Qilin y Warlock están recurriendo a BYOVD (Bring Your Own Vulnerable Driver) para desactivar defensas a nivel kernel y dejar inoperativas más de 300 herramientas EDR. En Qilin destaca una cadena con DLL sideloading y un ‘EDR killer‘ en memoria, mientras que Warlock combina la técnica con explotación de Microsoft SharePoint Server sin parchear y […] La entrada Qilin y Warlock adoptan BYOVD para tumbar más de 300 EDR desde el kernel se publicó primero en Una Al Día. Read More
Múltiples vulnerabilidades en productos de CISCO Lun, 06/04/2026 - 10:36 Aviso Recursos Afectados Cisco SSM On-Prem, en las versiones comprendidas entre 9-202502 a 9-202510;5000 Series Enterprise Network Compute Systems (ENCS), version 4.15 and previous;Catalyst 8300 Series Edge uCPE, Versions 4.16 y versiones anteriores y 4.18;UCS C-Series M5 Rack Servers in standalone mode, Versions 4.2 y versiones anteriores y 4.3;UCS C-Series M6 Rack Servers in standalone mode, 4.2 and earlier versions, 4.3, 6.0;UCS E-Series Servers M3, version 3.2 and earlier versions;UCS E-Series Servers M6, version 4.15 y anteriores.Los dispositivos Cisco basados en servidores UCS Serie C son vulnerables si exponen la interfaz de Cisco IMC. Esto incluye los siguientes productos afectados.Application Policy Infrastructure Controller (APIC) Servers;Business Edition 6000 and 7000 Appliances;Catalyst Center Appliances;Cisco Telemetry Broker Appliances;Cloud Services Platform (CSP) 5000 Series;Common Services Platform Collector (CSPC) Appliances;Connected Mobile Experiences (CMX) Appliances;Connected Safety Read More
Múltiples vulnerabilidades en Tanzu de VMware Lun, 06/04/2026 - 10:04 Aviso Recursos Afectados VMware Tanzu para MySQL 2.0.1 en Kubernetes. Descripción VMware ha publicado un aviso de seguridad con 11 Vulnerabilities: 1 of critical severity, 5 Discharges and 5 Half. Estas vulnerabilidades podrían poner en riesgo en componente MySQL para Kubernetes. Identificador INCIBE-2026-257 Solución Actualizar MySQL a la versión 2.0.2 Detalle CVE-2026-33186: vulnerabilidad de severidad crítica de omisión de autorización debido a la falta de una barra diagonal inicial en :path. Esta vulnerabilidad podría ser explotada por un atacante que pueda enviar tramas HTTP/2 sin procesar con :path encabezados mal enviados directamente al servidor gRPC.Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2026-0861, CVE-2026-4111, CVE-2025-15367, CVE-2025-15366 y CVE-2026-1299.Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2025-15281, CVE-2025-14831, CVE-2026-0915, CVE-2026-0865 y CVE-2025-9820. 5 - Crítica Read More
Omisión de autenticación en el módulo SAML SSO de Drupal Lun, 06/04/2026 - 10:02 Aviso Recursos Afectados Módulo SAML SSO, versions prior to the 3.1.4. Descripción Tim de Jong ha reportado una vulnerabilidad de severidad crítica en el módulo de Drupal SAML SSO, cuya explotación podría permitir a un atacante omitir la autenticación. Identificador INCIBE-2026-258 Solución Instalar la versión 3.1.4 or higher. Detalle CVE-2026-5343: el módulo SAML SSO permite realizar el inicio de sesión único (SSO) basado en el protocolo SAML en un sitio de Drupal. El módulo no bloquea el acceso de forma adecuada, lo que da lugar a una vulnerabilidad que permite eludir la autenticación. 5 - Crítica Listado de referencias SAML SSO - Service Provider - Critical - Authentication bypass - SA-CONTRIB-2026-031 Etiquetas Actualización Autenticación CMS Vulnerabilidad CVE Identificador CVE Severidad Explotación Fabricante CVE-2026-5343 Crítica No Drupal Read More
Omisión de autenticación en FortiClientEMS de Fortinet Lun, 06/04/2026 - 09:42 Aviso Recursos Afectados FortiClientEMS 7.4: versions from the 7.4.5 at 7.4.6. Descripción Simo Kohonen de Defused y Nguyen Duc Anh han informado sobre una vulnerabilidad de severidad crítica que, de ser explotara, podría permitir ejecutar código o comandos no autorizados mediante solicitudes manipuladas.Fortinet ha observado que esta vulnerabilidad se está explotando en la práctica. Identificador INCIBE-2026-255 Solución Actualizar a la próxima versión 7.4.7 or higher. Detalle CVE-2026-35616: control de acceso inadecuado en FortiClient EMS. Esta vulnerabilidad podría permitir a un atacante, Unauthenticated, ejecutar código o comandos no autorizados mediante solicitudes manipuladas. Listado de referencias API authentication and authorization bypass Etiquetas Acceso no autorizado Actualización Autenticación Vulnerabilidad CVE Identificador CVE Severidad Explotación Fabricante CVE-2026-35616 Crítica Si Fortinet Read More
