BLOG

Categorías

Secure&Magazine

Alertas de seguridad – Enero 2026

Secure&IT » Ciberataques y alertas de seguridad » Alertas de seguridad – Enero 2026

Múltiples vulnerabilidades en Evaluación de Desempeño de Quatuor

Se han publicado 12 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante extraer información sensible de la base de datos mediante canales externos, sin que la aplicación afectada devuelva los datos directamente, comprometiendo la confidencialidad de la información almacenada.

Recursos afectados:

Evaluación de Desempeño (EDD).

Solución:

La vulnerabilidad ha sido resuelta en la última versión del aplicativo.

 

Múltiples vulnerabilidades en Omada Controllers de TP-Link

Se han detectado 5 vulnerabilidades, 1 de severidad alta, 3 medias y 1 baja, cuya explotación podrían permitir a un atacante tener control administrativo, eludir la verificación secundaria y cambiar la contraseña del usuario, enumerar la información, entre otras acciones.Recur

Recursos afectados:

  • Omada Controllers, versiones anteriores a la 6.0.
  • Software (Win/Linux), Cloud, OC Series (OC200/OC220/OC300/OC400) versiones anteriores a 6.0.0.x.
  • Gateways:
    • ER605 v2.0 versiones anteriores a la 2.3.2 Compilación20251029 Rel.12727
    • ER7206 v2.0 versiones anteriores a la 2.2.2 Compilación20250724 Rel.11109
    • ER7406 versiones anteriores a la 1.2.2 Compilación 20250724 Rel.11109;
    • ER707-M2 versiones anteriores a la 1.3.1 Compilación 20251009 Rel.67687
    • ER7412-M2 versiones anteriores a la 1.1.0 Compilación 20251015 Rel.63594
    • ER8411 versiones anteriores a la 1.3.5 Compilación 20251028 Rel.06811
    • ER706W, ER706W-4G, ER706W-4G 2.0, ER706WP-4G, ER703WP-4G-Outdoor versiones anteriores a la 1.2.1 Compilación 20250821 Rel.80909
    • DR3220v-4G versiones anteriores a la 1.1.0 Compilación 20250801 Rel.81473
    • DR3650v, DR3650v-4G versiones anteriores a la 1.1.0 Compilación 20250801 Rel.81753
    • ER701-5G-Outdoor versiones anteriores a la 1.0.0 Versión 20250826 Rel.68862
    • ER605W 2.0 versiones anteriores a la 2.0.2 Compilación 20250723 Rel.39048
    • ER7212PC 2.0 versiones anteriores a la 2.2.1 Compilación 20251027 Rel.75129
    • FR365 versiones anteriores a la 1.1.10 Compilación 20250626 Rel.81746
    • G36W-4G versiones anteriores a la 1.1.5 Compilación 20250710 Rel.62142
  • Access Points, en sus respectivas versiones (ver enlace en las referencias):
    • EAP Series (EAP655-Wall, EAP660 HD, EAP620 HD, EAP610, EAP623/625 Outdoor HD, EAP772/770/723/773/783/787, EAP725-Wall
    • Bridge Kits
    • Beam Bridge
    • EAP603GP/EAP615GP/EAP625GP/EAP610GP/EAP650GP, EAP653/EAP650-Outdoor/EAP230/EAP235/EAP603-Outdoor/EAP653 UR/EAP650-Desktop/EAP615-Wall/EAP100-Bridge KIT)

Solución:

Para todos los recursos afectados se recomienda actualizar su respectivo firmware a la versión más reciente.

 

Vulnerabilidad crítica en el servidor github-kanban-mcp

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto ejecutar código arbitrario en las instalaciones afectadas de github-kanban-mcp-server.

Recursos afectados:

Github-kanban-mcp-server, última versión.

Solución:

No hay ninguna solución por el momento. Se recomienda restringir la interacción con el producto como única medida de mitigación.

 

Múltiples vulnerabilidades en productos Weintek

Se ha reportado 2 vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante manipular los privilegios a nivel de cuenta o llevar a cabo una escalada de privilegios.

Recursos afectados:

Las siguientes versiones del servicio HMI EasyWeb de la serie cMT X de Weintek se ven afectadas:

  • cMT3072XH
  • cMT3072XH(T)
  • cMT-SVRX-820
  • cMT-CTRL01

Solución:

Actualizar los productos afectados a la última versión disponible.

 

Vulnerabilidad crítica en Hubitat Elevation

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante no autenticado escalar privilegios y controlar los dispositivos más allá de su alcance permitido.

Recursos afectados:

Los siguientes productos de los hubs de Hubitat Elevation, en sus versiones de firmware anteriores a la 2.4.2.157:

  • Elevation C3
  • Elevation C4
  • Elevation C5
  • Elevation C7
  • Elevation C8
  • Elevation C8 pro

Solución:

Actualizar el producto a la versión de firmware 2.4.2.157.

 

Vulnerabiliidad en iSTAR de Johnson Controls

Se ha detectado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante provocar una falla en el sistema operativo de la máquina que aloja la herramienta iSTAR.

Recursos afectados:

La herramienta de utilidad de configuración iSTAR (ICU) en la versión 6.9.7 y anteriores están afectadas.

Solución:

El fabricante recomienda actualizar el producto a la versión 6.9.8.

 

Vulnerabilidad en DIAView de Delta Electronics

Se ha detectado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante ejecutar código arbitrario. 

Recursos afectados:

DIAView versiones anteriores a V4.2.0, incluida.

Solución:

El fabricante recomienda actualizar el firmware a la versión v4.4 o posterior.

 

Vulnerabilidad crítica en productos de Cisco

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto no autenticado previamente, ejecutar comandos arbitrarios en el sistema operativo subyacente y obtener acceso de usuario para, posteriormente, elevar privilegios como root.

Recursos afectados:

La vulnerabilidad afecta a los siguientes productos, independientemente de la configuración que tengan. Las versiones comprometidas en estos productos son: 12.5, 14.0 y 15.0.

  • Unified CM (CSCwr21851)
  • Unified CM SME (CSCwr21851)
  • Unified CM IM&P (CSCwr29216)
  • Webex Calling Dedicated Instance (CSCwr21851)
  • Unity Connection (CSCwr29208)

Solución:

Se recomienda encarecidamente migrar los productos a una versión fija o actualizar.

  • Para las versiones 12.5 se recomienda migrar a una versión fija.
  • Para las versiones 14.0 se recomienda actualizar a la versión 14SU5 o aplicar archivo de parche.
  • Para las versiones 15.0 se recomienda actualizar la versión 15SU4 (marzo de 2026) o aplicar el archivo de parche.

 

Vulnerabilidad crítica en telnetd

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto eludir los mecanismos normales de autenticación y obtener acceso como root.

Recursos afectados:

GNU InetUtils telnetd: versiones comprendidas entre la 1.9.3 y la 2.7 (ambas incluidas).

Solución:

Actualizar GNU InetUtils a una versión que incorpore los parches de seguridad publicados.

 

Múltiples vulnerabilidades en MedDream PACS Premium

Se han detectado 21 vulnerabilidades, 1 de severidad crítica, cuya explotación podría permitir a un atacante leer archivos arbitrarios del servidor mediante una solicitud HTTP manipulada.

