.19-r5
• MS-Nxxxx-xxE; la siguiente versión y anteriores 7x.9.0.19-r5
• MS-Nxxxx-xxG; la siguiente versión y anteriores 7x.9.0.19-r5
• MS-Nxxxx-xxH; la siguiente versión y anteriores 7x.9.0.19-r5
• MS-Nxxxx-xxT; la siguiente versión y anteriores 7x.9.0.19-r5
• PMC8266-FPE; la siguiente versión y anteriores PO_61.8.0.4_LPR
• PMC8266-FGPE; la siguiente versión y anteriores PO_61.8.0.4_LPR
• PM3322-E; la siguiente versión y anteriores PI_61.8.0.3_LPR-r3
• TS4466-X4RIPG1; la siguiente versión y anteriores T_63.8.0.4_LPR-r3
• TS5366-X12RIPG1; la siguiente versión y anteriores T_63.8.0.4_LPR-r3
• TS8266-X4RIPG1; la siguiente versión y anteriores T_63.8.0.4_LPR-r3
• TS4466-X4RIVPG1; la siguiente versión y anteriores T_63.8.0.4_LPR-r3
• TS4466-RFIVPG1; la siguiente versión y anteriores T_63.8.0.4_LPR-r3
• TS8266-X4RIVPG1; la siguiente versión y anteriores T_63.8.0.4_LPR-r3
• TS8266-RFIVPG1; la siguiente versión y anteriores T_63.8.0.4_LPR-r3
• TS4466-X4RIWG1; la siguiente versión y anteriores T_63.8.0.4_LPR-r3
• TS8266-X4RIWG1; la siguiente versión y anteriores T_63.8.0.4_LPR-r3
• TS5510-GVH; la siguiente versión y anteriores T_47.8.0.4_LPR-r7
• TS5510-GH; la siguiente versión y anteriores T_47.8.0.4_LPR-r6
• TS5511-GVH; la siguiente versión y anteriores T_47.8.0.4_LPR-r6
• TS2966-X12TPE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS4466-X4RPE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS5366-X12PE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS8266-X4PE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS2966-X12TVPE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS4466-X4RVPE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS5366-X12VPE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS8266-X4VPE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS4441-X36RPE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS4441-X36RE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS4466-X4RWE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• TS8266-X4WE; la siguiente versión y anteriores T_61.8.0.4_LPR-r3
• MS-C2964-RFLPC; la siguiente versión y anteriores T_45.8.0.3-r9
• MS-C2972-RFLPC; la siguiente versión y anteriores T_45.8.0.3-r9
• MS-C2966-RFLWPC; la siguiente versión y anteriores T_45.8.0.3-r9
• TS2866-X4TPC; la siguiente versión y anteriores T_45.8.0.3-r9
• TS2866-X4TVPC; la siguiente versión y anteriores T_45.8.0.3-r9
• TS2866-X4TGPC; la siguiente versión y anteriores T_45.8.0.3-r9
• TS2841-X36TPC; la siguiente versión y anteriores T_45.8.0.3-r9
• TS2841-X36TPC/W; la siguiente versión y anteriores T_45.8.0.3-r9
• TS2867-X5TPC; la siguiente versión y anteriores T_45.8.0.3-r9
• TS2961-X12TPC; la siguiente versión y anteriores T_45.8.0.3-r9
• TS8266-FPC/P; la siguiente versión y anteriores T_45.8.0.3-r9
• MS-C2966-X12RLPC; la siguiente versión y anteriores T_45.8.0.3-r9
• MS-C2966-X12RLVPC; la siguiente versión y anteriores T_45.8.0.3-r9
• MS-C5366-X12LPC; la siguiente versión y anteriores T_45.8.0.3-r9
• MS-C5366-X12LVPC; la siguiente versión y anteriores T_45.8.0.3-r9
• MS-C5361-X12LPC; la siguiente versión y anteriores T_45.8.0.3-r9
• MS-Cxx66-xxxxGOPC; la siguiente versión y anteriores 45.8.0.2-AIoT-r4
• SC211; la siguiente versión y anteriores C_21.1.0.8-r4
• SP111; la siguiente versión y anteriores 52.8.0.4-r5
• MS-Cxx66-RFIPKG1; la siguiente versión y anteriores 63.8.0.4-r1-NX
• MS-Cxx72-RFIPKG1; la siguiente versión y anteriores 63.8.0.4-r1-NX
• MS-Cxx66-FIPKG1; la siguiente versión y anteriores 63.8.0.4-r1-NX
• MS-Cxx72-FIPKG1; la siguiente versión y anteriores 63.8.0.4-r1-NX

Solución:

Actualizar el firmware del dispositivo a la última versión.

Vulnerabilidad en EtherNetIP de CODESYS

Se ha detectado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante impedir que clientes legítimos establezcan nuevas conexiones.

Recursos afectados:

CODESYS EtherNetIP en todas las versiones anteriores a 4.9.0.0.

La vulnerabilidad afecta a todos los proyectos de CODESYS que incluyen una configuración de adaptador EtherNet/IP.

Solución:

Se recomienda actualizar el producto a la versión 4.9.0.0.

Múltiples vulnerabilidades en productos con OpenSSL de Phoenix Contact

Se han reportado 2 vulnerabilidades de severidad alta, cuya explotación podrían provocar la ejecución de código malicioso.

Recursos afectados:

