Grafana confirmó un acceso no autorizado a repositorios privados tras quedarse sin rotar un token de GitHub Actions expuesto durante el ataque de cadena de suministro a TanStack en npm. Se descargaron código fuente e información operativa y de contactos, sin señales de cambios en el código ni impacto en entornos de producción de clientes […] La entrada Grafana atribuye el acceso a repositorios privados a un token de GitHub Actions que no se rotó tras el ataque a TanStack se publicó primero en Una Al Día. Read More
Múltiples vulnerabilidades en Suricata Jue, 21/05/2026 - 10:02 Aviso Recursos Afectados Suricata versiones anteriores a:8.0.57.0.16 Descripción Suricata ha publicado un aviso donde informan de 16 Vulnerabilities, 1 of critical severity, 10 loud, 4 media y 1 casualty. Identificador INCIBE-2026-366 Solución Actualizar el producto a alguna de las siguientes versiones:8.0.57.0.16 Detalle La vulnerabilidad de severidad crítica tiene asignado el identificador CVE-2026-45764.Suricata reserva severidad CRÍTICA para los errores que afectan a las características de nivel 1 que están habilitadas de forma predeterminada, lo que implica la ejecución de código basada en tráfico de activación remota.El resto de vulnerabilidades se pueden consultar en el enlace de las referencias. 5 - Crítica Listado de referencias Suricata - Meerkat 8.0.5 and 7.0.16 released! Etiquetas Actualización Ciberseguridad Seguridad Vulnerabilidad CVE Identificador CVE Severidad Explotación Fabricante CVE-2026-45764 Crítica No Suricata Read More
Vulnerabilidad de Path Traversal en AutoScript y Autofirma Jue, 21/05/2026 - 09:47 Aviso Recursos Afectados Servicios desplegables junto a AutoScript y Autofirma: módulo afirma-signature- retriever. Descripción INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta al módulo afirma-signature- retriever de AutoScript y Autofirma, mantenidos por la Agencia Estatal de Administración Digital, dependiente del Ministerio para la Transformación Digital y de la Función Pública. La vulnerabilidad ha sido descubierta, individually, por David Martínez González y por Cosme Vázquez Tomé.A esta vulnerabilidad se le ha asignado el siguiente código, CVSS Base Score v4.0, CVSS vector and CWE vulnerability type:CVE-2026-9159: CVSS v4.0: 8.8 | CVSS AV:N/AC:L/AT:N/PR:N/IU:N/VC:H/VI:L/VA:N/SC:N/YES:N/SA:N | CWE-22 Identificador INCIBE-2026-367 Solución Identificación de los WAR afectados:Se debe revisar si en los servidores se encuentran desplegados los siguientes archivos:afirma-signature-storage.warafirma-signature-retriever.warOtra forma de identificarlos es revisando las Read More
Ausencia de autenticación en Secure Workload de Cisco Jue, 21/05/2026 - 09:25 Aviso Recursos Afectados Software Cisco Secure Workload Cluster tanto en implementaciones SaaS como locales, regardless of device settings, versiones.3.9 y versiones anteriores;3.10;4.0.Note: esta vulnerabilidad afecta únicamente a las API REST internas y no a la interfaz de administración basada en web. Descripción Cisco ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante remoto no autenticado, acceder a los recursos del sitio con privilegios de administrador. Identificador INCIBE-2026-365 Solución Cisco ha solucionado esta vulnerabilidad en su implementación SaaS de Cisco Secure Workload, que está basada en la nube. No se requiere ninguna acción por parte del usuario.Se recomienda a los clientes que necesiten información adicional que se pongan en contacto con el Centro de Asistencia Técnica (TAC) de Cisco o con sus proveedores Read More
GitHub confirmó una intrusión iniciada en el equipo de un empleado tras instalar una extensión maliciosa de Visual Studio Code, que derivó en la exfiltración de unos 3.800 repositorios internos. La compañía retiró la versión maliciosa, aisló el dispositivo y rotó credenciales críticas, mientras continúa la investigación. El incidente vuelve a poner el foco en […] La entrada GitHub confirma la exfiltración de 3.800 repositorios internos tras una extensión maliciosa de VS Code se publicó primero en Una Al Día. Read More
Ejecución de código en remoto en ChromaDB Mié, 20/05/2026 - 10:32 Aviso Recursos Afectados ChromaDB desde la versión 10.0.0. Descripción Esteban Tonglet, de HiddenLayer, ha descubierto una vulnerabilidad de severidad crítica que, if exploited, permite la ejecución de código en remoto. Identificador INCIBE-2026-364 Solución Actualmente no existe un parche que solucione el problema. Como medidas de mitigación se recomienda:Priorizar el uso de la ruta de implementación basada en Rust ('chroma run', imágenes de Docker Hub desde 1.0.0) por encima del servidor Python FastAPI. El frontend de Rust no se ve afectado.Si ejecuta el servidor FastAPI de Python, restringir el acceso de red al puerto ChromaDB solo a clientes de confianza. Detalle CVE-2026-45829: vulnerabilidad de inyección de código estando pre-autenticado, permite a atacantes, Unauthenticated, ejecutar código arbitrario en el servidor al enviar un repositorio de modelo malicioso Read More