Recursos afectados:

MedDream PACS Premium, versión 7.3.6.870

Solución:

Actualizar el producto a la última versión.

 

[Actualización 22/01/2026] Vulnerabilidad crítica en productos de Fortinet

  • Se ha reportado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante, no autenticado, evitar la autenticación de inicio de sesión SSO de FortiCloud a través de un mensaje SAML diseñado.
  • Recursos afectados:
  • Las versiones de los siguientes productos están afectadas:
  • FortiOS:
    • De 7.6.0 a 7.6.3
    • De 7.4.0 a 7.4.8
    • De 7.2.0 a 7.2.11
    • De 7.0.0 a 7.0.17
  • FortiProxy:
    • De 7.4.0 a 7.4.10
    • De 7.2.0 a 7.2.14
    • De 7.0.0 a 7.0.21
  • FortiSwitchManager:
    • De 7.2.0 a 7.2.6
    • De 7.0.0 a 7.0.5
  • FortiWeb:
    • 0.0
    • De 7.6.0 a 7.6.4
    • De 7.4.0 a 7.4.9

Solución:

Se recomienda desactivar temporalmente la función de inicio de sesión de FortiCloud (si esta está habilitada) hasta actualizar a una versión no afectada.

Actualizar los productos a las versiones en las que la vulnerabilidad está corregida.

  • FortiOS, versiones 7.6.4, 7.4.9, 7.2.12, 7.0.18 o superiores.
  • FortiProxy, versiones 7.6.4, 7.4.11, 7.2.15, 7.0.22 o superiores.
  • FortiSwitchManager, versiones 7.2.7, 7.0.6 o superiores.
  • FortiWeb, versiones 8.0.1, 7.6.5, 7.4.10 o superiores.

[Actualización 22/01/2026]

La última versión del producto no resuelve por completo el problema.

 

Actualización de seguridad de Atlassian

Se han detectado 34 vulnerabilidades, de las cuales 32 son de severidad alta y 2 son de severidad crítica con dependencias de terceros.

Recursos afectados:

  • Bamboo Data Center y Server, versiones:
    • de 12.0.0 hasta 12.0.1
    • de 11.0.0 hasta 11.0.8
    • de 10.2.0 hasta 10.2.12 (LTS)
    • de 10.1.0 hasta 10.1.1
    • de 10.0.0 hasta 10.0.3
    • de 9.6.0 hasta 9.6.20 (LTS)
  • Bitbucket Data Center y Server, versiones:
    • de 10.0.0 hasta 10.0.2
    • de 9.6.0 hasta 9.6.5
    • de 9.5.0 hasta 9.5.2
    • de 9.4.0 hasta 9.4.14 (LTS)
    • de 9.3.0 hasta 9.3.2
    • de 9.2.0 hasta 9.2.1
    • de 9.1.0 hasta 9.1.1
    • 0.1
    • de 8.19.0 hasta 8.19.25 (LTS)
    • de 8.18.0 hasta 8.18.1
  • Confluence Data Center y Server, versiones:
    • de 10.2.0 hasta 10.2.1 (LTS)
    • de 10.1.0 hasta 10.1.2
    • de 10.0.2 hasta 10.0.3
    • de 9.5.1 hasta 9.5.4
    • de 9.4.0 hasta 9.4.1
    • de 9.3.1 hasta 9.3.2
    • de 9.2.0 hasta 9.2.12 (LTS)
    • de 9.1.0 hasta 9.1.1
    • de 9.0.1 hasta 9.0.3
    • de 8.9.0 hasta 8.9.8
    • de 8.8.0 hasta 8.8.1
    • de 8.5.6 hasta 8.5.31 (LTS)
    • de 7.19.19 hasta 7.19.30 (LTS)
  • Crowd Data Center y Server, versiones:
    • de 7.1.0 hasta 7.1.2
    • de 6.3.0 hasta 6.3.3
  • Jira Data Center y Server, versiones:
    • 2.0
    • de 11.1.0 hasta 11.1.1
    • de 11.0.0 hasta 11.0.1
    • de 10.7.1 hasta 10.7.4
    • de 10.6.0 hasta 10.6.1
    • de 10.5.0 hasta 10.5.1
    • de 10.4.0 hasta 10.4.1
    • de 10.3.0 hasta 10.3.15 (LTS)
    • de 10.2.0 hasta 10.2.1
    • de 10.1.1 hasta 10.1.2
    • de 10.0.0 hasta 10.0.1
    • de 9.17.0 hasta 9.17.5
    • de 9.16.0 hasta 9.16.1
    • 15.2
    • de 9.14.0 hasta 9.14.1
    • de 9.13.0 hasta 9.13.1
    • de 9.12.3 hasta 9.12.25 (LTS)
  • Jira Service Management Data Center y Server:
    • 3.0 (LTS)
    • 2.0
    • de 11.1.0 hasta 11.1.1
    • de 11.0.0 hasta 11.0.1
    • de 10.7.1 hasta 10.7.4
    • de 10.6.0 hasta 10.6.1
    • de 10.5.0 hasta 10.5.1
    • de 10.4.0 hasta 10.4.1
    • de 10.3.0 hasta 10.3.16 (LTS)
    • de 10.2.0 hasta 10.2.1
    • de 10.1.1 hasta 10.1.2
    • de 10.0.0 hasta 10.0.1
    • de 5.17.0 hasta 5.17.5
    • de 5.16.0 hasta 5.16.1
    • 15.2
    • de 5.14.0 hasta 5.14.1
    • de 5.13.0 hasta 5.13.1
    • de 5.12.3 hasta 5.12.28 (LTS)

Solución:

Las vulnerabilidades han sido resueltas en las siguientes versiones:

  • Bamboo Data Center y Server:
    • 0.2 Data Center Only
    • de 10.2.13 hasta 10.2.14 (LTS), recomendado Data Center Only
    • de 9.6.21 hasta 9.6.22 (LTS) Data Center Only
  • Bitbucket Data Center y Server:
    • de 10.1.1 hasta 10.1.4 Data Center Only
    • de 9.4.15 hasta 9.4.16 (LTS), recomendado Data Center Only
    • de 8.19.26 hasta 8.19.27 (LTS) Data Center Only
  • Confluence Data Center y Server:
    • 2.2 (LTS), recomendado Data Center Only
    • 2.13 (LTS) Data Center Only
  • Crowd Data Center y Server:
    • 1.3, recomendado Data Center Only
    • 3.4 Data Center Only
  • Jira Data Center y Server:
    • de 11.3.0 hasta 11.3.1 (LTS), recomendado Data Center Only
    • 2.1 Data Center Only
    • 3.16 (LTS) Data Center Only
    • de 9.12.26 hasta 9.12.31 (LTS)
  • Jira Service Management Data Center y Server:
    • 3.1 (LTS), recomendado Data Center Only
    • 2.1 Data Center Only
    • 3.16 (LTS) Data Center Only
    • de 5.12.29 hasta 5.12.31 (LTS)

 

 

Actualización de seguridad de Oracle

Se han publicado 158 vulnerabilidades de distintas severidades, entre ellas 12 críticas.