Fortinet ha lanzado un hotfix de emergencia para CVE-2026-35616, una vulnerabilidad crítica en FortiClient EMS que ya se está explotando. El fallo permite a atacantes no autenticados eludir controles de la API y lograr ejecución de código o comandos en instalaciones afectadas, por lo que parchear de inmediato es prioritario.v La gestión centralizada de endpoints suele concentrar permisos y visibilidad en un único […] La entrada Fortinet corrige una vulnerabilidad crítica explotada activamente en FortiClient EMS (CVE-2026-35616) was first published in Una Al Día. Read More
Google ha publicado una actualización de Chrome para corregir el zero-day CVE-2026-5281, un fallo use-after-free en Dawn/WebGPU que está siendo explotado activamente. La recomendación es actualizar cuanto antes a Chrome 146.0.7680.177/178 (según el sistema) and, en entornos gestionados, priorizar el despliegue por su inclusión en el catálogo KEV de CISA. Google ha lanzado una actualización […] La entrada Google parchea un zero-day de Chrome en WebGPU (CVE-2026-5281) que ya se está explotando se publicó primero en Una Al Día. Read More
The critical vulnerability CVE-2026-21643 in Fortinet FortiClient EMS is being actively exploited, an SQL injection that could allow unauthenticated attacks and lead to command/code execution. The main recommendation is to update FortiClient EMS 7.4.4 a 7.4.5 or higher and reduce the exposure of the web GUI to the Internet. A critical vulnerability identified as CVE-2026-21643 […] The entry Active exploitation of a critical SQL injection in Fortinet FortiClient EMS (CVE-2026-21643) was first published in Una Al Día. Read More
Incorrect input validation in HPE HTTP Undertow Wed, 01/04/2026 - 09:10 Notice Affected Resources HPE Telco Network Function Virtualization Orchestrator v7.5.0 and earlier. Description HPE has reported a critical severity vulnerability that could allow the system to be compromised through various attack vectors. Identifier INCIBE-2026-251 Solution Update HPE Telco Network Function Virtualization Orchestrator to v7.5.1. Detail CVE-2025-12543: vulnerability in the core of the HTTP Undertow server, used in WildFly, JBoss EAP and other Java applications. The Undertow library does not properly validate the Host header in incoming HTTP requests. Como resultado, requests containing malformed or malicious Host headers are processed without being rejected, allowing attackers to poison caches, realizar escaneos de red internos o secuestrar sesiones de usuario. 5 - Crítica Listado de referencias HPESBNW05026 rev.2 - Multiple Vulnerabilities in HPE Read More
Atacantes comprometieron la publicación de Axios en npm y subieron dos versiones maliciosas (axios@1.14.1 y axios@0.30.4) durante una ventana de pocas horas. Esas versiones añadían una dependencia fraudulenta (plain-crypto-js) que ejecutaba un instalador con capacidad de descargar y desplegar un RAT en Windows, macOS y Linux. Un incidente de software supply chain ha afectado al […] La entrada Versiones maliciosas de Axios en npm distribuyen un RAT multiplataforma mediante una dependencia fraudulenta se publicó primero en Una Al Día. Read More