Se ha publicado un PoC de MiniPlasma, una escalada local de privilegios en Windows que logra permisos SYSTEM incluso en Windows 11 totalmente actualizado a mayo de 2026. La técnica vuelve a poner el foco en cldflt.sys y en un comportamiento ligado a CVE-2020-17103, que se consideraba corregido desde 2020, mientras Microsoft afirma que lo […] La entrada MiniPlasma: un PoC reabre una escalada local a SYSTEM en Windows 11 pese a estar parcheado se publicó primero en Una Al Día. Read More
Incidente de seguridad digital en Instructure y su impacto en la plataforma Canvas 19/05/2026 Sea, 19/05/2026 - 12:39 A finales de abril y principios de mayo de 2026, el ámbito educativo global se vio afectado por un incidente de seguridad digital que puso en jaque las infraestructuras de aprendizaje en línea. La vulnerabilidad comenzó a ser detectada internamente por la compañía proveedora tecnológica Instructure el 25 April. Durante este periodo, coincidente con la época de exámenes finales, la agresión digital paralizó los servicios habituales de miles de campus y generó una alarma internacional ante la exposición masiva de registros confidenciales.El ciberataque fue perpetrado por el reconocido grupo de extorsión informática ShinyHunters, el cual logró vulnerar los sistemas de producción de Instructure y comprometer la plataforma Canvas. Este, afectó a unas 9.000 escuelas de educación primaria y secundaria junto con Read More
[Update 21/05/2026] Actualización de seguridad crítica en Drupal Mar, 19/05/2026 - 09:56 Aviso Recursos Afectados No todas las configuraciones se ven afectadas. Cuando se publique el parche se indicará cuáles sí lo están. However, en el comunicado, se habla de las siguientes versiones.Drupal 10 y 11Las ramas de Drupal con soporte:11.3.x11.2.x10.6.x10.5.xVersiones menores del core de Drupal que ya no tienen soporte (Drupal 10 and 11)Debido a la severidad del problema, se proporcionará una actualización para este fallo, pero únicamente para las versiones 11.1.9 and 10.4.9; por lo que se recomienda a todos los administradores de Drupal que utilicen las versiones 10 u 11, que antes de mañana a la hora de la actualización tengan sus sistemas actualizados a las versiones indicadas:Sitios con Drupal 11.1 u 11.0, actualizar antes de mañana, at least, a la versión 11.1.9Sitios con Drupal 10.4, Read More
Desbordamiento de búfer en NGINX Mar, 19/05/2026 - 09:22 Aviso Recursos Afectados NGINX Open Source desde la versión 0.6.27 to the 1.30.0;NGINX Plus desde la versión R32 hasta la R36. Descripción Markakd Zhenpeng Lin ha informado sobre una vulnerabilidad de severidad crítica que, if exploited, podría permitir a un atacante remoto, ejecutar código arbitrario en el sistema afectado. Identificador INCIBE-2026-360 Solución Actualizar a las siguientes versiones:NGINX Open Source 1.31.0 and 1.30.1;NGINX Plus R36 P4, R35 P2 y R32 P6. Detalle CVE-2026-42945: afecta al módulo ngx_http_rewrite_module de NGINX Open Source y NGINX Plus. El fallo se produce cuando la directiva rewrite es seguida de las directivas rewrite, if o set, utilizando capturas sin nombre de expresiones regulares compatibles con PCRE junto con cadenas de reemplazo que contienen el caracter ?.Un atacante remoto no autenticado podría explotar la vulnerabilidad Read More
Múltiples vulnerabilidades en la consola Unified OSS de HPE Mar, 19/05/2026 - 09:13 Aviso Recursos Afectados Consola HPE Unified OSS (UOC): version 3.1.20 and previous. Description HPE has published 7 Vulnerabilities: 1 of critical severity, 5 of high severity and 1 media que en caso de ser explotadas podrían permitir denegación de servicio (Two), directory traversal, Server-Side Request Forgery (SSRF), desbordamiento de pila o acceso remoto no autorizado. Identificador INCIBE-2026-361 Solución Actualizar a la versión 3.1.21. Detalle CVE-2026-27699: la librería del cliente FTP `basic-ftp` para Node.js contiene una vulnerabilidad path traversal en el método `downloadToDir()`. Un servidor FTP malicioso podría enviar listados de directorios con nombres de archivo que contienen secuencias de recorrido de ruta (`../`) que provocan que los archivos se escriban fuera del directorio de descarga previsto.Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2026-25639, Read More
Cisco ha publicado parches para CVE-2026-20182, un fallo crítico en Catalyst SD-WAN que permite a un atacante remoto sin autenticar lograr acceso con privilegios administrativos y manipular la configuración del tejido. La explotación se ha observado de forma limitada y no existen soluciones alternativas, por lo que la respuesta pasa por actualizar, reducir exposición y […] La entrada Cisco corrige un bypass de autenticación crítico en Catalyst SD-WAN se publicó primero en Una Al Día. Read More