Recursos afectados:

  • JD Edwards EnterpriseOne Tools, versiones 9.2.0.0-9.2.26.0
  • MySQL Cluster, versiones 7.6.0-7.6.36, 8.0.0-8.0.44, 8.4.0-8.4.7, 9.0.0-9.5.0
  • MySQL Connectors, versiones 9.0.0-9.5.0
  • MySQL Enterprise Backup, versiones 8.0.0-8.0.44, 8.4.0-8.4.7, 9.0.0-9.5.0
  • MySQL Server, versiones 8.0.0-8.0.44, 8.4.0-8.4.7, 9.0.0-9.5.0
  • MySQL Workbench, versiones 8.0.0-8.0.45
  • Oracle Access Manager, versiones 12.2.1.4.0, 14.1.2.1.0
  • Oracle Agile PLM, versión 9.3.6
  • Oracle Agile Product Lifecycle Management for Process, versión 6.2.4
  • Oracle APEX Sample Applications, versiones 23.2.0, 23.2.1, 24.1.0, 24.2.0, 24.2.1
  • Oracle Application Testing Suite, versión 13.3.0.1
  • Oracle Autovue for Agile Product Lifecycle Management, versión 21.1.0
  • Oracle AutoVue Office, versión 21.1.0
  • Oracle Banking Branch, versiones 14.5.0.0.0, 14.6.0.0.0, 14.7.0.0.0, 14.8.0.0.0
  • Oracle Banking Cash Management, versiones 14.5.0.15.0, 14.6.0.11.0, 14.7.0.9.0, 14.8.0.1.0, 14.8.1.0.0
  • Oracle Banking Corporate Lending Process Management, versiones 14.5.0.0.0, 14.6.0.0.0, 14.7.0.0.0
  • Oracle Banking Liquidity Management, versiones 14.5.0.14.0, 14.5.0.15.0, 14.6.0.11.0, 14.7.0.9.0, 14.8.0.1.0, 14.8.1.0.0
  • Oracle Banking Supply Chain Finance, versiones 14.5.0.15.0, 14.6.0.11.0, 14.7.0.9.0, 14.8.0.1.0, 14.8.1.0.0
  • Oracle BI Publisher, versiones 7.6.0.0.0, 8.2.0.0.0
  • Oracle Business Intelligence Enterprise Edition, versiones 7.6.0.0.0, 8.2.0.0.0, 12.2.1.4.0
  • Oracle Business Process Management Suite, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle Cloud Native Session Border Controller, versión 25.1.0
  • Oracle Coherence, versiones 12.2.1.4.0, 14.1.1.0.0
  • Oracle Commerce Guided Search, versión 11.4.0
  • Oracle Commerce Platform, versión 11.4.0
  • Oracle Communications ASAP, versiones 7.4.0, 7.4.1
  • Oracle Communications Billing and Revenue Management, versiones 15.0.0.0.0, 15.0.1.0.0, 15.1.0.0.0
  • Oracle Communications BRM – Elastic Charging Engine, versiones 15.0.0.0, 15.0.1.0, 15.1.0.0
  • Oracle Communications Diameter Signaling Router, versiones 9.0.0, 9.0.1, 9.1.0
  • Oracle Communications Element Manager, versiones 9.0.0-9.0.4
  • Oracle Communications IP Service Activator, versión 7.5.0
  • Oracle Communications Network Analytics Data Director, versiones 24.2.0-24.2.1, 24.3.0, 25.1.100, 25.1.200, 25.2.100
  • Oracle Communications Network Integrity, versiones 7.3.6, 7.4.0, 7.5.0, 8.0.0
  • Oracle Communications Operations Monitor, versiones 5.2, 6.0, 6.1
  • Oracle Communications Order and Service Management, versiones 7.5.0, 8.0.0
  • Oracle Communications Policy Management, versión 15.0.0.0
  • Oracle Communications Pricing Design Center, versiones 15.0.0.0.0, 15.0.1.0.0, 15.1.0.0.0
  • Oracle Communications Session Border Controller, versiones 9.3.0, 10.0.0
  • Oracle Communications Session Report Manager, versiones 9.0.0-9.0.4
  • Oracle Communications Unified Assurance, versiones 6.1.0-6.1.1
  • Oracle Communications Unified Inventory Management, versiones 7.7.0, 7.8.0, 8.0.0
  • Oracle Data Integrator, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle Database Server, versiones 19.3-19.29, 21.3-21.20, 23.4.0-23.26.0
  • Oracle E-Business Suite, versiones 12.2.3-12.2.15
  • Oracle Enterprise Communications Broker, versiones 4.1.0, 4.2.0, 5.0.0
  • Oracle Enterprise Manager Base Platform, versiones 13.5, 24.1
  • Oracle Essbase, versión 21.8.0.0.0
  • Oracle Financial Services Compliance Studio, versión 2.6.0
  • Oracle Financial Services Model Management and Governance, versión 8.1.3.2
  • Oracle FLEXCUBE Investor Servicing, versiones 14.5.0.15.0, 14.7.0.8.0, 14.8.0.1.0
  • Oracle FLEXCUBE Universal Banking, versiones 14.0.0.0.0-14.8.0.0.0
  • Oracle Fusion Middleware, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle Global Lifecycle Management NextGen OUI Framework, versión 15.1.1.0.0
  • Oracle GoldenGate, versiones 19.1.0.0.0-19.29.0.0.251021, 21.3-21.20, 23.4-23.10
  • Oracle GoldenGate Big Data and Application Adapters, versiones 19.1.0.0.0-19.1.0.0.20, 21.3-21.20, 23.4-23.10
  • Oracle GoldenGate Stream Analytics, versiones 19.1.0.0.0-19.1.0.0.13
  • Oracle GoldenGate Studio, versiones 23.8.0-23.9.0
  • Oracle GoldenGate Veridata, versiones 12.2.1.4.0-12.2.1.4.250531
  • Oracle GraalVM Enterprise Edition, versión 21.3.16
  • Oracle GraalVM for JDK, versiones 17.0.17, 21.0.9
  • Oracle Graph Server and Client, versiones 24.4.4, 25.4.0
  • Oracle Health Sciences Information Manager, versión 4.0.0
  • Oracle Healthcare Data Repository, versiones 8.2.0.5, 8.2.0.6
  • Oracle Healthcare Master Person Index, versiones 5.0.0.0-5.0.9.5
  • Oracle Hospitality OPERA 5 Property Services, versiones 5.6.19, 5.6.25, 5.6.26, 5.6.27
  • Oracle HTTP Server, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle HTTP Server
  • Oracle Weblogic Server Proxy Plug-in, versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0
  • Oracle Hyperion Calculation Manager, versión 11.2.23
  • Oracle Hyperion Financial Close Management, versión 11.2.23
  • Oracle Hyperion Financial Management, versión 11.2.23
  • Oracle Hyperion Financial Reporting, versión 11.2.23
  • Oracle Hyperion Infrastructure Technology, versión 11.2.23
  • Oracle Hyperion Planning, versión 11.2.23
  • Oracle Hyperion Profitability and Cost Management, versión 11.2.23
  • Oracle Identity Manager, versiones 12.2.1.4.0, 14.1.2.1.0
  • Oracle Identity Manager Connector, versiones 12.2.1.4.0, 14.1.2.1.0
  • Oracle Insurance Policy Administration J2EE, versiones 11.3.1-12.0.6
  • Oracle Java SE, versiones 8u471, 8u471-b50, 8u471-perf, 11.0.29, 17.0.17, 21.0.9, 25.0.1
  • Oracle JDK Mission Control, versión 9.1.1
  • Oracle Key Vault, versiones 21.1.0.0.0-21.11.0.0.0
  • Oracle Life Sciences Central Coding, versión 7.0.1.0
  • Oracle Life Sciences Central Designer, versión 7.0.1.0
  • Oracle Managed File Transfer, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle Middleware Common Libraries and Tools, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle NoSQL Database, versiones 1.5, 1.6
  • Oracle Outside In Technology, versiones 8.5.7, 8.5.8
  • Oracle Planning and Budgeting Cloud Service, versión 25.4.7
  • Oracle Retail Advanced Inventory Planning, versiones 15.0.3, 16.0.3
  • Oracle Retail Allocation, versiones 15.0.3, 16.0.3
  • Oracle Retail Bulk Data Integration, versiones 16.0.3, 19.0.1
  • Oracle Retail Financial Integration, versiones 16.0.3, 19.0.1
  • Oracle Retail Fiscal Management, versión 14.2
  • Oracle Retail Integration Bus, versiones 16.0.3, 19.0.1
  • Oracle Retail Predictive Application Server, versiones 15.0.3, 16.0.3
  • Oracle Retail Service Backbone, versiones 16.0.3, 19.0.1
  • Oracle Retail Xstore Office, versión 25.0.1
  • Oracle Retail Xstore Point of Service, versiones 20.0.5, 21.0.4, 22.0.2, 23.0.2, 24.0.1, 25.0.0
  • Oracle Secure Backup, versiones 19.1.0.0.0-19.1.0.1.0
  • Oracle Security Service, versión 12.2.1.4.0
  • Oracle Service Bus, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle SOA Suite, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle Solaris, versiones 10, 11
  • Oracle TimesTen In-Memory Database, versiones 22.1.1.1.0-22.1.1.35.0
  • Oracle Unified Directory, versiones 12.2.1.4.0, 14.1.2.1.0
  • Oracle Utilities Application Framework, versiones 4.3.0.5.0, 4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.4.0.4.0, 4.5.0.0.0, 4.5.0.1.1, 4.5.0.1.3, 4.5.0.2.0, 25.4, 25.10
  • Oracle Utilities Network Management System, versiones 2.5.0.1.16, 2.5.0.2.10, 2.6.0.1.9, 2.6.0.2.5
  • Oracle Utilities Testing Accelerator, versiones 7.0.0.0.6, 7.0.0.1.4, 25.4.0.0.1
  • Oracle VM VirtualBox, versiones 7.1.14, 7.2.4
  • Oracle WebCenter Enterprise Capture, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle WebCenter Sites, versiones 12.2.1.4.0, 14.1.2.0.0
  • Oracle WebLogic Server, versiones 12.2.1.4.0, 14.1.1.0.0, 14.1.2.0.0, 15.1.1.0.0
  • Oracle Weblogic Server Proxy Plug-in, versiones 12.2.1.4.0, 14.1.1.0.0
  • Oracle Zero Data Loss Recovery Appliance Software, versiones 23.1.0-23.1.202509
  • Oracle ZFS Storage Appliance Kit, versión 8.8
  • PeopleSoft Enterprise HCM Human Resources, versión 9.2
  • PeopleSoft Enterprise PeopleTools, versiones 8.60, 8.61, 8.62
  • PeopleSoft Enterprise SCM Purchasing, versión 9.2
  • Primavera Gateway, versiones 21.12.0-21.12.16
  • Primavera P6 Enterprise Project Portfolio Management, versiones 21.12.0.0-21.12.21.5, 22.12.0.0-22.12.20.0, 23.12.0.0-23.12.17.0, 24.12.0.0-24.12.11.0
  • Primavera Unifier, versiones 21.12.0-21.12.17, 22.12.0-22.12.15, 23.12.0-23.12.16, 24.12.0-24.12.12, 25.12.0
  • Service Delivery Platform, versión 14.1.2.0.0
  • Siebel Applications, versiones 17.0-25.11