Cross-Site Scripting (XSS) reflejado en Anon Proxy Server Mar, 31/03/2026 - 15:28 Aviso Recursos Afectados Anon Proxy Server v0.104. Descripción INCIBE ha coordinado la publicación de tres vulnerabilidades de severidad media que afectan a Anon Proxy Server, servidor proxy rápido con caché HTTP, HTTPS y SOCKS. The vulnerabilities have been discovered by Rafael Pedrero.These vulnerabilities have been assigned the following codes, CVSS Base Score v4.0, vectores CVSS y el tipo de vulnerabilidad CWE:Desde CVE-2025-41355 hasta CVE-2025-41357: CVSS v4.0: 5.1 | CVSS AV:N/AC:L/AT:N/PR:N/IU:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N | CWE-79 Identificador INCIBE-2026-247 Solución Estas vulnerabilidades han sido solucionadas en la última versión. Detalle Vulnerabilidad de tipo Cross-Site Scripting (XSS) reflejado en Anon Proxy Server v0.104. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviándole una URL maliciosa. This vulnerability can be exploited to steal the user's sensitive data, Read More
Inyección SQL en la aplicación de Umami Software Mar, 31/03/2026 - 13:17 Aviso Recursos Afectados Aplicación de Umami, version 3.0.2. Descripción INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a la aplicación de Umami Software, una plataforma de análisis. La vulnerabilidad ha sido descubierta por Hector Ruiz Ruiz & NaxusAI.A esta vulnerabilidad se le ha asignado el siguiente código, CVSS Base Score v4.0, CVSS vector and CWE vulnerability type:CVE-2026-4317: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/YES:N/SA:H | CWE-89 Identificador INCIBE-2026-246 Solución La vulnerabilidad ha sido solucionada por el equipo de Umami Software en la versión 3.0.3. Detalle CVE-2026-4317: SQL injection vulnerability (SQLi) in the Umami Software web application due to a poorly sanitized parameter, which could allow an authenticated attacker to execute arbitrary SQL commands on the database. Read More
International cooperation manages to dismantle one of the largest global cybercrime networks 31/03/2026 Sea, 31/03/2026 - 12:32 The operation against LeakBase took place in early March 2026 when international authorities carried out a coordinated action to dismantle one of the largest active cybercrime forums on the internet. According to the official statement from Europol and the United States Department of Justice, LeakBase had been operating since 2021 as an open platform where cybercriminals exchanged stolen data. With more than 142.000 usuarios registrados y cientos de millones de credenciales filtradas, el foro se había convertido en un elemento clave dentro del ecosistema global del cibercrimen. LeakBase funcionaba como un mercado negro accesible incluso fuera de la Dark Web, donde se compraban y vendían contraseñas, datos personales, información bancaria y herramientas de hacking. La operación internacional, en la que participaron fuerzas de seguridad de Read More
Múltiples vulnerabilidades en Teampass Mar, 31/03/2026 - 11:30 Aviso Recursos Afectados Teampass, versions prior to 3.1.5.16. Description INCIBE has coordinated the publication of 2 Critical Severity Vulnerabilities, que afectan a Teampass, un gestor de contraseñas. Las vulnerabilidades han sido descubiertas por Julen Garrido Estévez (B3xal).These vulnerabilities have been assigned the following codes, CVSS Base Score v4.0, CVSS vector and the CWE vulnerability type of each vulnerability:CVE-2026-3106 y CVE-2026-3107: CVSS v4.0: 9.1 | CVSS: AV:N/AC:L/AT:N/PR:N/IU:N/VC:H/VI:H/VA:N/SC:N/YES:N/SA:N | CWE-79 Identificador INCIBE-2026-244 Solución Las vulnerabilidades se han corregido en la versión 3.1.5.24. Detalle CVE-2026-3106: Cross-Site Scripting (XSS) ciego en Teampass, versions prior to the 3.1.5.16, dentro de la funcionalidad de inicio de sesión del gestor de contraseñas en el parámetro 'contraseña' del formulario de inicio de sesión 'redacted/index.php'. Durante los intentos fallidos de autenticación, la aplicación no limpia ni Read More
Credenciales almacenadas en Redmine Mar, 31/03/2026 - 10:09 Aviso Recursos Afectados Redmine todas las versiones anteriores a 6.0.7, 5.1.10 and 5.0.14. Descripción INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta al formulario de acceso de Redmine, una aplicación web flexible para la gestión de proyectos desarrollada en Ruby. La vulnerabilidad ha sido descubierta por David Rubio Lora.A esta vulnerabilidad se le ha asignado el siguiente código, CVSS Base Score v4.0, CVSS vector and CWE vulnerability type:CVE-2026-1836: CVSS v4.0: 5.3 | CVSS AV:L/AC:L/AT:P/PR:L/UI:A/VC:H/VI:H/VA:N/SC:N/YES:N/SA:N | CWE-257 Identificador INCIBE-2026-245 Solución La vulnerabilidad ha sido solucionada por el equipo de Redmine en las versiones 6.0.7, 5.1.10 and 5.0.14. Detalle CVE-2026-1836: el sistema almacena el nombre de usuario y la contraseña del formulario de inicio de sesión después de remitir la solicitud. Esto podría permitir a un Read More