Omisión de autorización en ICMS Gestión de Contenidos de Creartia Internet Consulting Lun, 18/05/2026 - 09:30 Aviso Recursos Afectados ICMS Gestión de Contenidos. Descripción INCIBE ha coordinado la publicación de una vulnerabilidad de severidad crítica que afecta a ICMS Gestión de Contenidos de Creartia Internet Consulting S.L., una consultora de digitalización. La vulnerabilidad ha sido descubierta por Pirolita.A esta vulnerabilidad se le ha asignado el siguiente código, CVSS Base Score v4.0, CVSS vector and CWE vulnerability type:CVE-2026-4320: CVSS v4.0: 9.3 | CVSS AV:N/AC:L/AT:N/PR:N/IU:N/VC:H/VI:H/VA:N/SC:N/YES:N/SA:N | CWE-288 Identificador INCIBE-2026-358 Solución La vulnerabilidad ha sido solucionada por el equipo de Creartia Internet Consulting S.L. It is recommended to update to the latest version available. Detalle CVE-2026-4320: omisión de autorización en el software ICMS de Creartia que podría permitir a un atacante obtener acceso, unauthorized, a funcionalidades protegidas mediante la manipulación de Read More
Cross-site Scripting in Microsoft Exchange Server Life, 15/05/2026 - 12:36 Notice Affected Resources Microsoft Exchange Server 2016 Cumulative Update 23: x64-based Systems Microsoft Exchange Server 2019 Cumulative Update 14, 15: x64-based Systems Microsoft Exchange Server Subscription Edition RTM: x64-based Systems Description Microsoft has published a critical severity vulnerability that could allow an attacker to impersonate identity. This vulnerability could be exploited. Identifier INCIBE-2026-356 Solution For clients who have the Exchange EM service enabled, Microsoft released the automatic mitigation solution for Exchange Server 2016, 2019 and SE. This solution is already published and automatically enabled. Detail CVE-2026-42897: the improper neutralization of input during web page generation ("cross-site scripting") in Microsoft Exchange Server allows an unauthorized attacker to perform impersonation over a network. An attacker could exploit this vulnerability by sending a Read More
Local privilege escalation in the Linux kernel Fri, 15/05/2026 - 11:12 Notice Affected Resources Linux Kernel XFRM ESP-in-TCP Subsystem. Description A high-severity vulnerability has been reported, whose exploitation could allow a local attacker to write arbitrary bytes into the read-only file kernel page cache. Identificador INCIBE-2026-357 Solución La estrategia de mitigación es equivalente a la de Dirty Frag: evaluar la desactivación de los módulos del Kernel esp4, esp6 y rxrpc. Detalle CVE-2026-46300: Fragnesia es un exploit universal de escalada de privilegios local en Linux. Aunque pertenece a la familia de vulnerabilidades Dirty Frag y se mitiga de la misma manera, se trata de un error independiente en ESP/XFRM que cuenta con su propio parche. El ataque aprovecha un fallo lógico en el subsistema XFRM ESP-in-TCP para lograr Read More
Incidente de seguridad en la agencia nacional de identidad digital de Francia 14/05/2026 Thu, 14/05/2026 - 10:13 Entre abril y mayo de 2026, las autoridades francesas confirmaron un incidente de ciberseguridad que afectó a millones de ciudadanos. El caso comenzó a conocerse públicamente después de que aparecieran en foros clandestinos bases de datos supuestamente extraídas de los sistemas de France Titres, anteriormente conocida como ANTS, organismo dependiente del Ministerio del Interior francés. Poco después, la propia agencia reconoció que había detectado una intrusión informática el 15 de abril y que parte de la información personal de usuarios podía haber quedado expuesta. La noticia tuvo una gran repercusión debido a la sensibilidad de los datos almacenados por este organismo, responsable de gestionar documentos oficiales como documentos nacionales de identidad, pasaportes y permisos de conducir. Según las investigaciones preliminares, los datos comprometidos incluirían Read More
TanStack, Mistral AI, Bitwarden CLI y SAP, entre los afectados por una campaña que utiliza tokens OIDC legítimos y firmas digitales válidas para distribuir malware indetectable. The software development community is facing one of the most sophisticated threats in recent times. Under the name Shai-Hulud, an attack campaign on […] The Shai-Hulud entry: supply chain attack compromises hundreds of packages on npm and PyPI was first published on Una Al Día. Read More