• OpenSSL: versiones 3.0.18 y 3.0.0
• AXC F 1152: firmwareanterior a 2024.0.17
• AXC F 2000 EA: firmwareanterior a 2026.0.0
• AXC F 2152: firmwareanterior a 2024.0.17
• AXC F 3152: firmwareanterior a 2024.0.17
• BPC 9102S: firmwareanterior a 2024.0.17
• NOTA C1 EN: firmwareanterior a 1.12.3 y firmware12.3
• CELLULINK 2401-4G EU M25: firmwareanterior a 2025.6.3
• CELLULINK 2401-4G EU M40: firmwareanterior a 2025.6.3
• CELLULINK 4401-4G GL M25: firmwareanterior a 2025.6.3
• CELLULINK 4401-4G GL M40: firmwareanterior a 2025.6.3
• CHARX SEC-3000: firmwareanterior a 1.9.0
• CHARX SEC-3050: firmwareanterior a 1.9.0
• CHARX SEC-3100: firmwareanterior a 1.9.0
• CHARX SEC-3150: firmwareanterior a 1.9.0
• CLIENTE EN LA NUBE 1101T-TX/TX: firmwareanterior a 3.7.8
• Energía AXC PU: firmware27.00.00 y firmwareanterior a V04.27.00.00
• Guardia Nacional de Florida 2102: firmwareanterior a 10.6.1
• Guardia Nacional de Florida 2105: firmwareanterior a 10.6.1
• FL MGUARD 4102 PCI: firmwareanterior a 10.6.1
• FL MGUARD 4102 PCI/K2: firmwareanterior a 10.6.1
• FL MGUARD 4102 PCIE: firmwareanterior a 10.6.1
• FL MGUARD 4102 PCIE/K2: firmwareanterior a 10.6.1
• Guardia Nacional de Florida 4302: firmwareanterior a 10.6.1
• FL MGUARD 4302/K1: firmwareanterior a 10.6.1
• FL MGUARD 4302/K2: firmwareanterior a 10.6.1
• FL MGUARD 4302/K3: firmwareanterior a 10.6.1
• FL MGUARD 4302/K4: firmwareanterior a 10.6.1
• FL MGUARD 4302/KX: firmwareanterior a 10.6.1
• FL MGUARD 4305: firmwareanterior a 10.6.1
• FL MGUARD 4305/KX: firmwareanterior a 10.6.1
• NOCHE DE FL 2008: firmware57 y firmwareanterior a 3.57
• FL NOCHE 2208: firmware57 y firmwareanterior a 3.57
• FL NAT 2304-2GC-2SFP: firmwareanterior a 3.57 y firmware57
• FL SWITCH 2005: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2008: firmwareanterior a 3.57 y firmware57
• INTERRUPTOR FL 2008F: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2016: firmwareanterior a 3.57 y firmware57
• INTERRUPTOR FL 2105: firmwareanterior a 3.57 y firmware57
• INTERRUPTOR FL 2108: firmwareanterior a 3.57 y firmware57
• INTERRUPTOR FL 2116: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2204-2TC-2SFX: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2205: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2206-2FX: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2206-2FX SM: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2206-2FX SM ST: firmwareanterior a 3.57 y firmware57
• FL SWITCH 2206-2FX ST: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2206-2SFX: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2206-2SFX PN: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2206C-2FX: firmwareanterior a 3.57 y firmware57
• FL SWITCH 2207-FX: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2207-FX SM: firmwareanterior a 3.57 y firmware57
• INTERRUPTOR FL 2208: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2208 PN: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2208C: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2212-2TC-2SFX: firmwareanterior a 3.57 y firmware57
• INTERRUPTOR FL 2214-2FX: firmwareanterior a 3.57 y firmware57
• FL SWITCH 2214-2FX SM: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2214-2SFX: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2214-2SFX PN: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2216: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2216 PN: firmwareanterior a 3.57 y firmware57
• INTERRUPTOR FL 2303-8SP1: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2304-2GC-2SFP: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2306-2SFP: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2306-2SFP PN: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2308: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2308 PN: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2312-2GC-2SFP: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2314-2SFP: firmwareanterior a 3.57 y firmware57
• FL SWITCH 2314-2SFP PN: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2316: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2316 PN: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2316/K1: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2404-2TC-2SFX: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2406-2SFX: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2406-2SFX PN: firmwareanterior a 3.57 y firmware57
• INTERRUPTOR FL 2408: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2408 PN: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2412-2TC-2SFX: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2414-2SFX: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2414-2SFX PN: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2416: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2416 PN: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2504-2GC-2SFP: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2506-2SFP: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2506-2SFP PN: firmware57 y firmwareanterior a 3.57
• Conmutador FL 2506-2SFP/K1: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2508: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2508 PN: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2508/K1: firmware57 y firmwareanterior a 3.57
• FL SWITCH 2512-2GC-2SFP: firmwareanterior a 3.57 y firmware57
• FL SWITCH 2514-2SFP: firmwareanterior a 3.57 y firmware57
• FL SWITCH 2514-2SFP PN: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2516: firmwareanterior a 3.57 y firmware57
• Interruptor FL 2516 PN: firmware57 y firmwareanterior a 3.57
• INTERRUPTOR FL 2608: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2608 PN: firmwareanterior a 3.57 y firmware57
• INTERRUPTOR FL 2708: firmware57 y firmwareanterior a 3.57
• Interruptor FL 2708 PN: firmwareanterior a 3.57 y firmware57
• Conmutador FL 5916-8GC-4SFP+: firmwareanterior a 3.57 y firmware57
• FL SWITCH 5916SFP-8GC-4SFP+: firmwareanterior a 3.57 y firmware57
• Interruptor FL 5924-4GC: firmwareanterior a 3.57 y firmware57
• FL SWITCH 5924-4SFP+: firmware57 y firmwareanterior a 3.57
• Conmutador FL 5924SFP-4GC: firmware57 y firmwareanterior a 3.57
• FL SWITCH TSN 2312-2GC-2SFP: firmwareanterior a 3.57 y firmware57
• FL SWITCH TSN 2314-2SFP: firmwareanterior a 3.57 y firmware57
• FL SWITCH TSN 2316: firmware57 y firmwareanterior a 3.57
• Servidor de hora NTP de Florida: firmware0.71.101 y firmwareanterior a 5.0.71.101
• FL WLAN 1020: firmware06.00 y firmwareanterior a 26.06.00
• FL WLAN 1021: firmwareanterior a 26.06.00 y firmware06.00
• FL WLAN 1022: firmware06.00 y firmwareanterior a 26.06.00
• FL WLAN 1120: firmware06.00 y firmwareanterior a 26.06.00
• FL WLAN 1121: firmwareanterior a 26.06.00 y firmware06.00
• FL WLAN 1122: firmwareanterior a 26.06.00 y firmware06.00
• FL WLAN 2330: firmwareanterior a 26.06.00 y firmware06.00
• FL WLAN 2331: firmwareanterior a 26.06.00 y firmware06.00
• FL WLAN 2340: firmwareanterior a 26.06.00 y firmware06.00
• FL WLAN 2341: firmwareanterior a 26.06.00 y firmware06.00
• GTC F 2172: firmwareanterior a 2024.0.17
• ILC 2050 BI: firmware12.4 y firmwareanterior a 1.12.4
• ILC 2050 BI-L: firmware12.4 y firmwareanterior a 1.12.3
• ILC 2250 BI: firmware12.3 y firmwareanterior a 1.12.3
• ILC 2250 BI-L: firmware12.3 y firmwareanterior a 1.12.3
• NFC 482S: firmwareanterior a 2024.0.17
• RFC 4072R: firmwareanterior a 2024.0.17
• RFC 4072S: firmwareanterior a 2024.0.17
• RTU inteligente AXC IG: firmware04.00.00 y firmwareanterior a V01.04.00.00
• RTU inteligente AXC SG: firmwareanterior a V01.11.00.00 y firmware11.00.00
• CLIENTE TC CLOUD 1002-4G: firmwareanterior a 3.8.9
• CLIENTE EN LA NUBE TC 1002-4G ATT: firmwareanterior a 3.8.9
• CLIENTE TC CLOUD 1002-4G VZW: firmwareanterior a 3.8.9
• CLIENTE TC CLOUD 1002-TX/TX: firmwareanterior a 3.7.8
• ROUTER TC 2002T-3G: firmwareanterior a 3.8.9
• ROUTER TC 2002T-4G: firmwareanterior a 3.8.9
• ROUTER TC 3002T-3G: firmwareanterior a 3.8.9
• ROUTER TC 3002T-4G: firmwareanterior a 3.8.9
• ROUTER TC 3002T-4G ATT: firmwareanterior a 3.8.9
• ROUTER TC 3002T-4G GL: firmwareanterior a 3.8.9
• ROUTER TC 3002T-4G VZW: firmwareanterior a 3.8.9
• Router TC 4002T-4G UE: firmwareanterior a 5.0.72.102 y firmware0.72.102
• Router TC 4102T-4G EU WLAN: firmwareanterior a 5.0.72.102 y firmware0.72.102
• Router TC 4202T-4G EU WLAN: firmwareanterior a 5.0.72.102 y firmware0.72.102
• Router TC 5004T-5G UE: firmwareanterior a 1.6.24

Solución:

Se recomienda contactar con el fabricante para obtener una solución especifica.

Vulnerabilidad en VEGAPULS 6X PROFINET de VEGA

Se ha detectado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante suplantar la identidad de usuarios autorizados.

Recursos afectados:

VEGAPULS 6X Two-wire PROFINET, Modbus TCP, OPC UA (Ethernet-APL) en las versiones del firmware 1.0.0 y 1.1.0.

Solución:

Se recomienda actualizar el firmware a la última versión disponible y cambiar las credenciales de los dispositivos afectados.

Vulnerabilidad crítica en productos de Spring

Se ha detectado vulnerabilidad de severidad crítica que afecta a los puntos de conexión de registro dinámico de clientes (Dynamic Client Registration endpoints) en Spring Security Authorization Server, cuya explotación podría permitir a un atacante ejecutar un ataque Cross-Site Scripting (XSS) o escalar privilegios.

Recursos afectados:

• Spring Security:
  • 0.0 – 7.0.4
• Spring Authorization Server:
  • 3.0 – 1.3.10
  • 4.0 – 1.4.9
  • 5.0 – 1.5.6

Solución:

Actualizar a la versión corregida correspondiente:

• 0.x: actualizar a la versión 7.0.5
• 3.x: actualizar a la versión1.3.11
• 4.x: actualizar a la versión 1.4.10
• 5.x: actualizar a la versión 1.5.7

Actualización de seguridad en Oracle

Se han publicado 241 vulnerabilidades, de las cuales 18 son críticas.

Recursos afectados:

• JD Edwards EnterpriseOne Tools, versions 9.2.0.0-9.2.26.1
• Management Cloud Engine, version 25.2.0.0.0
• MySQL Cluster, versions 8.0.0-8.0.44, 8.4.0-8.4.7, 9.0.0-9.5.0
• MySQL Connectors, versions 9.0.0-9.6.0
• MySQL Enterprise Backup, versions 8.0.0-8.0.45, 8.4.0-8.4.8, 9.0.0-9.6.0
• MySQL Server, versions 8.0.0-8.0.45, 8.4.0-8.4.8, 9.0.0-9.6.0
• MySQL Shell, versions 8.0.0-8.0.45, 8.4.0-8.4.8, 9.0.0-9.6.0
• MySQL Workbench, versions 8.0.0-8.0.46
• Oracle Access Manager, version 14.1.2.0.0
• Oracle Adapter for Eclipse RDF4J, versions 3.12.0, 21.1.8, 24.1.0
• Oracle Agile Product Lifecycle Management for Process, version 6.2.4
• Oracle Application Development Framework (ADF), versions 12.2.1.4.0, 14.1.2.0.0
• Oracle Application Express, versions 23.2.20, 23.2.21, 24.1.15, 24.1.16, 24.2.13, 24.2.15
• Oracle Application Testing Suite, version 13.3.0.1
• Oracle Autonomous Health Framework, versions 25.11-26.1
• Oracle AutoVue, version 21.1.0
• Oracle Banking Branch, versions 14.5.0.0.0-14.8.0.0.0
• Oracle Banking Cash Management, version 14.8.2.0.0
• Oracle Banking Collections and Recovery, versions 14.6.0.0.0-14.8.0.0.0
• Oracle Banking Corporate Lending, versions 14.5.0.0.0-14.8.0.0.0
• Oracle Banking Corporate Lending Process Management, versions 14.5.0.0.0-14.8.0.0.0
• Oracle Banking Credit Facilities Process Management, versions 14.5.0.0.0-14.8.0.0.0
• Oracle Banking Liquidity Management, versions 14.8.0.0.0, 14.8.1.0.0
• Oracle Banking Origination, versions 14.5.0.0.0-14.8.0.0.0
• Oracle Banking Payments, versions 14.5.0.0.0-14.8.0.0.0
• Oracle Banking Supply Chain Finance, versions 14.5.0.0.0-14.8.0.0.0
• Oracle Banking Trade Finance, versions 14.5.0.0.0-14.8.0.0.0
• Oracle Banking Trade Finance Process Management, versions 14.5.0.0.0-14.8.0.0.0
• Oracle Banking Virtual Account Management, versions 14.5.0.0.0-14.8.0.0.0
• Oracle BI Publisher, versions 7.6.0.0.0, 8.2.0.0.0
• Oracle Blockchain Platform, version 24.1.3
• Oracle Business Activity Monitoring, version 12.2.1.4.0
• Oracle Business Intelligence Enterprise Edition, versions 7.6.0.0.0, 8.2.0.0.0
• Oracle Business Process Management Suite, versions 12.2.1.4.0, 14.1.2.0.0
• Oracle Commerce Guided Search, version 11.4.0
• Oracle Communications Billing and Revenue Management, versions 15.0.0.0.0-15.0.1.0.0, 15.1.0.0.0-15.2.0.0.0
• Oracle Communications BRM – Elastic Charging Engine, versions 15.0.0.0-15.0.1.0, 15.1.0.0-15.2.0.0
• Oracle Communications Cloud Native Core Binding Support Function, version 25.1.200
• Oracle Communications Cloud Native Core Certificate Management, version 25.1.201
• Oracle Communications Cloud Native Core Console, version 25.1.201
• Oracle Communications Cloud Native Core DBTier, versions 25.1.200, 25.2.100
• Oracle Communications Cloud Native Core Network Exposure Function, versions 24.2.1, 24.2.4
• Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versions 25.1.200, 25.2.200
• Oracle Communications Cloud Native Core Network Repository Function, version 25.1.204
• Oracle Communications Cloud Native Core Network Slice Selection Function, versions 25.1.100, 25.1.200
• Oracle Communications Cloud Native Core Policy, versions 25.1.200, 25.1.201, 25.1.202
• Oracle Communications Cloud Native Core Security Edge Protection Proxy, versions 25.1.200, 25.1.201, 25.2.100
• Oracle Communications Cloud Native Core Service Communication Proxy, versions 25.1.100, 25.1.200, 25.1.202, 25.2.100
• Oracle Communications Cloud Native Core Unified Data Repository, versions 25.1.100, 25.1.200
• Oracle Communications Convergence, version 3.0.3.4.0
• Oracle Communications EAGLE, version 47.0
• Oracle Communications EAGLE Application Processor, versions 17.0-17.1
• Oracle Communications EAGLE Element Management System, version 47.0.0.1.0
• Oracle Communications EAGLE LNP Application Processor, version 11.0
• Oracle Communications Element Manager, versions 9.0.0-9.0.4
• Oracle Communications Instant Messaging Server, version 10.0.1.8.0
• Oracle Communications LSMS, version 14.0
• Oracle Communications Messaging Server, version 8.1.0.0.0
• Oracle Communications Network Integrity, versions 7.3.6, 7.4.0, 7.5.0, 8.0.0
• Oracle Communications Offline Mediation Controller, versions 15.0.0.0.0-15.0.1.0.0, 15.1.0.0.0-15.2.0.0.0
• Oracle Communications Operations Monitor, versions 5.2, 6.0, 6.1
• Oracle Communications Order and Service Management, versions 7.5.0, 8.0.0
• Oracle Communications Performance Intelligence Center, versions 10.5.0.0-10.5.0.2
• Oracle Communications Policy Management, versions 15.0.0.0.0, 15.0.0.1.0
• Oracle Communications Service Catalog and Design, versions 8.0.0.6.0, 8.1.0.5.0, 8.2.0.2.0
• Oracle Communications Session Border Controller, versions 9.3.0, 10.0.0, 10.1.0
• Oracle Communications Session Report Manager, versions 9.0.0-9.0.4
• Oracle Communications Unified Assurance, versions 6.1.1-7.0.0
• Oracle Communications Unified Inventory Management, versions 7.5.0-7.5.1, 7.6.0-7.8.0, 8.0.0
• Oracle Configuration Manager, versions 13.5, 24.1
• Oracle Data Integrator, versions 12.2.1.4.0, 14.1.2.0.0
• Oracle Database Server, versions 12.1.0.2.0, 12.2.0.1.0, 19.3-19.30, 21.3-21.21, 23.4.0-23.26.1
• Oracle Documaker, versions 12.7.2-13.0.2
• Oracle E-Business Suite, versions 12.2.3-12.2.15, 15.0
• Oracle Enterprise Communications Broker, versions 4.2.0, 5.0.0
• Oracle Enterprise Manager Base Platform, versions 13.5, 24.1
• Oracle Enterprise Manager for Fusion Middleware, versions 13.5, 24.1
• Oracle Enterprise Operations Monitor, version 6.1.0.0.0
• Oracle Essbase, version 21.8.1.0.0
• Oracle Financial Services Analytical Applications Infrastructure, versions 8.0.7.9, 8.0.8.7, 8.1.2.5
• Oracle Financial Services Behavior Detection Platform, versions 8.0.8.1, 8.1.2.10, 8.1.2.11
• Oracle Financial Services Compliance Studio, version 8.1.2.9
• Oracle Financial Services Customer Screening, version 8.1.2.8.0
• Oracle Financial Services Enterprise Case Management, versions 8.0.8.2, 8.1.2.10, 8.1.2.11
• Oracle Financial Services Lending and Leasing, versions 14.8.0.0.0, 14.10.0.0.0-14.12.0.0.0
• Oracle Financial Services Model Management and Governance, version 8.1.2.7
• Oracle Financial Services Regulatory Reporting, versions 8.1.2.10, 8.1.2.11
• Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, version 8.0.8
• Oracle Financial Services Transaction Filtering, version 8.1.2.8.0
• Oracle FLEXCUBE Enterprise Limits and Collateral Management, versions 14.5.0.0.0-14.8.0.0.0
• Oracle Fusion Middleware, versions 12.2.1.4.0, 14.1.2.0.0
• Oracle Global Lifecycle Management OPatchAuto, versions 12.2.0.1.16-12.2.0.1.49
• Oracle GoldenGate, versions 23.4-23.26.1
• Oracle GoldenGate Big Data and Application Adapters, versions 19.1.0.0.0-19.1.0.0.21, 21.3-21.21, 23.4-23.10
• Oracle GoldenGate Stream Analytics, versions 19.1.0.0.0-19.1.0.0.14
• Oracle GraalVM Enterprise Edition, version 21.3.17
• Oracle GraalVM for JDK, versions 17.0.18, 21.0.10
• Oracle Graph Server and Client, versions 24.4.5, 25.4.1, 26.1.0
• Oracle Hospitality Cruise Shipboard Property Management (SPMS), versions 23.1.5-23.3.0
• Oracle HTTP Server, versions 12.2.1.4.0, 14.1.2.0.0
• Oracle Hyperion Infrastructure Technology, version 11.2.24.0.0
• Oracle Identity Manager, versions 12.2.1.4.0, 14.1.2.0.0, 14.1.2.1.0
• Oracle Identity Manager Connector, version 12.2.1.4.0
• Oracle Insurance Policy Administration J2EE, versions 11.3.1.0, 11.3.2.0, 12.0.5.0, 12.1.1.0
• Oracle Insurance Policy Administration Operational Data Store for Life and Annuity, version 1.0.2.1
• Oracle Java SE, versions 8u481, 8u481-b50, 8u481-perf, 11.0.30, 17.0.18, 21.0.10, 25.0.1, 25.0.2, 26
• Oracle Life Sciences Empirica Signal, versions 9.2.1-9.2.3
• Oracle Life Sciences InForm, versions 7.0.1.0, 7.0.1.1
• Oracle Managed File Transfer, versions 12.2.1.4.0, 14.1.2.0.0
• Oracle Middleware Common Libraries and Tools, versions 12.2.1.4.0, 14.1.2.0.0
• Oracle NoSQL Database, versions 1.6.5, 1.7.0
• Oracle Outside In Technology, version 8.5.8
• Oracle Product Lifecycle Analytics, version 3.6.1
• Oracle REST Data Services, versions 24.2.0, 24.2.1, 24.3.0, 24.3.1, 24.4.0, 25.1.1, 25.2.0, 25.2.1, 25.2.2, 25.2.3, 25.3.0, 25.3.1, 25.4.0
• Oracle Retail Assortment Planning, versions 15.0, 16.0
• Oracle Retail Bulk Data Integration, versions 16.0.3, 19.0.1
• Oracle Retail EFTLink, versions 21.0.0-25.0.0
• Oracle Retail Extract Tranform and Load, version 13.0.5
• Oracle Retail Financial Integration, versions 16.0.3, 19.0.1
• Oracle Retail Fiscal Management, version 14.2
• Oracle Retail Integration Bus, versions 16.0.3, 19.0.1
• Oracle Retail Merchandise Financial Planning, versions 15.0, 16.0
• Oracle Retail Merchandising System, versions 16.0.3, 19.0.1
• Oracle Retail Predictive Application Server, version 16.0.3
• Oracle Retail Price Management, version 16.0.3
• Oracle Retail Service Backbone, versions 16.0.3, 19.0.1
• Oracle Retail Warehouse Management System, version 16.0
• Oracle Retail Xstore Point of Service, versions 21.0.5, 22.0.3
• Oracle Security Service, versions 12.1.3.0.0, 12.2.1.4.0
• Oracle SOA Suite, versions 12.2.1.4.0, 14.1.2.0.0
• Oracle Solaris, version 11.4
• Oracle TimesTen In-Memory Database, versions 18.1.4, 22.1.1
• Oracle Tuxedo, versions 22.1.0, 22.1.1
• Oracle Utilities Application Framework, versions 4.3.0.5.0-4.3.0.6.0, 4.4.0.0.0-4.4.0.4.0, 4.5.0.0.0-4.5.0.2.0, 25.4, 25.10, 26.4
• Oracle Utilities Live Energy Connect, versions 7.1.0.0.45, 25.12.0.0.0
• Oracle Utilities Network Management System, versions 2.4.0.1.31, 2.5.0.1.16, 2.5.0.2.10, 2.6.0.1.10, 2.6.0.2.5, 2.6.0.2.6
• Oracle Utilities Testing Accelerator, versions 7.0.0.0.7, 7.0.0.1.5, 25.4.0.0.2;
• Oracle VM VirtualBox, version 7.2.6;
• Oracle Web Services Manager, versions 12.2.1.4.0, 14.1.2.0.0
• Oracle WebCenter Forms Recognition, version 14.1.1.0.0
• Oracle WebCenter Sites, versions 12.2.1.4.0, 14.1.2.0.0
• Oracle WebLogic Server, versions 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0, 15.1.1.0.0
• PeopleSoft Enterprise CC Common Application Objects, version 9.2
• PeopleSoft Enterprise CS Student Records, version 9.2
• PeopleSoft Enterprise FIN Contracts, version 9.2
• PeopleSoft Enterprise FIN Maintenance Management, version 9.2
• PeopleSoft Enterprise FIN Project Costing, version 9.2
• PeopleSoft Enterprise HCM Absence Management, version 9.2
• PeopleSoft Enterprise HCM Human Resources, version 9.2
• PeopleSoft Enterprise HCM Shared Components, version 9.2
• PeopleSoft Enterprise PeopleTools, versions 8.61-8.62
• PeopleSoft Enterprise SCM Purchasing, version 9.2
• Primavera P6 Enterprise Project Portfolio Management, versions 21.12.0.0-21.12.21.6, 22.12.0.0-22.12.21.1, 23.12.0.0-23.12.18.0, 24.12.0.0-24.12.13.0, 25.12.0.0-25.12.2.0
• Primavera Unifier, versions 21.12.0-21.12.17, 22.12.0-22.12.15, 23.12.0-23.12.16, 24.12.0-24.12.13, 25.12.0-25.12.3
• Siebel Applications, versions 17.0-26.2
• Sun ZFS Storage Appliance Kit, version 8.8