Múltiples vulnerabilidades en Millie chat de 1millionbot Mar, 31/03/2026 - 09:06 Aviso Recursos Afectados Millie chat, versions prior to the 3.6.0. Description INCIBE has coordinated the publication of 2 High-severity vulnerabilities, que afectan al chat Millie de 1millionbot, una plataforma de chatbots e IA. The vulnerabilities have been discovered by David Utón Amaya (m3n0sd0n4ld).These vulnerabilities have been assigned the following codes, CVSS Base Score v4.0, CVSS vector and the CWE vulnerability type of each vulnerability:CVE-2026-4399: CVSS v4.0: 8.7 | CVSS AV:N/AC:L/AT:N/PR:N/IU:N/VC:H/VI:N/VA:N/SC:N/YES:N/SA:N | CWE- 1427CVE-2026-4400: CVSS v4.0: 7.0 | CVSS AV:N/AC:H/AT:N/PR:N/IU:N/VC:N/VI:N/VA:N/SC:H/SI:H/SA:N | CWE- 639 Identificador INCIBE-2026-243 Solución Las vulnerabilidades han sido solucionadas por el equipo de 1millionbot en la versión 3.6.0. Detalle CVE-2026-4399: vulnerabilidad de Prompt Inyection en el chatbot Millie de 1millionbot que se produce cuando un usuario logra eludir las restricciones del chat Read More
En los últimos días se ha hecho pública una vulnerabilidad crítica en NLTK, una de las librerías más utilizadas en Python para procesamiento de lenguaje natural. Bajo el identificador CVE-2026-0848, este fallo introduce un riesgo serio en entornos donde se utilizan herramientas de análisis de texto o sistemas basados en inteligencia artificial. This vulnerability allows […] La entrada Cómo un fallo en una librería de Python puede comprometer sistemas de IA (CVE-2026-0848) was first published in Una Al Día. Read More
Investigadores de seguridad han descubierto un nuevo skimmer de pagos que utiliza canales de datos WebRTC para recibir payloads y exfiltrar información de tarjetas, logrando eludir los controles de seguridad tradicionales. A diferencia de los métodos habituales que emplean solicitudes HTTP o beacons de imágenes, este malware establece conexiones cifradas mediante el protocolo DTLS sobre […] La entrada Nuevo skimmer con WebRTC evade controles de seguridad y roba datos de pago en e-commerce se publicó primero en Una Al Día. Read More
CISA has added CVE-2026-33017 to the Known Exploited Vulnerabilities catalog (KEV) and warns that it is already being exploited to achieve Remote Code Execution (RCE) without authentication in Langflow. The main recommendation is to update to Langflow 1.9.0 or higher and avoid exposing the service to the Internet. The U.S. agency CISA has warned of active exploitation […] The CISA entry alerts of active exploitation of a critical flaw in Langflow that allows AI workflows to be hijacked was first published in Una Al Día. Read More
CyberStrikeAI emplea inteligencia artificial para lanzar ofensivas automatizadas contra sistemas Fortinet 26/03/2026 Thu, 26/03/2026 - 12:13 Entre los meses de enero y marzo de 2026, comenzaron a detectarse actividades anómalas dirigidas a firewalls empresariales. Las primeras alertas surgieron a mediados de enero por parte de equipos de respuesta a incidentes, que observaron un incremento inusual de accesos no autorizados a dispositivos FortiGate. However, no fue hasta principios de marzo de 2026 cuando investigaciones más profundas sacaron a la luz el uso de una herramienta basada en inteligencia artificial para automatizar estos ataques. Este contexto permite entender que el incidente no fue repentino, sino el resultado de una campaña progresiva y coordinada. CyberStrikeAI es una plataforma que integra múltiples herramientas ofensivas y utiliza modelos de inteligencia artificial para automatizar todas las fases de un ciberataque, desde el reconocimiento hasta la explotación Read More