Solución:

Es necesario aplicar los parches correspondientes, según los productos afectados.

 

Vulnerabilidad crítica en Zoom Node Meetings

Se ha detectado 1 vulnerabilidad en su aplicación Zoom Node Meetings que puede permitir a un atacante ejecutar código en remoto.

Recursos afectados:

  • Zoom Node Meetings Hybrid (ZMH), módulo MMR: versiones anteriores a 5.2.1716.0
  • Zoom Node Meeting Connector (MC), módulo MMR: versiones anteriores a 5.2.1716.0

Solución:

Actualizar a la versión 5.2.1716.0.

 

Múltiples vulnerabilidades en productos de Rockwell Automation

Se han publicado publicado 13 vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante provocar una condición de denegación de servicio (DoS).

Recursos afectados:

  • ArmorStart® LT, versiones V2.002 y anteriores.
  • ArmorStart® LT, versiones V2.002 y anteriores.
  • CompactLogix® 5370, versiónes  34.013 y 35.012 y anteriores a estas y versión 36.011.
  • ControlLogix® Redundancy Enhanced Module, todas las versiones.

Solución:

Rockwell Automation recomienda actualizar los productos afectados a las siguientes versiones:

  • Verve Asset Manager: el componente se ha eliminado por completo en la versión 1.42.
  • CompactLogix® 5370: actualizar a la versión 37.011 y posteriores, versión 34.016, versión 35.015, y versión 36.012.
  • ControlLogix® Redundancy Enhanced Module: actualizar a la versión de firmware 1756-RM3.

De momento no hay una solución disponible para las vulnerabilidades que afectan a las distintas versiones de ArmorStart® LT.

 

Múltiples vulnerabilidades en productos de B&R

Se han detectado 2 vulnerabilidades, 1 de severidad crítica y 1 de severidad alta, cuya explotación podría permitir a un atacante hacerse pasar por un ente de confianza o bloquear el producto.

Recursos afectados:

  • Automation Studio, versiones anteriores a la 6.5
  • Automation Runtime, versiones anteriores a 6.5.0 e inferiores a R4.93

Solución:

Según el producto, actualizarlo a la versión indicada:

  • Automation Studio, versión 6.5
  • Automation Runtime 6, versión 6.5 o superior
  • Automation Runtime 4, versión R4.93 o superior

 

Múltiples vulnerabilidades en productos de Flexense

Se han publicado 11 vulnerabilidades: 5 de severidad alta y 6 de severidad media, que afectan a Sync Breeze Enterprise Server y Disk Pulse Enterprise de Flexense, soluciones para la sincronización de archivos y el monitoreo de discos.

Recursos afectados:

  • Sync Breeze Enterprise Server v10.4.18
  • Disk Pulse Enterprise v10.4.18

Solución:

No hay solución reportada por el momento.

 

Vulnerabilidad crítica en productos de ABB

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante omitir la autenticación de los sistemas afectados y apagar los mismos, modificar sus configuraciones e instalar y ejecutar código arbitrario.

