La red descentralizada y privada I2P se ha visto desbordada esta semana debido al impacto del botnet Kimwolf, que inunda el sistema con cientos de miles de dispositivos IoT infectados. Los operadores buscan evadir el control y los intentos de cierre, revelando nuevos riesgos para la ciberseguridad y la privacidad online. El botnet Kimwolf, surgido […] La entrada El botnet Kimwolf asfixia la red de anonimato I2P con cientos de miles de dispositivos IoT se publicó primero en Una Al Día. Leer Más

Inyección SQL en time@work de systems@work Vie, 13/02/2026 - 10:04 Aviso Recursos Afectados time@work, 版本 7.0.5. Descripción INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a time@work de systems@work, un programa para la imputación de horas trabajadas en proyectos. 该漏洞由Enrique Fernández Lorenzo发现 (Bighound).此漏洞已分配以下代码, CVSS 基本分数 v4.0, CVSS 向量和 CWE 漏洞类型:CVE-2025-59920: CVSS 4.0 版: 8.6 | CVSS AV:不适用:升/吨:不适用 / PR:L/UI:N/VC:H/VI 型:H/VA （英语）:N/SC:不适用:不适用:N | CWE-89 INCIBE-2026-113 标识符 解决方案 该漏洞已由systems@work团队在版本中修复 8.0.4. CVE-2025-59920详情: 当在time@work中录入工时时, 版本 7.0.5, 系统会执行查询以显示分配给用户的项目. 如果将查询的URL复制并在浏览器的新窗口中打开, Leer Más

检测到通过 LinkedIn 传播的恶意软件活动 12/02/2026 周四, 12/02/2026 - 11:51 1月 2026, 检测到通过 LinkedIn 私信传播的新一轮网络钓鱼和恶意软件活动. 而不是使用传统的电子邮件, 攻击者利用这个平台直接联系专业人士和高管, 伪装成合法通信，如工作机会或文档交换. 这一活动最初由安全分析人员记录，并在《The Hacker News》、《Cybernews》和其他网络安全门户上报道, 发生在1月 20 和 22 攻击依赖于发送下载压缩文件的链接 (WinRAR SFX) 什么, 打开时, 会提取看似合法的组件. 通过一种称为 DLL 旁路加载的技术, 合法程序首先加载恶意 DLL, 从而允许执行 Leer Más

Wix 网站应用中的反射型跨站脚本攻击（XSS） 周三, 11/02/2026 - 09:12 通知 受影响资源 Wix 网站应用. 描述 INCIBE 协调发布了一个中等严重性漏洞，影响 Wix 网站应用, 用于创建网站的平台. 该漏洞由 Miguel Jiménez Cámara 发现。该漏洞被分配了以下代码, CVSS 基本分数 v4.0, CVSS 向量和 CWE 漏洞类型:CVE-2026-2276: CVSS 4.0 版: 5.3 | CVSS /AV:不适用:升/吨:不适用 / PR:L/UI:N/VC:L/VI 系列:L/VA:N/SC:不适用:不适用:N | CWE-79 INCIBE-2026-110 编号 暂无已报告的解决方案. 详情 CVE-2026-2276: 反射型跨站脚本漏洞 (XSS （XSS）) 在 Wix 网站应用中, donde el endpoint 'https://manage.wix.com/account/account-settings', 负责上传 SVG 图片的人未能对内容进行适当的清理. 经过身份验证的攻击者可能上传包含嵌入式 JavaScript 代码的 SVG 文件, 该 Leer Más

最近的一项活动显示，结合易受攻击的软件的定向钓鱼能够访问并控制企业 IT 基础设施的关键元素. 强化访问管理和更新管理的防御与意识至关重要. 在‘安全上网日’提醒我们，迫切需要提升对结合多种攻击手段的网络攻击的防护能力 […] 文章：定向钓鱼与漏洞利用, 危及服务器和数据库的鸡尾酒首次发表于《每日一文》. Leer Más

二月安全更新 2026 SAP 产品中的产品三月, 10/02/2026 - 09:18 SAP CRM 和 SAP S/4HANA 受影响资源通知, 版本中: S4FND 102, 103, 104, 105, 106, 107, 108, 109, SAP_ABA 700, WEBCUIF 700, 701, 730, 731, 746, 747, 748, 800 和 801;SAP NetWeaver 应用服务器 ABAP 和 ABAP 平台, 版本中: KRNL64NUC 7.22, 7.22内线, KRNL64UC 7.22, 7.22内线, 7.53, 内核 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18 和 9.19;SAP NetWeaver AS ABAP 和 ABAP 平台, 版本中: SAP_BASIS 700, SAP_BASIS 701, SAP_BASIS 702, SAP_BASIS 731, SAP_BASIS 740, SAP_BASIS 750, SAP_BASIS 751, SAP_BASIS 752, SAP_BASIS 753, SAP_BASIS 754, SAP_BASIS 755, SAP_BASIS 756, SAP_BASIS 757, SAP_BASIS 758, SAP_BASIS 804, SAP_BASIS 916, SAP_BASIS 917 和 SAP_BASIS 918;SAP 供应链管理, 版本中: SCMAPO 713, 714, SCM 700, 701, 702 和 712;工具的补充 Leer Más