CISA ha añadido cinco vulnerabilidades de Apple, Craft CMS y Laravel Livewire a su catálogo KEV por evidencia de explotación activa y ha ordenado a las agencias federales aplicar parches antes del 3 April 2026. La inclusión eleva la prioridad de mitigación también para organizaciones no federales, dado el riesgo de RCE y […] La entrada CISA incluye fallos de Apple, Craft CMS y Laravel en KEV por explotación activa y fija parcheo antes del 3 April 2026 was first published in Una Al Día. Read More
The Cisco Incident Response Team (PSIRT) has issued an extraordinary emergency patch to address a critical severity vulnerability (CVSS 10.0) in its Cisco Secure Firewall Management Center platform (FMC). The flaw, cataloged as CVE-2026-20131, allows an unauthenticated remote attacker to execute arbitrary commands with root privileges on the […] The entry Ransomware Interlock exploits critical Zero-Day in Cisco FMC (CVE-2026-20131) was first published in Una Al Día. Read More
Institutional response after the data incident at the University of Hawaii Cancer Center 24/03/2026 Sea, 24/03/2026 - 10:57 The case of the data leak at the University of Hawaii Cancer Center became public at the end of February 2026, when suspicious activity was detected in its systems. The institution officially announced the cyberattack on the 27 February 2026, tras completar una investigación preliminar sobre el alcance del incidente. En ese momento se confirmó que se trataba de un ataque de tipo ransomware dirigido a sistemas vinculados a investigación epidemiológica. La divulgación se produjo después de meses de análisis forense digital, lo que retrasó la notificación pública, pero permitió dimensionar mejor el impacto. El ataque comprometió bases de datos que contenían información sensible de aproximadamente 1,2 millones de personas, incluyendo participantes en estudios y Read More
Google strengthens global cybersecurity after dismantling an extensive digital espionage network 19/03/2026 Thu, 19/03/2026 - 12:17 The 25 February 2026, the company Google made public the dismantling of an extensive cyber espionage operation attributed to actors linked to China, which would have been active for almost a decade, since at least 2017. The information was initially disseminated through its Threat Intelligence team, the Google Threat Intelligence Group, and subsequently picked up by various international media. The fact that genuine company tools like Google Sheets were used to carry out covert and malicious activities, fue lo que atrajo particularmente la atención de la noticia. La operación fue reconocida como una de las más extensas en cuanto a su alcance geográfico y duración en los últimos años, impactando a diversos sectores clave. Google detectó Read More
Effective management of PayPal in a security incident 17/03/2026 Sea, 17/03/2026 - 16:23 The security incident related to PayPal dates back to a period between July and December 2025, although it was not detected until 12 de diciembre. The information was not made public until the end of February 2026, when the first news began to appear in cybersecurity media. The problem specifically affected its loan service, known as PayPal Working Capital, where a programming error allowed the exposure of sensitive data for several months. Unlike other security incidents, it was not a sophisticated external attack, sino de un fallo interno en el sistema. El fallo posibilitó la divulgación de información personal identificable de ciertos usuarios, incluyendo datos sumamente sensibles como direcciones, fechas de nacimiento y números de la Read More
Strengthening data security following the leak detected during Abu Dhabi Finance Week 12/03/2026 Thu, 12/03/2026 - 11:48 Una filtración de datos relacionada con la cumbre financiera celebrada en Abu Dhabi Finance Week se hizo pública a mediados de febrero de 2026, cuando varios medios internacionales comenzaron a informar sobre un posible acceso no autorizado a documentos personales de participantes del evento. La información inicial surgió a partir de una investigación periodística publicada por el diario Financial Times, que detectó la existencia de archivos sensibles almacenados en un servidor en la nube sin las protecciones adecuadas. Subsequently, agencias de noticias como Reuters replicaron la noticia y ampliaron los detalles sobre el alcance del incidente. El evento afectado, celebrado en Abu Dhabi a finales de 2025, había reunido a miles de líderes políticos, empresarios e inversores internacionales, the Read More