Recursos afectados:

  • ABB Ability OPTIMAX 6.1
  • ABB Ability OPTIMAX 6.2
  • ABB Ability OPTIMAX 6.3 in version before v6.3.1-251120
  • ABB Ability OPTIMAX 6.4 in version before v6.4.1-251120

Solución:

Se recomienda actualizar los productos a todos aquellos clientes que utilicen versiones anteriores de OPTIMAX v6.4 y OPTIMAX v6.3 a las siguientes:  

  • ABB Ability OPTIMAX versión 6.4.1-251120 o posteriores
  • ABB Ability OPTIMAX versión 6.3.1-251120 o posteriores

 

Múltiples vulnerabilidades en DIAView de Delta Electronics

Se han publicado 2 vulnerabilidades de severidades críticas, cuya explotación podrían permitir a un atacante omitir la autenticación y tener acceso a datos confidenciales.

Recursos afectados:

DIAView, versiones anteriores a 4.3.1, incluida.

Solución:

Se recomienda actualizar el producto a la versión 4.4 o posterior.

 

[Actualización 19/01/2026] Vulnerabilidad crítica en productos de Cisco

Se ha publicado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante ejecutar comandos arbitrarios con privilegios de root en el sistema operativo subyacente de un dispositivo afectado.

Recursos afectados:

  • Cisco Secure Email Gateway, tanto físico como virtual
  • Dispositivos Cisco Secure Email
  • Web Manager, tanto físicos como virtualesc

[Actualización 19/01/2026]

También están afectados los dispositivos que ejecuten una versión vulnerable de Cisco AsyncOS Software.

  • Cisco AsyncOS Software:
    • Versiones 14.2 y anteriores
    • 0
    • 5
    • 0
  • Cisco AsyncOS Software:
    • Versión 15.0 y anteriores
    • 5
    • 0

Solución

[Actualización 19/01/2026]

Actualizar los productos a alguna de las siguientes versiones:

  • Cisco AsyncOS Software:
    • Para versiones 14.2 y anteriores – Actualizar a 15.0.5-016
    • Para 15.0 – Actualizar a 15.0.5-016
    • Para 15.5 – Actualizar a 15.5.4-012
    • Para 16.0 – Actualizar a 16.0.4-016
  • Cisco AsyncOS Software:
    • Para versión 15.0 y anteriores – Actualizar a 15.0.2-007
    • Para 15.5 – Actualizar a 15.5.4-007
    • Para 16.0 – Actualizar a 16.0.4-010

 

[Actualización 19/01/2026] Vulnerabilidad crítica en HPE OneView

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir la ejecución de código en remoto.

[Actualización 08/01/2026] Esta vulnerabilidad podría estar siendo explotada.

Recursos afectados:

HPE OneView, todas las versiones anteriores a v11.00.

Solución:

Se recomienda actualizar,HPE OneView v11.00 o posterior tiene esta vulnerabilidad corregida.

 

Múltiples vulnerabilidades en productos de Juniper

Se han publicado 23 boletines de seguridad, 2 de ellos de severidad crítica que resuelven un total de 15 vulnerabilidades, 2 de severidad crítica, 8 alta, 4 media y 1 baja. La explotación de estas vulnerabilidades podría dar lugar a la explotación de código en remoto.

Recursos afectados:

  • Juniper Networks Junos Space, versiones anteriores a la 24.1R5.
  • Juniper Networks Policy Enforcer, versiones anteriores a la 24.1R3.

Solución:

Actualizar los productos a su última versión.

 

Múltiples vulnerabilidades en productos de Schneider Electric

Se han publicado 3 vulnerabilidades, 2 de severidad alta y 1 de severidad media, cuya explotación podrían permitir ejecutar código arbitrario o una escalada de privilegios.

Recursos afectados:

  • EcoStruxure™ Process Expert (CVE-2025-13905): versiones anteriores a 2025
  • EcoStruxure™ Process Expert para AVEVA System Platform (CVE-2025-13905): todas las versiones afectadas
  • EcoStruxure Power Build Rapsody software(CVE-2025-13844). Versiones anteriores a las siguientes e incluidas
    • FR V2.8.1
    • INT V2.8.6
    • ES V2.8.5
    • BEL (NL) V2.8.3
    • BEL (FR) V2.8.8
  • EcoStruxure Power Build Rapsody software(CVE-2025-13845). Versiones anteriores a las siguientes e incluidas
    • FR V2.8.1.0300
    • ESP V2.8.5.0200
    • PT V2.8.7.0100
    • BEL(FR) V2.8.8.0100
    • BEL(EN) V2.8.3.0100
    • INT(EN) V2.8.4.0300
    • NL V2.8.2.0000

Solución:

Actualizar a las siguientes versiones:

  • Versión 2025 de EcoStruxure™ Process Expert.
  • Versiones FR V2.8.1.0401, INT V2.8.6.200, ES V2.8.5.0301, BEL(NL) V2.8.3.0201, BEL(FR) V2.8.8.0201 de EcoStruxure Power Build Rapsody.
  • Versiones FR V2.8.1.0401, ESP V2.8.5.0301, PT V2.8.7.0101, BEL(FR) V2.8.8.0201, BEL(EN) V2.8.3.0201, INT(EN) V2.8.4.0401, NL V2.8.2.000 de EcoStruxure Power Build Rapsody.

 

Múltiples vulnerabilidades en productos de Fortinet

Se han publicado 6 avisos de seguridad, 2 críticos, 1 alto, 3 medios y 1 bajo, cuya explotación podría permitir a un atacante no autenticado ejecutar comandos o código no autorizado mediante solicitudes TCP manipuladas y obtener la configuración del dispositivo.

Recursos afectados:

Para los avisos críticos los productos afectados son:

  • FortiSIEM 7.4, versión 7.4.0
  • FortiSIEM 7.3, versiones desde la 7.3.0 hasta la 7.3.4
  • FortiSIEM 7.2, versiones desde la 7.2.0 hasta la 7.2.6
  • FortiSIEM 7.1, versiones desde la 7.1.0 hasta la 7.1.8
  • FortiSIEM 7.0, versiones desde la 7.0.0 hasta la 7.0.4
  • FortiSIEM 6.7, versiones desde la 6.7.0 hasta la 6.7.10
  • FortiFone 7.0, versiones desde la 7.0.0 hasta la 7.0.1
  • FortiFone 3.0, versiones desde la 3.0.13 hasta la 3.0.23

La vulnerabilidad no afecta a los nodos Collector, únicamente a los nodos Super y Worker.

Solución:

Actualizar el producto a las siguientes versiones:

  • FortiSIEM 7.4, versión 7.4.1 o posterior
  • FortiSIEM 7.3, versión 7.3.5 o posterior
  • FortiSIEM 7.2, versión 7.2.7 o posterior
  • FortiSIEM 7.1, versión 7.1.9 o posterior
  • FortiSIEM 7.0, migrar a una versión con solución
  • FortiSIEM 6.7, migrar a una versión con solución
  • FortiFone 7.0, versión 7.0.2 o posterior
  • FortiFone 3.0, versión 3.0.24 o posterior

Para los productos FortiSIEM, como medida de contingencia se puede limitar el acceso al puerto phMonitor (7900).