Solución:

Es necesario aplicar los parches correspondientes, según los productos afectados.

Múltiples vulnerabilidades en X3050 de SenseLive

Se han detectado 11 vulnerabilidades, entre ellas, 5 crítica y 4 altas, cuya explotación podría permitir omitir la autenticación, modificar funciones críticas de configuración y provocar una denegación de servicio, entre otras acciones.

Recursos afectados:

SenseLive X3050, V1.523.

Solución:

Por el momento no hay disponible una versión que corrija el problema.

Vulnerabilidad en MCS200HW de Endress+Hauser

Se ha detectado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante no autenticado comprometer la confidencialidad, integridad y disponibilidad del sistema afectado.

Recursos afectados:

MCS200HW en todas las versiones anteriores a 1.11.5.6R.

Solución:

Se recomienda actualizar el producto a una de las siguientes versiones:

• 3.4
• 11.5.6R

Vulnerabilidad en Ziostation2

Se ha detectado 1 vulnerabilidad de severidad alta, cuya explotación podría obtener información confidencial. 

Recursos afectados:

Ziostation2 v2.9.8.7 y anteriores.

Solución:

Se recomienda actualizar el software a la última versión.

Vulnerabilidad crítica en Zeon Academy Pro de Zeon Global Tech

Se ha reportado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el envío de una solicitud POST utilizando el parámetro ‘phonenumber’ en ‘/private/continue-upload.php’.

Recursos afectados:

Zeon Academy Pro

Solución:

No hay solución reportada por el momento.

Vulnerabilidad en CivetWeb

Se ha informado1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante local ejecutar código arbitrario con privilegios elevados colocando un ejecutable malicioso en un directorio que se analiza antes de la ruta de la aplicación prevista (C:\Archivos de programa\CivetWeb\CivetWeb.exe –), debido a la ausencia de comillas en la configuración del servicio.

Recursos afectados:

CivetWeb v1.16.

Solución:

No hay solución reportada por el momento.

Vulnerabilidad en el servidor portable HTTP/Web de Zervit

Se ha reportado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante explotar esta vulnerabilidad enviando solicitudes maliciosas. Si se logra explotar la vulnerabilidad se puede hacer que la aplicación deje de responder, lo que deriva en una condición DoS.

Recursos afectados:

Zervit

Solución:

No hay solución reportada por el momento.

Múltiples vulnerabilidades en SD-330AC de Silex Technology

Se han reportado 13 vulnerabilidades, entre las que encontramos, 1 de severidad crítica y 3 de severidad alta; cuya explotación podrían permitir a un atacante no autenticado causar una corrupción de memoria, terminar de forma anormal el agente SNMP, entre otras.

Recursos afectados:

• Firmware SD-330AC versiones anteriores a 1.50
• AMC Manager versiones anteriores a 5.1.0

Solución:

Se recomienda actualizar los productos a una de las siguientes versiones:

• Firmware SD-330AC versión 1.50 y posteriores
• AMC Manager versión 5.1.0 y posteriores

Vulnerabilidad crítica en productos de Horner Automation

Se ha reportado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante obtener acceso no autorizado a los sistemas y servicios.

Recursos afectados:

• Horner Automation Cscape, v10.0
• Horner Automation XL7 PLC, v15.60
• Horner Automation XL4 PLC, v16.32.0

Solución:

Para Horner Automation Cscape actualizar el producto a v10.2 SP2 o posterior.

Para Horner Automation XL7 PLC y XL4 PLC, actualizar a la última versión del firmware.

Vulnerabilidad en ASDA-Soft de Delta Electronics

Se ha informado sobre 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante ejecutar código arbitrario.

Recursos afectados:

ASDA-Soft en todas las versiones anteriores a 7.2.2.0, incluida.

Solución:

Actualizar el producto a la versión 7.2.6.0 o posterior, en caso de que no se pueda actualizar, seguir las indicaciones del apartado mitigaciones de los enlaces de las referencias.

Múltiples vulnerabilidades en varios productos de Cisco

Se han reportado 5 vulnerabilidades en sus productos, 4 de severidad crítica y 1 media; cuya explotación podrían permitir a un atacante suplantar cualquier usuario del sistema o ejecutar comandos arbitrarios, entre otras acciones.

Recursos afectados:

• Cisco Webex Services, basados en la nube y que hayan sido configurados para emplear integración SSO con Control Hub.
• Cisco Identity Services Engine (ISE) y Cisco ISE Passive Identity Connector (ISE-PIC), independientemente de la configuración del dispositivo. En concreto están afectadas las siguientes versiones:
  • Anteriores a 3.2
  • 2
  • 3
  • 4
  • 5

Solución:

Actualizar el producto a la última versión. En el caso de Cisco Webex Services, los clientes que estén utilizando SSO deben cargar un nuevo certificado SAML del proveedor de identidad (IdP) en el Control Hub.

Vulnerabilidad crítica en la integración de jQuery de Drupal

Se ha informado sobre 1 vulnerabilidad crítica, cuya explotación podría permitir a un atacante ejecutar código JavaScript en el navegador de la víctima.

Recursos afectados:

Drupal core en las versiones comprendidas entre:

• 0.0 y 10.5.9, esta última sin incluir
• 6.0 y 10.6.7, esta última sin incluir
• 0.0 y 11.2.11, esta última sin incluir
• 3.0 y 11.3.7, esta última sin incluir

Solución:

Se recomienda actualizar a una de las siguientes versiones:

• 5.9
• 6.7
• 2.11
• 3.7

Vulnerabilidad en UPS Management de Omron

Se ha informado de 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante instalar una DLL que luego se ejecute con privilegios de administrador.

Recursos afectados:

PowerAttendant Standard Edition, para Windows, en la versión 2.1.2 o anteriores.

Solución:

Se recomienda actualizar el producto a la versión 2.2.0.

Múltiples vulnerabilidades en IPP Software de Eaton

Se han detectado 5 vulnerabilidades, 1 de severidad alta y 4 medias; cuya explotación podrían permitir la ejecución de código arbitrario, entre otras acciones.

Recursos afectados:

IPP software de Eaton, todas las versiones hasta la 2.0, no incluida.

Solución:

Actualizar el producto a la última versión.

Actualización de seguridad de Microsoft

Se ha publicado la actualización de seguridad, en la que se han reportado un total de 165 vulnerabilidades; 2 críticas, 123 altas y 40 medias.

