VENCERT // SISTEMA NACIONAL DE GESTIÓN DE INCIDENTES TELEMÁTICOS
incidentes.vencert@suscerte.gob.ve
ALERTAS Y VULNERABILIDADES

Alertas y Vulnerabilidades

Últimas vulnerabilidades y amenazas identificadas por VENCERT

Inicio / VENCERT / Alertas y Vulnerabilidades
Filtrar: Todas Crítica Alta Media Baja
🔴 Crítica VENCERT-2026-027 CVE-2025-48595 Activa
June 9, 2026

Vulnerabilidad Zero-Day de Escalada de Privilegios (EoP) en el Framework de Android

Vulnerabilidad crítica de tipo Zero-Day en el componente Framework de Android. Esta falla está siendo explotada activamente en ataques dirigidos para lograr la elevación de privilegios (EoP), permitiendo a los actores de amenazas obtener un control casi total del dispositivo afectado de manera remota y sin necesidad de interacción por parte del usuario.

Sistemas afectados: Dispositivos móviles y sistemas embebidos que ejecuten el sistema operativo Android y que no cuenten con el parche de seguridad correspondiente a junio de 2026.

🟠 Alta VENCERT-2026-029 CVE-2026-32283 Resuelta
June 9, 2026

Bloqueo en la actualización de claves TLS 1.3

Si un cliente o servidor malicioso envía múltiples mensajes de actualización de claves (key update handshake messages) posteriores al saludo inicial dentro de un único registro TLS 1.3, la conexión puede entrar en un punto muerto (deadlock).

Sistemas afectados: Aplicaciones y servicios web desarrollados en Go (Golang) que utilicen el paquete estándar crypto/tls en conexiones TLS 1.3. Afecta a binarios construidos con versiones de Go anteriores a la 1.26.2 y 1.25.9.

🟡 Media VENCERT-2026-023 CVE-2026-9451 Activa
June 1, 2026

Inyección SQL en el Sistema de Gestión de Empleados de code-projects

Descripción Vulnerabilidad de severidad media (CVSS 3.1: 6.3) que permite la inyección de comandos SQL debido a una sanitización deficiente de las entradas del usuario en el script de procesamiento de solicitudes de permisos (/process/applyleaveprocess.php).

Sistemas afectados: Entornos web que ejecuten la aplicación freeware "Employee Management System 1.0" de code-projects.

🟠 Alta VENCERT-2026-020 CVE-2026-42897 En seguimiento
June 1, 2026

CVE-2026-42897

Vulnerabilidad Cross-Site Scripting (XSS) y potencial ejecución remota que se activa sin requerir gran interacción por parte de la víctima.

Sistemas afectados: Microsoft Exchange Server: Versiones 2019 (Actualizaciones Acumulativas anteriores a la de mayo) y 2016. Componente específico: Outlook Web Access (OWA).

🟠 Alta VENCERT-2026-021 CVE-2026-42945 Resuelta
June 1, 2026

CVE-2026-42945

Vulnerabilidad de desbordamiento de búfer Heap Buffer Overflow en el procesamiento de la directiva rewrite del servidor.

Sistemas afectados: NGINX Open Source y NGINX Plus: Versiones 1.25.0 hasta la 1.25.4.

🟠 Alta VENCERT-2026-019 CVE-2026-9470 Activa
June 1, 2026

Inyección SQL en StudentManagementSystem - función confirm_logged_in (student_trans.php)

Entrada no validada permite inyección SQL remota; posible lectura, alteración o borrado de datos en la base de la aplicación.

Sistemas afectados: yashpokharna2555 / StudentManagementSystem (commit cb2f558ddf8d19396de0f92abf2d224d46a0a203). Archivo student_trans.php, función confirm_logged_in; parámetros FIRST_NAME, Last_Name, EMAIL.

🟠 Alta VENCERT-2026-015 CVE-2026-6637 Resuelta
May 26, 2026

Desbordamiento de Búfer en la Stack e Inyección SQL en PostgreSQL

Este fallo se genera debido a un búfer de tamaño fijo en el módulo que puede desbordarse al procesar nombres de columnas excesivamente largos.

Sistemas afectados: Instalaciones que utilicen el módulo contrib "refint" dentro de las siguientes ramas soportadas de PostgreSQL.