 

Actualización de seguridad de SAP

Se han publicado 17 vulnerabilidades, 4 de severidad crítica, 4 de severidad alta, 7 de severidad media y 2 de severidad baja, cuya explotación podría permitir a un atacante explotar vulnerabilidades de Cross-Site Scripting (XSS), falta de comprobación de autorización, gestión insuficiente de las entradas, inyección de código, revelación de información, utilización de un algoritmo de cifrado obsoleto, ejecución de código en remoto, inyección SQL, inyección de comandos del Sistema Operativo, Cross-Site Request Forgery (CSRF), Open Redirect en SAP Supplier Relationship Management (SICF Handler en SRM Catalog) y otras.

Recursos afectados:

  • SAP S/4HANA Private Cloud y On-Premise (Financials – General Ledger), versiones S4CORE 102, 103, 104, 105, 106, 107, 108, 109.
  • SAP Wily Introscope Enterprise Manager (WorkStation), versión WILY_INTRO_ENTERPRISE 10.8.
  • SAP S/4HANA (Private Cloud y On-Premise), versiones S4CORE 102, 103, 104, 105, 106, 107, 108, 109.
  • SAP Landscape Transformation, versiones DMIS 2011_1_700, 2011_1_710, 2011_1_730, 2011_1_731, 2018_1_752, 2020.
  • SAP HANA database, versión HDB 2.00.
  • SAP Application Server para ABAP y SAP NetWeaver RFCSDK, versiones KRNL64UC 7.53, NWRFCSDK 7.50, KERNEL 7.53, 7.54, 7.77, 7.89, 7.93, 9.16.
  • SAP Fiori App (Intercompany Balance Reconciliation), versiones UIAPFI70 500, 600, 700, 800, 900, 901, 902, S4CORE 102, 103, 104, 105, 106, 107, 108.
  • SAP NetWeaver Application Server ABAP y ABAP Platform, versiones SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 816.
  • SAP ERP Central Component y SAP S/4HANA (SAP EHS Management), versiones SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 605, 606, 617.
  • SAP NetWeaver Enterprise Portal, versión EP-RUNTIME 7.50.
  • SAP Business Connector, versión SAP BC 4.8.
  • SAP Supplier Relationship Management (SICF Handler en SRM Catalog), versiones SRM_SERVER 700, 701, 702, 713, 714.
  • SAP Fiori App (Intercompany Balance Reconciliation), versiones UIAPFI70 500, 600, 700, 800, 900, 901, 902, UIS4H 109.
  • SAP Fiori App (Intercompany Balance Reconciliation), versiones UIAPFI70 500, 600, 700, 800, 900, 901, 902, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, UIS4H 109.
  • Business Server Pages Application (Product Designer Web UI), versiones SAP_APPL 618, S4CORE 102, 103, 104, 105, 106, 107, 108, 109, EA-APPL 600, 602, 603, 604, 605, 606, 617.
  • SAP Identity Management, versiones IDM_CLM_REST_API 8.0, IDMIC 8.0.
  • NW AS Java UME User Mapping, versiones ENGINEAPI 7.50, SERVERCORE 7.50, UMEADMIN 7.50.

Solución:

Se recomienda visitar el portal de soporte y aplicar los parches de forma prioritaria.

 

Actualizaciones de seguridad de Microsoft

Se han publicado 112 vulnerabilidades, calificadas 80 como altas y 32 como medias.

Recursos afectados:

  • Azure Connected Machine Agent
  • Azure Core shared client library for Python
  • Capability Access Management Service (camsvc)
  • Connected Devices Platform Service (Cdpsvc)
  • Desktop Window Manager
  • Dynamic Root of Trust for Measurement (DRTM)
  • Graphics Kernel
  • Host Process for Windows Tasks
  • Inbox COM Objects
  • Microsoft Graphics Component
  • Microsoft Office
  • Microsoft Office Excel
  • Microsoft Office SharePoint
  • Microsoft Office Word
  • Printer Association Object
  • SQL Server
  • Tablet Windows User Interface (TWINUI) Subsystem
  • Windows Admin Center
  • Windows Ancillary Function Driver for WinSock
  • Windows Client-Side Caching (CSC) Service
  • Windows Clipboard Server
  • Windows Cloud Files Mini Filter Driver
  • Windows Common Log File System Driver
  • Windows DWM
  • Windows Deployment Services
  • Windows Error Reporting
  • Windows File Explorer
  • Windows HTTP.sys
  • Windows Hello
  • Windows Hyper-V
  • Windows Installer
  • Windows Internet Connection Sharing (ICS)
  • Windows Kerberos
  • Windows Kernel
  • Windows Kernel Memory
  • Windows Kernel-Mode Drivers
  • Windows LDAP – Lightweight Directory Access Protocol
  • Windows Local Security Authority Subsystem Service (LSASS)
  • Windows Local Session Manager (LSM)
  • Windows Management Services
  • Windows Media
  • Windows NDIS
  • Windows NTFS
  • Windows NTLM
  • Windows Remote Assistance
  • Windows Remote Procedure Call
  • Windows Remote Procedure Call Interface Definition Language (IDL)
  • Windows Routing and Remote Access Service (RRAS)
  • Windows SMB Server
  • Windows Secure Boot
  • Windows Server Update Service
  • Windows Shell
  • Windows TPM
  • Windows Telephony Service
  • Windows Virtualization-Based Security (VBS) Enclave
  • Windows WalletService
  • Windows Win32K – ICOMP

Solución:

Instalar la actualización de seguridad correspondiente. 

 

Vulnerabilidad crítica en net-snmp de Debian

Se ha detectado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante ejecutar código arbitrario y provocar denegaciones de servicio (DoS).

Recursos afectados:

  • Para la distribución antigua estable (Bookworm) están comprometidas todas las versiones anteriores a 5.9.3+dfsg-2+deb12u1.
  • Para la distribución estable (trixie) están comprometidas todas las versiones anteriores a 5.9.4+dfsg-2+deb13u1.

Solución:

Se recomienda actualizar los paquetes net-snmp en las distribuciones afectadas a su correspondiente última versión.

  • Para la distribución antigua estable (Bookworm) actualizar a la versión 5.9.3+dfsg-2+deb12u1.
  • Para la distribución estable (trixie) actualizar a la versión 5.9.4+dfsg-2+deb13u1.

 

Vulnerabilidad crítica en Telco Service Orchestrator de HPE

Se ha publicado 1 vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante provocar un desbordamiento del búfer.

Recursos afectados:

HPE Telco Service Orchestrator: versiones anteriores a v4.2.12.

Solución:

Actualizar a la versión v4.2.12 o posterior de HPE Telco Service Orchestrator.

 

Múltiples vulnerabilidades en productos de AVEVA

Se han detectado 7 vulnerabilidades, 4 de severidad crítica y 3 de severidad alta. En caso de ser explotadas, podrían permitir a un atacante no autenticado ejecutar código remoto y arbitrario, escalar privilegios, y acceder o filtrar datos confidenciales.

Recursos afectados:

AVEVA Process Optimization (anterioremente denominado ROMeo) en versiones anteriores a 2024.1, incluida.

Solución:

Se recomienda actualizar a la versión de AVEVA Process Optimization 2025 o superior desde su página web.

 

Vulnerabilidad en productos de Phoenix Contact

Se ha reportado 1 vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante con altos privilegios inyectar código en el endpoint de configuración de carga de los enrutadores de red comprometidos.