跨站点脚本 (XSS （XSS）) reflejado en Kubysoft Lun, 09/02/2026 - 14:04 Aviso Recursos Afectados Kubysoft. Descripción INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afectan a Kubysoft, plataforma de software de gestión empresarial (ERP) en la nube. 该漏洞由 Miguel Jiménez Cámara 发现。该漏洞被分配了以下代码, CVSS 基本分数 v4.0, CVSS 向量和 CWE 漏洞类型:CVE-2025-59905: CVSS 4.0 版: 4.8 | 自动驾驶汽车:不适用:升/吨:不适用 / PR:L/UI:A/VC:不适用:不适用:N/SC:L/SI （长/秒）:L/SA:N | CWE-79 Identificador INCIBE-2026-115 Solución La vulnerabilidad ha sido solucionada por el equipo de Kubysoft en la última versión disponible del software. Detalle CVE-2025-59905: vulnerabilidad de tipo Cross-Site Scripting (XSS （XSS）) reflejado en Kubysoft, que se produce a través de múltiples parámetros dentro del endpoint '/node/kudaby/nodeFN/procedure'. Esta falla permite la inyección de scripts arbitrarios del lado del cliente, que se reflejan inmediatamente en la respuesta Leer Más

在 BeyondTrust Lun 中执行操作系统命令, 09/02/2026 - 10:13 公告 受影响资源 远程支持, 版本 25.3.1 和以前的;特权远程访问, 版本 24.3.4 和以前的. 描述 Harsh Jaiswal 及 Hacktron AI 团队发现了一个严重漏洞, 如果被利用, 可能允许远程攻击者, 未认证, ejecutar comandos del sistema operativo en el contexto del usuario del sitio. Identificador INCIBE-2026-0103 Solución Actualizar los productos a las siguientes versiones:远程支持:Patch BT26-02-RSVersión 25.3.2 或更高版本;特权远程访问:Patch BT26-02-PRAVersión 25.1.1 或更高版本. Detalle CVE-2026-1731: BeyondTrust Remote Support (RS 系列) y algunas versiones antiguas de Privileged Remote Access (普拉) 存在一个认证前的远程代码执行关键漏洞. 发送特制请求时, 未经身份验证的远程攻击者可能执行操作系统命令 Leer Más

Múltiples vulnerabilidades en la aplicación web de Loggro Pymes Vie, 06/02/2026 - 10:00 Aviso Recursos Afectados Loggro Pymes, 之前的版本 1.0.124. 描述 INCIBE 已协调出版 2 vulnerabilidades de severidad media que afectan a la aplicación web de Loggro Pymes, una compañía para gestiones empresariales. Las vulnerabilidades han sido descubiertas por David Padilla Alvarado.A estas vulnerabilidades se les han asignado los siguientes códigos, CVSS 基本分数 v4.0, CVSS 向量和每个漏洞的 CWE 漏洞类型:CVE-2026-1959 y CVE-2026-1960: 5.1 | CVSS 公司:4.0/ 自动驾驶汽车:不适用:升/吨:不适用 / PR:不适用:A/VC:不适用:不适用:N/SC:L/SI （长/秒）:L/SA:N | CWE-79 Identificador INCIBE-2026-097 Solución Las vulnerabilidades han sido solucionadas por el equipo de Loggro Pymes en la versión 1.0.124. 跨站点脚本漏洞详细信息 (XSS （XSS）) almacenado en Loggro Pymes. La relación de parámetros e identificadores asignados es la siguiente:CVE-2026-1959: parámetro 'descripción' en el endpoint '/loggrodemo/jbrain/MaestraCuentasBancarias'.CVE-2026-1960: parámetro 'Facebook' en el endpoint Leer Más

Path Traversal en Digitek del Grupo Azkoyen Jue, 05/02/2026 - 12:00 Aviso Recursos Afectados Digitek ADT1100;Digitek DT950. 描述 INCIBE 已协调发布影响严重的高风险漏洞, que afecta a Digitek de PRIMION DIGITEK, S.L.U (Grupo Azkoyen), terminales avanzados diseñados para la gestión de seguridad y recursos humanos. La vulnerabilidad ha sido descubierta por Óscar Atienza Vendrell.A esta vulnerabilidad se le ha asignado el siguiente código, CVSS 基本分数 v4.0, CVSS 向量和 CWE 漏洞类型:CVE-2026-1523: CVSS 4.0 版: 8.7 | CVSS AV:不适用:升/吨:不适用 / PR:不适用:N/VC:H/VI 型:不适用:N/SC:不适用:不适用:N | CWE-22 标识符 INCIBE-2026-093 解决方案 该漏洞已在受影响产品的最新版本中修复. CVE-2026-1523 详情: PRIMION DIGITEK 的 Digitek ADT1100 和 Digitek DT950 中的路径遍历漏洞, S.L.U (Grupo Azkoyen). 该漏洞允许攻击者访问服务器文件系统中的任意文件. 通过 Leer Más