Recursos afectados:

• .NET
• .NET Framework
• .NET and Visual Studio
• .NET, .NET Framework, Visual Studio
• Applocker Filter Driver (applockerfltr.sys)
• Azure Logic Apps
• Azure Monitor Agent
• Desktop Window Manager
• Function Discovery Service (fdwsd.dll)
• GitHub Copilot and Visual Studio Code
• Microsoft Brokering File System
• Microsoft Defender
• Microsoft Dynamics 365 (on-premises)
• Microsoft Edge (Chromium-based)
• Microsoft Graphics Component
• Microsoft High Performance Compute Pack (HPC)
• Microsoft Management Console
• Microsoft Office
• Microsoft Office Excel
• Microsoft Office PowerPoint
• Microsoft Office SharePoint
• Microsoft Office Word
• Microsoft Power Apps
• Microsoft PowerShell
• Microsoft Windows
• Microsoft Windows Search Component
• Microsoft Windows Speech
• Remote Desktop Client
• Role: Windows Hyper-V
• SQL Server
• Universal Plug and Play (upnp.dll)
• Windows Active Directory
• Windows Admin Center
• Windows Advanced Rasterization Platform
• Windows Ancillary Function Driver for WinSock
• Windows Biometric Service
• Windows BitLocker
• Windows Boot Loader
• Windows Boot Manager
• Windows COM
• Windows Client Side Caching driver (csc.sys)
• Windows Cloud Files Mini Filter Driver
• Windows Common Log File System Driver
• Windows Container Isolation FS Filter Driver
• Windows Cryptographic Services
• Windows Encrypting File System (EFS)
• Windows File Explorer
• Windows GDI
• Windows HTTP.sys
• Windows Hello
• Windows IKE Extension
• Windows Installer
• Windows Kerberos
• Windows Kernel
• Windows Kernel Memory
• Windows LUAFV
• Windows Local Security Authority Subsystem Service (LSASS)
• Windows Management Services
• Windows OLE
• Windows Print Spooler Components
• Windows Projected File System
• Windows Push Notifications
• Windows RPC API
• Windows Recovery Environment Agent
• Windows Redirected Drive Buffering
• Windows Remote Desktop
• Windows Remote Desktop Licensing Service
• Windows Remote Procedure Call
• Windows SSDP Service
• Windows Sensor Data Service
• Windows Server Update Service
• Windows Shell
• Windows Snipping Tool
• Windows Speech Brokered Api
• Windows Storage Spaces Controller
• Windows TCP/IP
• Windows TDI Translation Driver (tdx.sys)
• Windows USB Print Driver
• Windows Universal Plug and Play (UPnP) Device Host
• Windows User Interface Core
• Windows Virtualization-Based Security (VBS) Enclave
• Windows WFP NDIS Lightweight Filter Driver (wfplwfs.sys)
• Windows WalletService
• Windows Win32K – GRFX
• Windows Win32K – ICOMP

Solución:

Instalar la actualización de seguridad correspondiente.

Múltiples vulnerabilidades en Identity Exposure de Tenable

Se ha informado de un total de 19 vulnerabilidades, entre ellas 1 crítica y 10 altas; cuya explotación podrían permitir la lectura de ficheros sensibles, entre otras acciones.

Recursos afectados:

Tenable Identity Exposure, versión 3.77.16 y anteriores.

Solución:

Actualizar el producto a la versión 3.77.17.

Múltiples vulnerabilidades en FortiSandbox

Se han detectado 2 vulnerabilidades de severidad crítica, cuya explotación podrían permitir a un atacante ejecutar comandos no autorizados o evitar la autenticación en el sistema.

Recursos afectados:

• FortiSandbox 4.4, desde la versión 4.4.0 hasta la 4.4.8

Solo para la vulnerabilidad CVE-2026-39813 también se ve afectado:

• FortiSandbox 5.0, desde la versión 5.0.0 hasta la 5.0.5

Solución:

Según la versión inicial del producto, actualizarlo a:

• FortiSandbox 4.4.9
• FortiSandbox 5.0.6

Vulnerabilidad crítica en Modicon Networking Managed Switches de Schneider Electric

Se ha reportado 1 vulnerabilidad de severidad crítica del protocolo RADIUS, cuya explotación podría permitir ataques de falsificación, resultando en una posible denegación de servicio y en la pérdida de confidencialidad e integridad de los dispositivos conectados al switch.

Recursos afectados:

Los siguientes productos y versiones en los que se haya deshabilitado el parámetro ‘RADIUS Server Message Authenticator’, se ven afectados:

• Connexium Managed Switches (TCSESM*): todas las versiones
• Modicon Managed Switches (MCSESM*, MCSESP*): todas las versiones
• Modicon Redundancy Switches (MCSESR*): todas las versiones

Solución:

No existe un parche que resuelva el problema. Se recomienda mantener el parámetro ‘RADIUS Server Message Authenticator’ en su valor por defecto (habilitado).

Vulnerabilidad crítica en Product Security Response Center de AVEVA

Se ha reportado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir la escalada de privilegios y permitir a un atacante realizar operaciones destinadas a otros roles.

Recursos afectados:

AVEVA Pipeline Simulation 2025 SP1 (versión 7.1.9497.6351) y todas las anteriores.

Solución:

Actualizar el producto AVEVA Pipeline Simulation 2025 SP1 P01 a la versión 7.1.9580.8513 o superior.

Múltiples vulnerabilidades en productos de Adobe

Se ha informado de un total de 55 vulnerabilidades, entre ellas 7 críticas y 30 altas; cuya explotación podrían permitir a un atacante ejecutar código arbitrario, entre otras.

Recursos afectados:

• Acrobat DC, versiones 26.001.21411, 26.001.21367 y anteriores
• Acrobat Reader DC, versiones 26.001.21411, 26.001.21367 y anteriores
• Acrobat 2024, versión 24.001.30356 y anteriores
• Acrobat 2024 Windows, versión 24.001.30362 y anteriores
• Acrobat 2024 Mac, versión 24.001.30360 y versiones anteriores
• Adobe InDesign, versiones ID21.2, ID20.5.2 y todas las anteriores
• Adobe InCopy , versiones 21.2, 20.5.2 y anteriores
• Adobe Experience Manager (AEM) Screens, versiones 6.5 Service Pack 24, Feature Pack 11.7 o anteriores
• Adobe FrameMaker, actualización de lanzamiento 8 de 2022 y versiones anteriores
• Adobe Connect, versión 12.10 y anteriores
• Aplicación de escritorio Adobe Connect, versión 2025.3 y anteriores
• ColdFusion 2025, actualización 6 y versiones anteriores
• ColdFusion 2023, actualización 18 y versiones anteriores
• Adobe Bridge, versiones 15.1.4 (LTS), 16.0.2 y anteriores
• Photoshop 2026, versión 27.4 y anteriores
• Adobe DNG Software Development Kit (SDK), SDK de DNG 1.7.1 compilación 2502 y versiones anteriores
• Illustrator 2025, versión 29.8.5 y anteriores
• Ilustrador 2026, versión 30.2 y versiones anteriores

Solución:

Se recomienda actualizar los productos afectados a una de las siguientes versiones:

• Acrobat DC, versión 26.001.21431 o 26.001.21411
• Acrobat Reader DC, versión 26.001.21431 o 26.001.21411
• Acrobat 2024, versiones:
  • 001.30365 (Windows y/o Mac)
  • 001.30362 (Windows)
  • 001.30360 (Mac)
• Acrobat 2024 Windows, versión ID21.3
• Acrobat 2024 Mac, versión ID20.5.3
• Adobe InDesign, versión 21.3
• Adobe InCopy, versión 20.5.3
• Adobe Experience Manager (AEM) Screens, versión paquete de funciones 11.8
• Adobe FrameMaker, versiones fabricante de marcos 2026 o actualización 9 de FrameMaker 2022
• Adobe Connect, versión 12.11
• Aplicación de escritorio Adobe Connect, versión 2025.9
• ColdFusion 2025, actualización 7
• ColdFusion 2023, actualización 19
• Adobe Bridge, versión 15.1.5 (LTS) o 16.0.3
• Photoshop 2026, versión 27.5
• Adobe DNG Software Development Kit (SDK), SDK de DNG 1.7.1 compilación 2536
• Illustrator 2025, versión 29.8.6
• Ilustrador 2026, versión 30.3

Múltiples vulnerabilidades en Fusion Desktop de Autodesk

Se han reportado 3 vulnerabilidades de severidad alta, cuya explotación podría facilitar a un atacante leer archivos locales o ejecutar código arbitrario.

Recursos afectados:

Autodesk Fusion Desktop en la versión 2606.0 y todas las anteriores.

Solución:

 Instalar la versión 2702.1.47 o posterior para estar protegido ante estas vulnerabilidades.

Actualización de seguridad de SAP

SAP ha publicado 20 nuevas vulnerabilidades, 1 de severidad crítica, 1 de severidad alta, 16 de severidad media y 2 de severidad baja; cuya explotación podrían permitir a un atacante autenticado ejecutar sentencias SQL manipuladas para leer, modificar y eliminar datos de la base de datos y ejecutar un informe ABAP específico para sobrescribir sin autorización cualquier otro informe ejecutable ABAP de ocho caracteres.