Restoration of digital services after the cyberattack on the German railway network 10/03/2026 Sea, 10/03/2026 - 14:59 The 18 February 2026, the German state railway company Deutsche Bahn, informó que había sido víctima de un ciberataque que afectó durante varias horas a sus sistemas digitales de información y venta de billetes. El incidente ocurrió durante la tarde y provocó interrupciones en los servicios en línea utilizados por los pasajeros para consultar horarios y gestionar reservas. Entre los servicios afectados se encontraban la aplicación móvil DB Navigator y el portal web, two of the company's main digital tools. Although trains continued to operate normally on the German railway network, the technological problems caused difficulties for users who relied on these systems to plan their trips. The initial assessments report that the incident Read More
A young man arrested in Madrid for compromising a payment gateway in the hotel sector 05/03/2026 Thu, 05/03/2026 - 12:18 During the first weeks of February 2026, a series of unusual transactions were detected on a travel booking website, which led the Spanish authorities to open an investigation. The agency itself filed the complaint on the 2 de febrero, after observing multiple seemingly valid operations, but with abnormal deposits in its bank account. As a result of this complaint, the National Police, inició una investigación centrada en una pasarela de pago vinculada a la plataforma de reservas que parecía estar siendo manipulada de una forma técnica hasta entonces no documentada en España.El causante de este incidente fue un joven de 20 años en Madrid que logró que las reservas de habitaciones de Read More
Rápida detección tras la intrusión en la infraestructura móvil de la Comisión Europea 03/03/2026 Sea, 03/03/2026 - 13:15 El ataque cibernético se detectó el 30 January 2026, cuando los sistemas encargados de gestionar la infraestructura móvil del personal de la Comisión Europea identificaron “trazas de una ciberintrusión” en sus plataformas de administración de dispositivos. Este hecho se dio a conocer públicamente a principios de febrero de 2026 mediante un comunicado institucional, tras la investigación interna de los equipos de ciberseguridad. The cyberattack was aimed at the infrastructure that manages employees' mobile devices of the institution, possibly exploiting critical security flaws in corporate mobile management solutions that had been disclosed just before (known vulnerabilities such as CVE-2026-1281 and CVE-2026-1340). Although the institution has not specified how the system was breached nor attributed the authorship of the attack Read More
Refuerzo de la seguridad tras la explotación crítica de Metro4Shell en entornos React Native 26/02/2026 Thu, 26/02/2026 - 12:58 En los primeros meses de 2026 se ha confirmado la explotación activa de una vulnerabilidad crítica en el servidor de desarrollo Metro de React Native, identificada como CVE-2025-11953 y apodada Metro4Shell. Este fallo fue originalmente divulgado en noviembre de 2025, con un CVSS de 9,8 debido a su capacidad de permitir ejecución remota de código sin autenticación en sistemas donde el servidor está expuesto a la red. En febrero de 2026, organismos como la ‘Cybersecurity and Infrastructure Security Agency (CISA)’ estadounidense incluyeron la vulnerabilidad en su catálogo de vulnerabilidades conocidas explotadas (Known Exploited Vulnerabilities, KEV) confirmando su utilización en ataques reales. Actores maliciosos han estado aprovechando este fallo, in React Native development servers, para comprometer máquinas de desarrolladores y pipelines CI/CD. Read More