Recursos afectados:

  • Las versiones anteriores a 3.08.8 de los firmwares:
    • TC ROUTER 3002T-3G
    • TC ROUTER 2002T-3G
    • TC ROUTER 3002T-4G
    • TC ROUTER 3002T-4G GL
    • TC ROUTER 3002T-4G VZW
    • TC ROUTER 3002T-4G ATT
    • TC ROUTER 2002T-4G
  • Las versiones anteriores a 3.07.7 de los firmwares:
    • CLOUD CLIENT 1101T-TX/TX
    • TC CLOUD CLIENT 1002-TX/TX
  • Todas las versiones anteriores a 3.08.8 del firmware TC CLOUD CLIENT 1002-4G ATT
  • Todas las versiones anteriores a 1.06.23 del firmware TC ROUTER 5004T-5G EU

Solución:

Se recomienda actualizar los firmwares afectados a sus respectivas últimas versiones.

  • Versión 3.08.8:
    • TC ROUTER 3002T-3G
    • TC ROUTER 2002T-3G
    • TC ROUTER 3002T-4G
    • TC ROUTER 3002T-4G GL
    • TC ROUTER 3002T-4G VZW
    • TC ROUTER 3002T-4G ATT
    • TC ROUTER 2002T-4G
  • Versión 3.07.7:
    • CLOUD CLIENT 1101T-TX/TX
    • TC CLOUD CLIENT 1002-TX/TX
  • Versión 3.08.8 del firmware TC CLOUD CLIENT 1002-4G ATT
  • Versión 1.06.23 del firmware TC ROUTER 5004T-5G EU

A su vez, se recomienda restringir el acceso administrativo al dispositivo.

 

Múltiples vulnerabilidades en UPS Companion de EATON

Se han detectado 2 vulnerabilidades, 1 de severidad alta y 1 de severidad media, cuya explotación podrían permitir a un atacante ejecutar código arbitrario en los productos afectados.

Recursos afectados:

Todas las versiones de EATON UPS Companion anteriores a la 3.0.

Solución:

Se recomienda actualizar el software a la última versión. Para más información, consulte las mitigaciones propuestas por el desarrollador.

 

Múltiples vulnerabilidades en productos de Hikvision

Se han detectado 2 vulnerabilidades de severidad alta que de ser explotadas podrían provocar un mal funcionamiento del dispositivo.

Recursos afectados:

  • Partial Access Control Series Products (CVE-2025-66176)
  • Partial NVR, DVR, CVR, IPC Series Products‌ (CVE-2025-66177)

Solución:

Los usuarios pueden descargar parches/actualizaciones en el sitio web oficial de Hikvision.

 

Actualización de seguridad de Siemens

Se han publicado 6 vulnerabilidades, 1 de severidad crítica y 5 de severidad alta, cuya explotación podría permitir a un atacante remoto, no autenticado, omitir la autenticación y hacerse pasar por un usuario legítimo.

Recursos afectados:

  • Industrial Edge Devices
  • Industrial Edge Device Kit, todas las versiones:
    • Del producto Industrial Edge Device Kit – arm64 V1.5 al Industrial Edge Device Kit – arm64 V1.25
    • Del producto Industrial Edge Device Kit – x86-64 V1.5 al Industrial Edge Device Kit – x86-64 V1.25
  • TeleControl Server Basic todas las versiones anteriores a V3.1.2.4
  • SIMATIC ET 200AL IM 157-1 PN (6ES7157-1AB00-0AB0) todas las versiones
  • SIMATIC ET 200MP IM 155-5 PN HF (incl. SIPLUS variants)
  • SIMATIC ET 200SP IM 155-6 MF HF (6ES7155-6MU00-0CN0) todas las versiones
  • SIMATIC ET 200SP IM 155-6 PN HA (incl. SIPLUS variants) versiones anteriores a V1.3
  • SIMATIC ET 200SP IM 155-6 PN R1 (6ES7155-6AU00-0HM0) versiones anteriores a V6.0.1
  • SIMATIC ET 200SP IM 155-6 PN/2 HF (incl. SIPLUS variants)
  • SIMATIC ET 200SP IM 155-6 PN/3 HF (6ES7155-6AU30-0CN0) versiones anteriores a V4.2.2
  • SIMATIC PN/MF Coupler (6ES7158-3MU10-0XA0) todas las versiones
  • SIMATIC PN/PN Coupler (incl. SIPLUS NET variants)
  • RUGGEDCOM APE1808 todas las versiones

Solución:

Se recomienda proteger el acceso a la red de los dispositivos con mecanismos adecuados. Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens.

 

Múltiples vulnerabilidades en productos de Imaster

Se han detectado 4 vulnerabilidades, 1 de severidad crítica, 2 de severidad alta y 1 de severidad media, que afectan a MEMS Events CRM y Patient Records Management System de Imaster.

Recursos afectados:

  • MEMS Events CRM
  • Patient Records Management System

Solución:

No hay solución reportada por el momento.

 

Múltiples vulnerabilidades en productos de Viafirma

Se han detectado 2 vulnerabilidades de severidad alta, que afectan a Documents, Documents Compose y Inbox de Viafirma.

Recursos afectados:

  • Viafirma Inbox, versiones anteriores a 4.5.27
  • Viafirma Documents, versiones anteriores a 3.7.139
  • Viafirma Documents Compose, versiones anteriores a 1.9.2

Solución:

Actualizar a las siguientes versiones:

  • Viafirma Inbox v4.5.27
  • Viafirma Documents v3.7.139
  • Viafirma Documents Compose v1.9.2

 

Múltiples vulnerabilidades en Apex Central de Trend Micro

Se ha informado de tres vulnerabilidades en Apex Centra de Trend Micro (una crítica y 2 altas) que podrían permitir a un atacante remoto, no autenticado, cargar una DLL controlada en un ejecutable clave y crear condiciones de denegación de servicio (DoS).

Recursos afectados:

Apex Central (local), versiones anteriores a la compilación 7190, no incluida.

Solución:

Se recomienda actualizar el producto a la versión de compilación 7190. Además, Trend Micro recomienda a los usuarios que obtengan la última versión del producto si hay una más reciente disponible.

 

Vulnerabilidad crítica en archivos de React Router

Se ha reportado una vulnerabilidad de severidad crítica en archivos de React Router. El fallo podría permitir a un atacante provocar que la sesión intente leer o escribir desde una ubicación fuera del directorio de archivos de sesión especificado.

Recursos afectados:

  • @react-router/nodo: desde la versión 7.0.0 hasta la versión 7.9.3, ambas incluidas
  • @remix-run/deno y @remix-run/nodo: versiones anteriores a la 2.17.1, incluida

Solución:

Se recomienda actualizar a las versiones:

  • @react-router/nodo versión 7.9.4
  • @remix-run/deno y @remix-run/nodo versión 2.17.2

 

Vulnerabilidad crítica en n8n

Se ha informado sobre una vulnerabilidad de severidad crítica en n8n (CVE-2026-21858). El fallo podría permitir a un atacante acceder a archivos en el servidor subyacente.

Recursos afectados:

Versiones anteriores a 1.121.0 de n8n.

Solución:

Es necesario actualizar a la versión 1.121.0 o posteriores.