Fortinet ha publicado dos avisos críticos que afectan a FortiAuthenticator y FortiSandbox, dos productos muy presentes en entornos corporativos. Both vulnerabilities can be exploited without prior authentication and open the door to unauthorized code or command execution, a scenario that forces reviewing versions and accelerating the deployment of patches. The company announced […] The entry Fortinet fixes two critical vulnerabilities that allow remote code execution was first published in Una Al Día. Read More
Presunta filtración de datos de usuarios en Udemy 12/05/2026 Sea, 12/05/2026 - 13:55 In April 2026, A suspected data breach was reported on the online education platform Udemy, which is believed to have affected approximately 1,4 million users. The alert arose in the middle of the month, when a group of cybercriminals known as ShinyHunters claimed to have compromised the platform's information. The news spread quickly through media specialized in computer security and breach databases such as Have I Been Pwned, causing concern among users and the online learning community. The incident, according to reports, consisted of the exposure of personal and professional data of users and some instructors, including names, direcciones de correo electrónico, números de teléfono, physical addresses and in some cases payment information. The breach has not been Read More
Se ha hecho pública una vulnerabilidad crítica en Linux apodada Dirty Frag que permite a un atacante local escalar privilegios hasta root. En el momento de la divulgación no había parches generalizados y circula un PoC funcional, por lo que se recomienda aplicar mitigaciones temporales y acelerar la actualización del kernel en cuanto esté disponible. […] La entrada Dirty Frag: la nueva vulnerabilidad zero-day en Linux con PoC público que permite escalar privilegios a root en múltiples distribuciones se publicó primero en Una Al Día. Read More
Several critical vulnerabilities have been published in vm2, a widely used library for running untrusted JavaScript in Node.js, which allow escaping the sandbox and achieving code execution on the host system. There are fixes available, and the general recommendation is to update vm2 3.11.2, with special urgency in environments exposed to user code […] The post 'Multiple critical flaws in vm2 allow code execution on the host' was first published on Una Al Día. Read More
Rituals detects a security incident affecting its customer database 07/05/2026 Thu, 07/05/2026 - 10:01 Rituals made public at the end of April 2026 a cybersecurity incident that affected part of its customer base, concretamente a los usuarios de su programa de fidelización “My Rituals”. La compañía detectó una actividad sospechosa en sus sistemas durante ese mismo mes, lo que llevó a identificar una descarga no autorizada de datos personales. La rapidez en la detección y comunicación fue un elemento clave en la primera fase de gestión del incidente. La brecha de seguridad implicó el acceso ilícito a datos personales de clientes, including names, direcciones de correo electrónico, números de teléfono, fechas de nacimiento y direcciones físicas. However, la empresa aseguró que no se vieron comprometidos datos sensibles como contraseñas o Read More
CVE-2026-31431 (Copy Fail) ya se está explotando de forma activa para lograr root en sistemas Linux, lo que ha llevado a CISA a incluirla en su catálogo KEV. El fallo permite a un usuario local sin privilegios escalar a administrador mediante una escritura controlada en memoria, por lo que la prioridad es parchear el kernel […] La entrada CISA alerta de explotación activa de Copy Fail para obtener root en Linux se publicó primero en Una Al Día. Read More
Progress ha publicado parches para MOVEit Automation ante un bypass de autenticación crítico, CVE-2026-4670, que permitiría acceso remoto sin credenciales. También se corrige CVE-2026-5174, un fallo de escalado de privilegios que puede agravar el impacto si un atacante logra entrar. The update must be applied with the full installer and requires a temporary service shutdown. […] The Progress entry fixes a critical authentication bypass in MOVEit Automation (CVE-2026-4670) was first published in Una Al Día. Read More
Detection of unauthorized access to Booking users' data 05/05/2026 Sea, 05/05/2026 - 12:45 The cyberattack on the Booking.com booking platform was made public on 13 April 2026, when the company acknowledged having detected suspicious activity in its systems. The news began to spread that same day through national and international media, after the notification sent to potentially affected users. The incident involved unauthorized access to certain data related to bookings. Although the full scope of the attack was not initially specified, sí se confirmó que se trataba de un problema de seguridad relevante a nivel global. Desde entonces, el caso ha sido seguido de cerca tanto por expertos en ciberseguridad como por autoridades y medios de comunicación. En el desarrollo de los hechos, la empresa explicó que terceros no autorizados habían Read More