Recursos afectados:

• SAP Business Planning and Consolidation y SAP Business Warehouse: versiones HANABPC 810, BPC4HANA 300, SAP_BW 750, 752, 753, 754, 755, 756, 757, 758, 816
• SAP ERP y SAP S/4 HANA (Private Cloud and On-Premise): versiones SAP_FIN 618, 720, 730, EA-FIN 617, 700, SAPSCORE 135, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605, 606
• SAP BusinessObjects Business Intelligence Platform: versiones ENTERPRISE 430, 2025, 2027
• SAP Human Capital Management para SAP S/4HANA: versiones S4HCMRXX 100, 101, 102, SAP_HRRXX 600, 604, 608
• SAP Business Analytics y SAP Content Management: versiones S4HCMRXX 100, 101, 102, SAP_HRRXX 600, 604, 608
• SAP S/4HANA OData Service (Manage Reference Equipment): versión S4CORE 109
• SAP S/4HANA Backend OData Service (Manage Reference Structures): versión S4CORE 109
• SAP S/4HANA Frontend OData Service (Manage Reference Structures): versión UIS4H 109
• SAP Supplier Relationship Management (SICF Handler in SRM Catalog): versiones SRM_SERVER 702, 713, 714
• SAP NetWeaver Application Server Java (Web Dynpro Java): versión WD-RUNTIME 7.50
• SAP NetWeaver Application Server ABAP: versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816
• SAP HANA Cockpit and HANA Database Explorer: versión SAP_HANA_COCKPIT 2.0
• SAP S/4HANA (Private Cloud and On-Premise): versiones S4CORE 105, 106, 107, 108, 109, FI-CA 606, 616, 617, 618
• Material Master Application: versiones S4CORE 102, 103, 104, 105, 106, 107, 108, 109, SCM_BASIS 700, SCM_BASIS 701, SCM_BASIS 702, SCM_BASIS 712, SCM_BASIS 713, SCM_BASIS 714
• SAP S/4HANA OData Service (Manage Technical Object Structures): versión S4CORE 109
• SAP S4CORE (Manage Journal Entries): versiones S4CORE 104, 105, 106, 107, 108
• SAP BusinessObjects Business Intelligence Platform: versiones ENTERPRISE 430, 2025, 2027
• SAP NetWeaver Application Server ABAP: versiones SAP_UI 758, 816
• SAP Landscape Transformation: versiones DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2011_1_752, 2020, S4CORE 102, 103, 104, 105, 106, 107, 108, 109

Solución:

Se recomienda actualizar los productos afectados, para ello póngase en contacto con el fabricante.

Múltiples vulnerabilidades en myREX24V2 y myREX24V2.virtual de Helmholz

Se han reportado 5 vulnerabilidades,1 de severidad crítica, 3 de severidad alta y 1 de severidad media, cuya explotación podrían permitir la ejecución remota de código (RCE), realizar inyecciones SQL (SQLi) o filtrar información.

Recursos afectados:

Helmholz myREX24V2 y myREX24V2.virtual, versiones de firmware: 2.19.4 y anteriores.

Solución:

Actualizar la instancia myREX24V2 y myREX24V2.virtual a la versión 2.19.5.

Actualización de seguridad de Siemens

Siemens ha publicado un listado de 9 nuevas vulnerabilidades, siendo 2 de ellas de severidad crítica y otras 7 se severidad alta.

Recursos afectados:

• SCALANCE W-700 IEEE 802.11n family en todas las versiones anteriores a V6.6.0:
  • SCALANCE W721-1 RJ45
  • SCALANCE W722-1 RJ45
  • SCALANCE W734-1 RJ45
  • SCALANCE W748-1 RJ45
  • SCALANCE W761-1 RJ45
  • SCALANCE W774-1 RJ45
  • SCALANCE W786-1 RJ45
  • SCALANCE W786-2 RJ45
  • SCALANCE W786-2IA RJ45
  • SCALANCE W788-1 RJ45
  • SCALANCE W788-2 RJ45
  • SCALANCE W738-1 M12
  • SCALANCE W748-1 M12
  • SCALANCE W778-1 M12
  • SCALANCE W788-1 M12
  • SCALANCE W788-2 M12
  • SCALANCE W778-1 M12 EEC
  • SCALANCE W774-1 M12 EEC
  • SCALANCE W788-2 M12 EEC
  • SCALANCE W786-2 SFP
• RUGGEDCOM CROSSBOW Station Access Controller (SAC) en todas las versiones anteriores a V5.8
• SINEC NMS, todas las versiones anteriores a V4.0 SP3
• Industrial Edge Management Pro V1, en las versiones comprendidas entre V1.7.6 (incluida) y V1.15.17 (sin incluir)
• Industrial Edge Management Pro V2, en las versiones comprendidas entre V2.0.0 (incluida) y V2.1.1 (sin incluir)
• Industrial Edge Management Virtual, en las versiones comprendidas entre V2.2.0 (incluida) y V2.8.0 (sin incluir)
• SIMATIC CN 4100, todas las versiones anteriores a FS 05
• SIMATIC Field PG, todas sus versiones:
  • SIMATIC Field PG M5
  • SIMATIC Field PG M6
• SIMATIC IPC family, todas las versiones:
  • SIMATIC IPC227E
  • SIMATIC IPC277E
  • SIMATIC IPC427E / IPC477E / IPC477E PRO
  • SIMATIC IPC627E / IPC647E / IPC677E / IPC847E
  • SIMATIC IPC BX-32A, todas las versiones anteriores a V29.01.09
  • SIMATIC IPC BX-59A, todas las versiones anteriores a V29.01.09
  • SIMATIC IPC PX-32A, todas las versiones anteriores a V29.01.09
  • SIMATIC IPC RW-528A, todas las versiones anteriores a V34.01.02
  • SIMATIC IPC RW-548A, todas las versiones anteriores a V34.01.02
• SIMATIC IPC MD-57A, todas las versiones anteriores a V30.01.10
• SIMATIC ITP1000, todas sus versiones
• RUGGEDCOM CROSSBOW Secure Access Manager Primary (SAM-P), todas las versiones anteriores a V5.8
• SINEC NMS, todas las versiones anteriores a V4.0 SP3 con UMC
• Siemens Software Center, todas las versiones anteriores a V3.5.8.2
• Simcenter 3D, todas las versiones anteriores a V2506.6000
• Simcenter Femap, todas las versiones anteriores a V2506.0002
• Simcenter STAR-CCM+, todas las versiones anteriores a V2602
• Solid Edge SE2025, todas las versiones anteriores a V225.0 actualización 13
• Solid Edge SE2026, todas las versiones anteriores a V226.0 actualización 04
• Tecnomatix Plant Simulation, todas las versiones anteriores a V2504.0008

Solución:

Se recomienda actualizar a las siguientes versiones:

• SCALANCE W-700 IEEE 802.11n family, versión V6.6.0 o posterior
• RUGGEDCOM CROSSBOW Station Access Controller (SAC), versión V5.8 o posterior
• SINEC NMS, versión V4.0 SP3 o posterior
• Industrial Edge Management Pro V1, versión V1.15.17 o posterior
• Industrial Edge Management Pro V2, versión V2.1.1 o posterior
• Industrial Edge Management Virtual, versión V2.8.0 o posterior
• SIMATIC CN 4100, no hay solución reportada por el momento
• SIMATIC Field PG, no hay solución reportada por el momento
• SIMATIC IPC family, revisar versión en el enlace de las referencias
• SIMATIC IPC MD-57A, versión V30.01.10 o posterior
• SIMATIC ITP1000, no hay solución reportada por el momento
• RUGGEDCOM CROSSBOW Secure Access Manager Primary (SAM-P), versión V5.8 o posterior
• SINEC NMS, versión V4.0 SP3 o posterior
• Siemens Software Center, versión V3.5.8.2 o posterior
• Simcenter 3D, versión V2506.6000 o posterior
• Simcenter Femap, versión V2506.0002 o posterior
• Simcenter STAR-CCM+, versión V2602 o posterior
• Solid Edge SE2025, versión V225 actualización 13 o posterior
• Solid Edge SE2026, versión V226.0 actualización 04 o posterior
• Tecnomatix Plant Simulation, versión V2504.0008 o posterior

Múltiples vulnerabilidades en Ability Symphony Plus Engineering de ABB

Se han reportado 4 vulnerabilidades de severidad alta, cuya explotación podrían permitir a un atacante que se encuentre en la misma red que el producto afectado, ejecutar código arbitrario y comprometer todo el sistema.

Recursos afectados:

Las siguientes versiones de ABB Ability Symphony Plus:

• S+ Engineering 2.2
• S+ Engineering 2.3, 2.3 RU1, 2.3 RU2 y 2.3 RU3
• S+ Engineering 2.4, 2.4 SP1 y 2.4 SP2

Solución:

Actualizar los productos a la versión S+ Engineering 2.4 SP2 RU1 (lanzada en diciembre de 2024) o superior.

Vulnerabilidad crítica en Adobe Acrobat y Reader

Se ha informado de 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir ejecutar código malicioso en el sistema afectado.

Recursos afectados:

Tanto para Windows como para macOS, estos son los productos afectados:

• Acrobat DC, versión 26.001.21367 y anteriores
• Acrobat Reader DC, versión 26.001.21367 y anteriores
• Acrobat 2024, versión 24.001.30356 y anteriores

Solución:

Actualizar los productos a su última versión.

Múltiples vulnerabilidades en SSL VPN Client de Synology

Se han reportado 2 vulnerabilidades, 1 de severidad alta y 1 de severidad media, cuya explotación podrían permitir a los atacantes en remoto acceder a archivos confidenciales y obtener o manipular el código PIN en el cliente SSL VPN.

Recursos afectados:

Cliente VPN SSL de Synology, en las versiones anteriores a 1.4.5-0684.

Solución:

Se recomienda actualizar a la versión 1.4.5-0684 o posteriores.