Gestión y contención de un incidente de seguridad en Instagram 05/02/2026 周四, 05/02/2026 - 08:42 1月 2026 关于Instagram用户数据可能大规模泄露的最初信息开始传播, 随着一个包含数百万条记录的数据库出现在专业论坛和与网络犯罪相关的空间中. 多家国际媒体对事件的潜在影响发出警告, 这在平台用户中引起了担忧. 由于受影响账户数量庞大以及据称被暴露数据的敏感性，这条新闻迅速传播开来. 在接下来的几天里, 负责该平台的公司采取了一系列措施，并进行了广泛的媒体报道. 根据最初的信息, la filtración habría afectado a aproximadamente 17,5 millones de cuentas de Instagram, exponiendo datos Leer Más

Una campaña de phishing suplanta al Ministerio Italiano de Salud 03/02/2026 海, 03/02/2026 - 12:14 Durante el mes de enero de 2026, las autoridades italianas identificaron y anunciaron públicamente una nueva serie de intentos de phishing contra la población, en la que los ciberdelincuentes suplantaban la identidad del Ministerio de Salud de Italia y del sistema oficial de la Tessera Sanitaria. Las primeras alertas surgieron tras un incremento de correos electrónicos fraudulentos que aparentaban ser comunicaciones institucionales, lo que motivó la intervención de organismos de ciberseguridad nacionales. Desde los primeros días de la campaña, se puso el foco en la necesidad de concienciación ciudadana y verificación de las fuentes oficiales.La campaña fraudulenta de correos electrónicos falsos informaba de una supuesta caducidad o necesidad de renovación de la tarjeta sanitaria, y contenía enlaces a páginas web fraudulentas que reproducían el diseño Leer Más

Interrail actúa tras un incidente de seguridad que expone datos de sus viajeros 29/01/2026 结婚, 28/01/2026 - 11:38 A mediados de enero de 2026, la plataforma de venta de billetes del servicio de Interrail, usada por millones de turistas europeos, 经历了安全漏洞. 当公司内部系统被发现未经授权访问时，警报被触发. 从那时起, Interrail采取了行动以保持用户和相关当局的知情。该事件发生在Eurail B.V.的系统中, 负责Interrail业务的公司. 受影响的数据可能包括客户订单和预订信息, 包括基本身份和联系方式, 以及, 与同行旅客相关的信息. 公司表示，敏感信息, 尽管不是数据的 Leer Más

欧洲航天局在外部服务器发生事故 20/01/2026 海, 20/01/2026 - 12:43 欧洲航天局 (ESA) 在 12 月底确认 2025 que había sufrido un incidente de ciberseguridad. La ESA emitió un comunicado oficial reconociendo el incidente, lo que permitió contextualizar los hechos y aclarar que no se trataba de un ataque directo a sus sistemas centrales. Desde ese momento, el suceso pasó a ser objeto de seguimiento por parte de medios tecnológicos y generalistas debido a la relevancia estratégica de la organización afectada.El incidente comprometió varios servidores externos utilizados por la ESA para actividades de colaboración técnica e ingeniería, los cuales no formaban parte de su red corporativa principal. Según la información facilitada por la agencia, los sistemas afectados alojaban datos no clasificados y estaban vinculados a herramientas de desarrollo y gestión de Leer Más

LinkedIn refuerza su infraestructura tras sufrir una fuga de datos de 4.300 数百万条记录 13/01/2026 海, 13/01/2026 - 14:46 A finales de noviembre y principios de diciembre de 2025, investigadores de seguridad detectaron una de las mayores exposiciones de datos registradas hasta la fecha, 4.300 millones de registros profesionales. En ese período se identificó una base de datos de gran tamaño, accesible públicamente en Internet, que contenía información profesional de miles de millones de registros. El hallazgo fue difundido inicialmente por medios especializados en ciberseguridad y posteriormente, amplificado por prensa tecnológica generalista e internacional. El suceso se dio a conocer en un contexto de creciente preocupación global por el uso masivo de datos públicos y el scraping automatizado.Los datos incluían nombres, cargos, empresas, 电子邮件, números de teléfono y otra información asociada a perfiles profesionales similares a los de Leer Más