Exploitation of the React2Shell vulnerability (CVE-2025-55182) 30/04/2026 Thu, 30/04/2026 - 10:44 The vulnerability known as React2Shell (CVE-2025-55182) was publicly disclosed at the beginning of December 2025, when the React team issued an urgent security advisory alerting to a critical flaw in their server component architecture. During that same period, the ecosystem of frameworks that depend on React, especially Next.js, began assessing the impact of the problem. Within days, the cybersecurity community and multiple tech companies confirmed the severity of the vulnerability, destacando su potencial para permitir ejecución remota de código sin autenticación. La rapidez con la que se difundió la información hizo que numerosos equipos de desarrollo activaran protocolos de respuesta ante incidentes. Esta vulnerabilidad permite a atacantes explotar fallos en el mecanismo de serialización de React Server Components, facilitando la ejecución de código Read More
Numerous websites affected after the detection of a vulnerability in Smart Slider 3 from WordPress 28/04/2026 Sea, 28/04/2026 - 15:15 The incident was made known at the end of March 2026, when various cybersecurity specialized media began to alert about a critical vulnerability in the Smart Slider plugin 3, widely used in the WordPress ecosystem. The flaw was cataloged with the identifier CVE-2026-3098, which indicates that it had been formally registered in vulnerability databases. From the very first moment, the magnitude of the problem stood out due to the enormous number of active installations of the affected plugin, which caused concern in the community of web administrators and security specialists. The problem lies in a vulnerability that allowed users with limited permissions to access sensitive system files, thus facilitating credential theft Read More
AstraZeneca refuerza su ciberseguridad tras un ataque informático 21/04/2026 Sea, 21/04/2026 - 16:28 En marzo de 2026, la compañía farmacéutica AstraZeneca sufrió un importante ciberataque que desencadenó una interrupción de sus sistemas informáticos y el robo de datos confidenciales. Aunque AstraZeneca no ha emitido un comunicado oficial confirmando todos los detalles, el ataque generó una gran preocupación debido al tipo de datos involucrados y la vulnerabilidad de las infraestructuras tecnológicas en grandes corporaciones.El ciberataque, presuntamente llevado a cabo por el grupo de hackers LAPSUS$, resultó en la exfiltración de aproximadamente 3 GB de datos, incluyendo códigos fuente internos, credenciales de acceso y otros archivos de alta confidencialidad. La información robada no incluye, según los primeros informes, datos relacionados con pacientes o clientes, lo que sugiere que el impacto podría haber sido limitado en términos de privacidad de usuarios finales. Without Read More
Incidente con IA en Meta impulsa mejoras en seguridad y control de sistemas autónomos 16/04/2026 Thu, 16/04/2026 - 18:25 El incidente que involucró a un agente de inteligencia artificial de Meta ocurrió a mediados de marzo de 2026 y se dio a conocer inicialmente gracias a filtraciones obtenidas por medios especializados en tecnología. En los primeros días tras el suceso, publicaciones como The Information y posteriormente The Verge y The Guardian comenzaron a difundir detalles del caso. On the other hand, en redes sociales y algunos portales, The news was presented sensationally as an 'AI rebellion', although more rigorous reports qualified from the start that it was an operational failure. The general context of the incident is framed within the growing use of autonomous agents in corporate environments, especially for technical assistance and automation of Read More
An international vishing network in Europe dismantled: police cooperation and key advances against digital fraud 14/04/2026 Sea, 14/04/2026 - 13:26 The 18 March 2026 the dismantling of an international network dedicated to phone fraud was reported, known as 'vishing', which mostly took place between the years 2023 and 2026 in several countries of the European Union. Este tipo de estafa se basa en la suplantación de identidad mediante llamadas telefónicas para manipular a las víctimas y obtener acceso a sus cuentas bancarias. La operación fue llevada a cabo de forma conjunta por autoridades de Letonia, Ucrania y otros países europeos, en el marco de una investigación prolongada sobre una organización criminal altamente estructurada. La red operaba a través de centros de llamadas, donde los que los delincuentes se hacían pasar por policías o empleados bancarios. Usaban tácticas Read More