Vulnerabilidad crítica en BASC 20T de Contemporary Controls Sedona Alliance

Se ha reportado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante interceptar el tráfico de red y posteriormente utilizar los datos obtenidos para falsificar paquetes y realizar solicitudes arbitrarias al sistema Contemporary Controls BASC 20T.

Recursos afectados:

Contemporary Controls Sedona Alliance versión 3.1.

Solución:

Se trata de un producto obsoleto, se recomienda ponerse en contacto con el fabricante para obtener más información.

Vulnerabilidad en GPL750 de GPL Odorizers

Se ha publicado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir que un atacante remoto con privilegios limitados podría enviar paquetes Modbus para manipular los valores de los registros que son entradas a la lógica de inyección de odorizante, de manera que se inyecte demasiado o muy poco odorizante en una tubería de gas.

Recursos afectados:

• GPL750 (XL4), versiones v1.0 y posteriores
• GPL750 (XL4 Prime), versiones v4.0 y posteriores
• GPL750 (XL7), versiones v13.0 y posteriores
• GPL750 (XL7 Prime), versiones v18.4 y posteriores

Solución:

Actualizar a la última versión de software del GPL750 junto con el firmware más reciente de Horner Automation.

Múltiples vulnerabilidades en DICOM Server de Orthanc

Se han reportado 9 vulnerabilidades de severidad alta, cuya explotación podrían permitir a los atacantes bloquear el servidor, acceder a información sensible o  ejecutar código arbitrario.

Recursos afectados:

DICOM Server hasta la versión 1.12.10.

Solución:

Actualizar el producto a la versión 1.12.11.

Vulnerabilidad en productos de Wago

Se ha reportado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante autenticado con muchos privilegios ejecutar comandos de shell arbitrarios en el dispositivo afectado.

Recursos afectados:

• Versiones wago_os_linux 3.10.10 y anteriores:
  • 0750-810-xxxx-xxxx
  • 750-820x-xxxx-xxxx
• Versiones wago_os_linux 4.5.10 y anteriores:
  • 0750-811x-xxxx-xxxx
  • 0751-9×01
  • 0752-8303-8000-0002
  • 0762-340x
  • 0762-420x-8000-000x
  • 0762-430x-8000-000x
  • 0762-520x-8000-000x
  • 0762-530x-8000-000x
  • 0762-620x-8000-000x
  • 0762-630x-8000-000x
  • 750-821x-xxxx-xxxx

Solución:

Desactivar los privilegios de OpenVPN, los cuales se describen en el manual «Ciberseguridad para el controlador PFC100 / PFC200», sección 7.1.4, y en el manual del producto.

Vulnerabilidad crítica en Virtual Lightweight Collector de Juniper

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante tomar el control total del dispositivo.

Recursos afectados:

Todas las versiones de Virtual Lightweight Collector (vLWC) anteriores a la 3.0.94.

Solución:

Actualizar el producto a la versión 3.0.94 o posterior.

Vulnerabilidad en ActiveMQ de Apache

Se ha reportado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante obtener un archivo de configuración remoto y ejecutar comandos arbitrarios del sistema operativo.

Recursos afectados:

• Apache ActiveMQ Broker (org.apache.activemq:activemq-broker)
• Apache ActiveMQ (org.apache.activemq:activemq-all)
• Apache ActiveMQ Classic

Solución:

Se recomienda actualizar a la versión 5.19.4 o 6.2.3.

Múltiples vulnerabilidades en Archer AX53 de TP-Link

Se han reportado 5 vulnerabilidades, 3 de severidad alta y 2 medias, cuya explotación podría poner en riesgo los dispositivos Archer AX53.

Recursos afectados:

Archer AX53 v1.0: versiones anteriores a la 1.7.1, compilación 20260213.

Solución:

Se recomienda actualizar a la última versión del firmware.

Múltiples vulnerabilidades en GLPI

Se han reportado 5 vulnerabilidades, 1 de severidad crítica y 4 de severidad alta que, cuya explotación podrían permitir la ejecución remota de código.

Recursos afectados:

• Versión 11.0.0 y posteriores (CVE-2026-26026, CVE-2026-26263 y CVE-2026-26027)
• Versión 10.0.0 y posteriores (CVE-2026-29047)
• Versión 0.60 y posteriores y versiones anteriores a la 10.0.24 (CVE-2026-25932)

Solución:

Actualizar a las versiones:

• 0.6
• 0.24

Vulnerabilidad crítica en el plugin Ninja Forms de WordPress

Se ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir la ejecución de código en remoto por parte de atacantes no autenticados.

Recursos afectados:

Plugin Ninja Forms, versión 3.3.26 y anteriores.

Solución:

Actualizar a la versión 3.3.27.

Vulnerabilidad en productos de Moxa

Se ha detectado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante comprometer la disponibilidad de los dispositivos afectados.

Recursos afectados:

• Serie BXP-A100
• Serie BXP-A101
• Serie BXP-C100
• Serie DA-680
• Serie DA-820E
• Serie DA-681C
• Serie DA-682C
• Serie DA-720
• Serie DA-820C
• Serie DRP-A100
• Serie DRP-C100
• Serie MC-1100
• Serie MC-1200
• Serie MC-3201
• Serie MC-7400
• Serie V2201
• Serie V2403C
• Serie V2406C
• Serie V3200
• Serie V3400
• Serie RKP-A110
• Serie RKP-C110
• Serie RKP-C220
• Serie EXPC-F2120W
• Serie EXPC-F2150W
• Serie MPC-2070
• Serie MPC-2101
• Serie MPC-2120
• Serie MPC-2121
• Serie MPC-3070W
• Serie MPC-3100
• Serie MPC-3120
• Serie MPC-3120W
• Serie MPC-3150
• Serie MPC-3150W

Solución:

Se recomienda ponerse en contacto con el soporte técnico de Moxa para obtener el parche de seguridad.

Múltiples vulnerabilidades en productos de Hitachi

Se han detectado 11 vulnerabilidades, 5 altas, 3 medias y 3 bajas, cuya explotación podría permitir a un atacante ejecutar código en remoto o causar un desbordamiento de búfer, entre otros.

Recursos afectados:

• Hitachi Ops Center Common Services (versión en inglés), versiones para Linux anteriores a 11.0.8-00
• Hitachi Ops Center Common Services (versión en japonés), versiones para Windows anteriores a 11.0.8-00
• JP1/IT Desktop Management 2 – Manager y JP1/IT Desktop Management 2 – Operations Director, en las versiones para Windows 13-50 a 13-50-01, 13-11 a 13-11-03, 13-10 a 13-10-06, 13-01 a 13-01-06, 13-00 a 13-00-04, 12-60 a 12-60-11, 12-50 a 12-50-11, 12-10 a 12-10-12, 12-00 a 12-00-09, 11-51 a 11-51-10, 11-50 a 11-50-08, 11-10 a 11-10-10, 11-01 a 11-01-12, 11-00 a 11-00-11, 10-50 a 10-50-12
• Job Management Partner 1/IT Desktop Management 2 – Manager, versiones para Windows de la 10-50 hasta 10-50-11
• JP1/IT Desktop Management – Manager, en las versiones para Windows 10-10 a 10-10-16, 10-02 a 10-02-05, 10-01 a 10-01-05, 10-00 a 10-00-02, 09-51 a 09-51-05, 09-50 a 09-50-03
• Job Management Partner 1/IT Desktop Management – Manager, versiones para Windows de la 10-10 a 10-10-16, 10-01 a 10-01-06, 09-50 a 09-50-03
• JP1/NETM/DM Manager y JP1/NETM/DM Client, en las versiones para Windows en las versiones para Windows 10-20 a 10-20-02, 10-10 a 10-10-25, 09-51 a 09-51-14, 09-50 a 09-50-20, 09-12 a 09-12-16, 09-10 a 09-10-15, 09-01 a 09-01-14, 09-00 a 09-00-14
• Job Management Partner 1/Software Distribution Manager y Job Management Partner 1/Software Distribution Client, en las versiones para Windows 09-51 a 09-51-13, 09-50 a 09-50-09, 09-00 a 09-00-09

Solución:

Se recomienda actualizar a alguna de las siguientes versiones de los productos afectados:

• Hitachi Ops Center Common Services (versión en inglés), versión 11.0.8-00
• Hitachi Ops Center Common Services (versión en japonés), versión 11.0.8-00
• JP1/IT Desktop Management 2 – Manager y JP1/IT Desktop Management 2 – Operations Director, versiones 13-50-03, 13-11-04, 13-10-07, 13-01-07, 13-00-05, 12-60-12
• JP1/NETM/DM Manager y JP1/NETM/DM Client, versión 10-30

Actualización de seguridad de Android

Se han publicado 2 vulnerabilidades, 1 de severidad crítica y 1 alta, cuya explotación podría permitir a un atacante provocar una denegación de servicio local.

Recursos afectados:

• Google Play
• Componentes de Google
• Componentes NXP
• STMicroelectronics
• Tales

Solución:

• Actualizar a las siguientes versiones AOSP: 14, 15, 16, 16-qpr2. 
• Para las vulnerabilidades de Google y los componentes NXP, ponerse en contacto directamente con ellos.

Actualización de seguridad de Samsung

Se han publicado 45 vulnerabilidades que corresponden, 33 de ellas a Google de su boletín de seguridad de Android, 4 a semicondutores Samsung y 8 a Samsung mobile. Entre todas ellas hay 14 críticas, 25 altas y 6 moderadas, cuya explotación podría permitir la denegación de servicio y acceder a memoria fuera de los límites, entre otras acciones.

