VENCERT // SISTEMA NACIONAL DE GESTIÓN DE INCIDENTES TELEMÁTICOS
incidentes.vencert@suscerte.gob.ve
ALERTAS Y VULNERABILIDADES

Alertas y Vulnerabilidades

Últimas vulnerabilidades y amenazas identificadas por VENCERT

Inicio / VENCERT / Alertas y Vulnerabilidades
Filtrar: Todas Crítica Alta Media Baja
🟠 Alta VENCERT-2026-030 CVE2026-28318 Activa
June 17, 2026

Consumo Descontrolado de Recursos (Denegación de Servicio o DoS)

Se trata de una vulnerabilidad de consumo incontrolado de recursos (CWE-400) que provoca una condición de Denegación de Servicio (DoS).

Sistemas afectados: SolarWinds Serv-U (software de servidor de archivos multiprotocolo) en versiones anteriores a la 15.5.4 HF1.

🟠 Alta VENCERT-2026-031 CVE2026-50265 Activa
June 17, 2026

Libinput Uinput escalada de privilegios

Se identificó una falla de inyección de propiedades en la utilidad de asistencia libinput-device-group.

Sistemas afectados: Sistemas Linux que utilicen el componente libinput (común en entornos gráficos modernos basados en Wayland y Xorg) y que expongan o permitan acceso al dispositivo virtual /dev/uinput.

🟠 Alta VENCERT-2026-026 CVE-2026-48842 Activa
June 9, 2026

Inyección SQL Pre-Autenticación en el Plugin virtuser_query de Roundcube Webmail

Vulnerabilidad de inyección SQL de severidad alta (CVSS 8.1) que afecta de forma previa a la autenticación (Pre-auth) al servidor de correo web Roundcube, específicamente dentro del plugin virtuser_query.

Sistemas afectados: Infraestructuras de correo electrónico basadas en Roundcube Webmail instaladas en entornos de servidores Linux corporativos.

🟠 Alta VENCERT-2026-029 CVE-2026-32283 Resuelta
June 9, 2026

Bloqueo en la actualización de claves TLS 1.3

Si un cliente o servidor malicioso envía múltiples mensajes de actualización de claves (key update handshake messages) posteriores al saludo inicial dentro de un único registro TLS 1.3, la conexión puede entrar en un punto muerto (deadlock).

Sistemas afectados: Aplicaciones y servicios web desarrollados en Go (Golang) que utilicen el paquete estándar crypto/tls en conexiones TLS 1.3. Afecta a binarios construidos con versiones de Go anteriores a la 1.26.2 y 1.25.9.

🟠 Alta VENCERT-2026-019 CVE-2026-9470 Activa
June 1, 2026

Inyección SQL en StudentManagementSystem - función confirm_logged_in (student_trans.php)

Entrada no validada permite inyección SQL remota; posible lectura, alteración o borrado de datos en la base de la aplicación.

Sistemas afectados: yashpokharna2555 / StudentManagementSystem (commit cb2f558ddf8d19396de0f92abf2d224d46a0a203). Archivo student_trans.php, función confirm_logged_in; parámetros FIRST_NAME, Last_Name, EMAIL.

🟠 Alta VENCERT-2026-021 CVE-2026-42945 Resuelta
June 1, 2026

CVE-2026-42945

Vulnerabilidad de desbordamiento de búfer Heap Buffer Overflow en el procesamiento de la directiva rewrite del servidor.

Sistemas afectados: NGINX Open Source y NGINX Plus: Versiones 1.25.0 hasta la 1.25.4.

🟠 Alta VENCERT-2026-020 CVE-2026-42897 En seguimiento
June 1, 2026

CVE-2026-42897

Vulnerabilidad Cross-Site Scripting (XSS) y potencial ejecución remota que se activa sin requerir gran interacción por parte de la víctima.

Sistemas afectados: Microsoft Exchange Server: Versiones 2019 (Actualizaciones Acumulativas anteriores a la de mayo) y 2016. Componente específico: Outlook Web Access (OWA).

🟠 Alta VENCERT-2026-017 CVE-2026-2006 Activa
May 26, 2026

Ejecución de código arbitrario por validación incorrecta de longitud de caracteres multibyte en PostgreSQL

Un usuario de base de datos puede lanzar consultas maliciosas que provocan desbordamiento de búfer y, con ello, ejecutar código arbitrario con el mismo usuario del sistema operativo que ejecuta el proceso PostgreSQL (habitualmente postgres).

Sistemas afectados: PostgreSQL antes de: 18.2, 17.8, 16.12, 15.16, 14.21

🟠 Alta VENCERT-2026-015 CVE-2026-6637 Resuelta
May 26, 2026

Desbordamiento de Búfer en la Stack e Inyección SQL en PostgreSQL

Este fallo se genera debido a un búfer de tamaño fijo en el módulo que puede desbordarse al procesar nombres de columnas excesivamente largos.

Sistemas afectados: Instalaciones que utilicen el módulo contrib "refint" dentro de las siguientes ramas soportadas de PostgreSQL.