 

Vulnerabilidad en productos de D-Link

Se ha publicado una vulnerabilidad de severidad crítica en productos de D-Link. El fallo (CVE-2026-0625) podría permitir a un atacante inyectar y ejecutar comandos arbitrarios de forma remota.

 Recursos afectados:

  • DIR-600
  • DIR-608
  • DIR-610
  • DIR-611
  • DIR-615
  • DNS-320/325/345
  • DIR-905
  • DSL-2640T
  • DSL-2740
  • DSL-500
  • DSL-500G
  • DSL-502G

Solución:

Los productos asociados con estas vulnerabilidades ya no reciben actualizaciones ni mantenimiento de seguridad. D-Link Systems Inc. recomienda retirar los dispositivos antiguos afectados y reemplazarlos con productos compatibles que reciban actualizaciones de firmware.

 

Múltiples vulnerabilidades en productos de Mitsubishi Electric

Se han reportado 16 vulnerabilidades en productos de Mitsubishi Electric, 1 de severidad crítica y 11 altas. Los fallos podrían permitir a un atacante acceder, divulgar o manipular información confidencial, crear condiciones de denegación de servicio (DoS), ejecutar código remoto malicioso o eludir la autenticación.

Recursos afectados:

  • MC Works64 : versión 4.04E y anteriores
  • GENESIS64, ICONICS Suite, GENESIS32 y MC Works64, en todas las versiones
  • BizViz versiones anteriores a 9.7, incluida

Solución:

Se recomienda actualizar a la última versión estable de los productos afectados.

 

Múltiples vulnerabilidades en WebPro SNMP Card PowerValue de ABB Solutions

Se han reportado tres vulnerabilidades de severidad alta que podrían permitir a un atacante, con acceso a la red local, acceder al sistema de manera no autorizada y poder realizar ataques DoS incapacitando el buen funcionamiento de los recursos.

 

Recursos afectados:

Todas las versiones anteriores a 1.1.8.k, incluida, de los siguientes productos:

  • WebPro SNMP Card PowerValue
  • WebPro SNMP Card PowerValue UL

Solución:

Se recomienda actualizar a la versión 1.1.8.p de WebPro SNMP card PowerValue.

 

Vulnerabilidad en n8n

Se ha informado sobre una vulnerabilidad de severidad crítica en n8n (CVE-2026-21877). El fallo podría provocar una ejecución de código remoto.

 Recursos afectados:

  • Versiones a partir de la 0.123.0, incluida
  • Versiones anteriores a la 1.121.3

Solución:

Es necesario actualizar a la versión 1.121.3

 

Vulnerabilidad en Archer BE400 V1 de Tp-Link

Se ha informado sobre una vulnerabilidad en el producto Archer BE400 de Tp-Link, causada por la desreferencia de un puntero nulo. El fallo (CVE-2025-14631) podría permitir a un atacante llevar a cabo una denegación de servicio (DoS) al activar el reinicio del dispositivo.

Recursos afectados:

Archer BE400 en todas las versiones anteriores a 1.1.0 Compilación 20250710 rel.14914, incluida.

Solución:

Es necesario actualizar a las versiones:

  • Archer BE400 V1.60
  • Archer BE400 V1

 

Vulnerabilidad crítica en Android

Se ha comunicado una vulnerabilidad de severidad crítica en Android (CVE-2025-54957). El fallo afecta a los componentes Dolby y podría provocar una escritura fuera de límites.

 

Recursos afectados:

Subcomponente Códec DD+.

Solución:

Es necesario actualizar a la última versión disponible.

 

Múltiples vulnerabilidades en proyectores de Sharp Display Solutions

Se han reportado cinco vulnerabilidades, 4 de severidad crítica y 1 alta, en proyectores de Sharp Display Solutions. Los fallos podrían permitir a un atacante obtener acceso a los archivos, ejecutar acciones arbitrarias, ejecutar un firmware no autorizado y obtener información de conexión de la red.

Recursos afectados:

Los siguientes productos están afectados por CVE-2025-11540, CVE-2025-11541, CVE-2025-11542 y CVE-2025-11543:

  • NP-P502HL-2, NP-P502WL-2
  • NP-P502HLG-2
  • NP-P502WLG
  • NP-P502H, NP-P502W
  • NP-P452H, NP-P452W
  • NP-P502HG, NP-P502WG
  • NP-P452HG, NP-P452WG
  • NP-P502H+, NP-P502W+
  • NP-CR5450H, NP-CR5450W
  • NP-P502HL, NP-P502WL
  • NP-P502HLG, NP-P502WLG
  • NP-P502HL+, NP-P502WL+
  • NP-CR5450HL, NP-CR5450WL
  • NP-UM352W
  • NP-UM352WG
  • NP-UM352W+

* Los productos afectados por CVE-2025-11544 y CVE-2025-11545 se pueden consultar en la página del fabricante.

 

Solución:

Se recomienda utilizar los productos en una intranet segura protegida por un firewall y no conectar el producto a Internet.

 Para ciertos productos afectados por la vulnerabilidad CVE-2025-11544, están disponibles las siguientes actualizaciones:

  • NP-P627UL
  • NP-P627ULG
  • NP-P627UL+
  • NP-P547UL
  • NP-P547ULG
  • NP-P547UL+
  • NP-P607UL+
  • NP-CG6600UL
  • NP-H6271UL
  • NP-H5471UL
  • NP-P627ULH
  • NP-P547ULH

Para ciertos productos afectados por la vulnerabilidad CVE-2025-11545, están disponibles las siguientes actualizaciones:

  • NP-PA1705UL-W, NP-PA1705UL-W+, NP-PA1705UL-B
  • NP-PA1705UL-B+, NP-PA1505UL-W, NP-PA1505UL-W+
  • NP-PA1505UL-B, NP-PA1505UL-B+
  • NP-PV800UL-W, NP-PV800UL-W+, NP-PV800UL-B
  • NP-PV800UL-B+, NP-PV710UL-W, NP-PV710UL-W+
  • NP-PV710UL-B, NP-PV710UL-B+, NP-PV800UL-W1
  • NP-PV800UL-B1, NP-PV710UL-W1, NP-PV710UL-B1
  • NP-CP8900UL, NP-PV800UL-B1G, NP-PV710UL-B1G
  • NP-PV800UL-WH, NP-PV710UL-WH
  • NP-P627UL, NP-P627ULG, NP-P627UL+, NP-P547UL
  • NP-P547ULG, NP-P547UL+, NP-P607UL+, NP-CG6600UL
  • NP-H6271UL, NP-H5471UL, NP-P627ULH, NP-P547ULH
  • NP-PA1004UL-W, NP-PA1004UL-WG, NP-PA1004UL-W+
  • NP-PA1004UL-WH, NP-PA1004UL-B, NP-PA1004UL-BG
  • NP-PA1004UL-B+, NP-PA804UL-W, NP-PA804UL-WG
  • NP-PA804UL-W+, NP-PA804UL-WH, NP-PA804UL-B
  • NP-PA804UL-BG, NP-PA804UL-B+, NP-PA1004UL-BH
  • NP-PA804UL-BH, NP-PA1004UL-W-1, NP-PA1004UL-B-1
  • NP-PA804UL-W-1, NP-PA804UL-B-1
error: ¡Lo sentimos! El contenido de esta web está protegido.