Recursos afectados:

Móviles de Samsung con Android 14, 15 o 16.

Solución:

Aplicar el último parche de seguridad disponible.

Múltiples vulnerabilidades en productos de Mitsubishi Electric

Se han detectado 4 vulnerabilidades, 2 críticas y 2 medias, cuya explotación podría permitir a un atacante revelar las credenciales de SQL Server, manipular o destruir datos del servidor y provocar posibles denegaciones de servicio (DoS).

Recursos afectados:

Las versiones de los siguientes productos están afectadas:

• GENESIS64: versión 10.97.3 y anteriores
• ICONICS Suite: versión 10.97.3 y anteriores
• MobileHMI: versión 10.97.3 y anteriores
• Hyper Historian: versión 10.97.3 y anteriores
• AnalytiX: versión 10.97.3 y anteriores
• MC Works64: todas las versiones
• GENESIS: versión 11.02 y anteriores

Solución:

No hay ninguna actualización pendiente. Se recomienda seguir las indicaciones de mitigación propuestas por el fabricante

Vulnerabilidad en productos de Helmholz

Se ha detectado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a una atacante obtener datos en texto plano.

Recursos afectados:

Los siguientes dispositivos, en su versión 1.12.015 de firmware y anteriores:

• FLEXtra FLAT PROFINET-Switch 16-Port
• FLEXtra FLAT PROFINET-Switch 4-Port
• FLEXtra FLAT PROFINET-Switch 8-Port
• FLEXtra IP67 PROFINET-Switch 8-Port

Solución:

Actualizar a la última versión: 1.12.100.

Vulnerabilidad crítica en FortiClientEMS de Fortinet

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir ejecutar código o comandos no autorizados mediante solicitudes manipuladas.

Recursos afectados:

FortiClientEMS 7.4: versiones desde la 7.4.5 a las 7.4.6.

Solución:

Actualizar a la próxima versión 7.4.7 o superior.

Múltiples vulnerabilidades en productos de CISCO

Se han detectado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante remoto no autenticado ejecutar comandos arbitrarios, omitir la autenticación y obtener acceso al sistema como administrador.

Recursos afectados:

• Cisco SSM On-Prem, en las versiones comprendidas entre 9-202502 a 9-202510
• 5000 Series Enterprise Network Compute Systems (ENCS), versión 4.15 y anteriores
• Catalyst 8300 Series Edge uCPE, versiones 4.16 y versiones anteriores y 4.18
• UCS C-Series M5 Rack Servers in standalone mode, versiones 4.2 y versiones anteriores y 4.3
• UCS C-Series M6 Rack Servers in standalone mode, 4.2 y versiones anteriores, 4.3, 6.0
• UCS E-Series Servers M3, versión 3.2 y versiones anteriores
• UCS E-Series Servers M6, versión 4.15 y anteriores

Los dispositivos Cisco basados en servidores UCS Serie C son vulnerables si exponen la interfaz de Cisco IMC. Esto incluye los siguientes productos afectados.

• Application Policy Infrastructure Controller (APIC) Servers
• Business Edition 6000 and 7000 Appliances
• Catalyst Center Appliances
• Cisco Telemetry Broker Appliances
• Cloud Services Platform (CSP) 5000 Series
• Common Services Platform Collector (CSPC) Appliances
• Connected Mobile Experiences (CMX) Appliances
• Connected Safety and Security UCS Platform Series Servers
• Cyber Vision Center Appliances
• Expressway Series Appliances
• HyperFlex Edge Nodes
• HyperFlex Nodes in HyperFlex Datacenter without Fabric Interconnect (DC-No-FI) deployment mode
• IEC6400 Edge Compute Appliances
• IOS XRv 9000 Appliances
• Meeting Server 1000 Appliances
• Nexus Dashboard Appliances
• Prime Infrastructure Appliances
• Prime Network Registrar Jumpstart Appliances
• Secure Endpoint Private Cloud Appliances
• Secure Firewall Management Center Appliances
• Secure Malware Analytics Appliances
• Secure Network Analytics Appliances
• Secure Network Server Appliances
• Secure Workload Servers

Solución:

Se recomienda actualizar los productos a las siguientes versiones:

• Cisco SSM On-Prem a la versión 9-202601
• 5000 Series Enterprise Network Compute Systems (ENCS), versión 4.15.5
• Catalyst 8300 Series Edge uCPE, versión 4.18.3 o migrar a una versión fija
• UCS C-Series M5 Rack Servers in standalone mode, 4.3(2.260007) o migrar a una versión fija
• UCS C-Series M6 Rack Servers in standalone mode, 4.3(6.260017), 6.0(1.250174) o migrar a una versión fija
• UCS E-Series Servers M3, versión 3.2.17
• UCS E-Series Servers M6, versión 4.15.3

Vulnerabilidad crítica en SAML SSO de Drupal

Se ha detectado 1 vulnerabilidad de severidad crítica en el módulo de Drupal SAML SSO, cuya explotación podría permitir a un atacante omitir la autenticación.

Recursos afectados:

Módulo SAML SSO, versiones anteriores a la 3.1.4.

Solución:

Instalar la versión 3.1.4 o superior.

Múltiples vulnerabilidades en Tanzu de VMware

Se ha publicado un aviso de seguridad con 11 vulnerabilidades, 1 de severidad crítica, 5 altas y 5 medias, cuya explotación podrían poner en riesgo en componente MySQL para Kubernetes.

Recursos afectados:

VMware Tanzu para MySQL 2.0.1 en Kubernetes.

Solución:

Actualizar MySQL a la versión 2.0.2

Múltiples vulnerabilidades en productos de MB connect line

Se han detectado 5 vulnerabilidades, 1 de severidad crítica, 3 alta y 1 media, cuya explotación podría permitir la ejecución de código en remoto, inyección SQL y la fuga de información.

Recursos afectados:

• MB connect line mbCONNECT24, firmware19.4 y anteriores.
• mymbCONNECT24, firmware19.4 y anteriores.

Solución:

Actualizar el producto a la versión de firmware 2.19.5.

Vulnerabilidad en M2M Baade

Se ha detectado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante modificar el encabezado y, potencialmente, ejecutar código arbitrario en el contexto del daemon ubus. 

Recursos afectados:

Los siguientes productos en su versión de firmware 3.22 con Baade Linux en versiones anteriores a la 4.65:

• 1xCOM desde 2018
• 4xCOM

Solución:

Actualizar OpenWrt a la versión 24.10.4 o superior.

Múltiples vulnerabilidades en NetModule de Belden

Se han detectado 2 vulnerabilidades de severidades altas, cuya explotación podrían permitir a un atacante provocar una escritura de un byte cero antes del búfer asignado y ejecutar código remoto.

Recursos afectados:

NetModule Router Software, en la versión 5.0.0.101 y todas las anteriores.

Solución:

Se recomienda actualizar a la versión 5.0.0.102 o posterior.

[Actualización 06/04/2026] Vulnerabilidad crítica en productos de Synology

Se ha detectado 1 vulnerabilidad crítica que afecta a DiskStation Manager (DSM), cuya explotación podría permitir a atacantes remotos no autenticados ejecutar comandos arbitrarios.

Recursos afectados:

• DSM versión 7.3
• DSM versión 7.2.2
• DSM versión 7.2.1
• DSMUC versión 3.1

Solución:

Se recomienda actualizar los productos a las siguientes versiones o desactivar el servicio Telnet para reducir el riesgo.

• 3.2-86009-3 o superior
• 2.2-72806-8 o superior
• 2.1-69057-11 o superior

[Actualización 06/04/2026]

• Actualizar DSMUC 3.1 a la versión 3.1.5-23082 o superior.

Vulnerabilidad crítica en HTTP Undertow de HPE

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir comprometer el sistema mediante diversos vectores de ataque.

Recursos afectados:

HPE Telco Network Function Virtualization Orchestrator v7.5.0 y anteriores.

Solución:

Actualizar HPE Telco Network Function Virtualization Orchestrator a la v7.5.1.

Vulnerabilidad crítica en PX4 Autopilot

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante ejecutar comandos de shell arbitrarios sin autenticación criptográfica.

Recursos afectados:

Autopilot v1.16.0.

Solución:

Se recomienda habilitar la firma de mensajes MAVLink 2.0 como mecanismo de autenticación para todos los enlaces de comunicación que no sean USB.

Vulnerabilidad crítica en Remote Spectrum Monitor de Anritsu

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a atacantes con acceso a la red alterar los ajustes del funcionamiento, obtener información sensible de las señales o interrumpir la disponibilidad del dispositivo.

Recursos afectados:

Todas las versiones de los siguientes modelos del producto Remote Spectrum Monitor están afectadas:

• MS27100A
• MS27101A
• MS27102A
• MS27103A

Solución:

Se recomienda desplegar el producto en entornos de red seguros.

Múltiples vulnerabilidades en V-SFT de FUJI Electric

Se han reportado 5 vulnerabilidades de severidades altas, cuya explotación podría permitir a un atacante poder realizar desbordamientos de búfer basado en la pila y la lectura fuera de límites.

Recursos afectados:

V-SFT versión 6.2.10.0 y anteriores.

Solución:

Se recomienda actualizar el software en base a las especificaciones del fabricante.