Publicado el

Vulnerabilidad crítica en Apple

CVE-2026-20643 es un fallo de seguridad descubierto en el motor WebKit, la tecnología que utilizan Safari y muchas aplicaciones en dispositivos de Apple para renderizar contenido web. Se trata de una vulnerabilidad de tipo cross-origin, lo que significa que afecta a la política de mismo origen (Same Origin Policy), un mecanismo que impide que una página web acceda a los datos de otra sin autorización. En condiciones normales, esta política protege información sensible como cookies, sesiones de usuario o datos almacenados en el navegador. Sin embargo, debido a un error en la implementación de la Navigation API dentro de WebKit, un atacante podría diseñar contenido web malicioso capaz de eludir estas restricciones. Si un usuario accede a una página manipulada, el atacante podría potencialmente acceder a información de otros sitios abiertos en el navegador o interactuar con ellos de forma indebida.

Análisis 

CVE-2026-20643 se basa en un fallo en la forma en que el motor WebKit gestiona los cambios de navegación entre páginas weba través de la Navigation API. Para comprender su funcionamiento, es necesario partir de la Same Origin Policy, una política fundamental que garantiza que cada sitio web opere de manera aislada, impidiendo que uno acceda a los datos de otro sin permiso. Tiene un CVSS:3.0 de 8,1.

Sin embargo, en este caso, el problema surge porque WebKit no valida correctamente el origen de ciertos contenidos durante transiciones específicas de navegación. Cuando una página web provoca cambios dinámicos, como redirecciones, manipulación del historial o el uso de iframes el navegador debería comprobar rigurosamente a qué origen pertenece cada recurso. No obstante, debido a este fallo, si esa verificación se realiza de forma incorrecta, genera una confusión de contextos.

A partir de esta debilidad, un atacante puede construir una página web especialmente diseñada que aproveche esos estados inconsistentes. Así, cuando un usuario visita dicha página, el navegador puede llegar a interpretar que el contenido malicioso pertenece al mismo origen que otra página legítima que el usuario tenga abierta. Como consecuencia, se rompe el aislamiento entre ambos contextos, lo que permite que el sitio malicioso acceda a información que, en condiciones normales, debería estar protegida.

De este modo, el ataque no requiere la instalación de software adicional ni la explotación de vulnerabilidades complejas en el sistema, sino simplemente que la víctima acceda a un sitio web manipulado. Una vez conseguido ese acceso indebido, el atacante podría leer datos sensibles, como cookies o tokens de sesión, o incluso interactuar con otras páginas en nombre del usuario, comprometiendo así su privacidad y seguridad.

 

Versiones afectadas

    • iOS 26.3.1, iPadOS 26.3.1, macOS 26.3.1 y macOS 26.3.2.
 

Recomendaciones

    • Activar las actualizaciones automáticas e instalar los parches para esta vulnerabilidad.
    •  
Publicado el

Fortinet, Ivanti e Intel publican parches para múltiples vulnerabilidades

Fortinet, Ivanti e Intel han publicado nuevas actualizaciones de seguridad que corrigen múltiples vulnerabilidades de alta severidad. Estas fallas podrían permitir desde ejecución arbitraria de código hasta elevación de privilegios o bypass de limitaciones de autenticación, afectando tanto software empresarial como firmware de dispositivos

Análisis 

Las tres compañías han liberado un volumen significativo de parches, incluyendo docenas de vulnerabilidades, varias de ellas clasificadas como alta severidad. En el caso de Fortinet, se han corregido 22 fallos que afectan a múltiples productos, algunos explotables por atacantes remotos y no autenticados para ejecutar código o eludir límites de autenticación. Ivanti, por su parte, ha corregido una vulnerabilidad grave en su solución Desktop and Server Management (DSM) previa a la versión 2026.1.1, que podía permitir elevación de privilegios. Intel ha publicado un aviso sobre nueve vulnerabilidades en UEFI, incluyendo cinco de alta severidad que podrían permitir ejecución local de código, elevación de privilegios o fuga de información. Ninguna de estas vulnerabilidades parece haber sido explotada en el momento de la publicación.
 

Vulnerabilidades Relevantes

Fortinet

Productos afectados: FortiWeb, FortiSwitchAXFixed, FortiManager, FortiClientLinux

Descripción: Fallos en FortiWeb, FortiSwitchAXFixed y FortiManager que permitirían a atacantes remotos no autenticados bypassear límites de autenticación o ejecutar comandos/código no autorizado. En FortiClientLinux, una vulnerabilidad de tipo Symlink following podría permitir a un atacante local elevar privilegios a root.

Ivanti

Producto: Desktop and Server Management (DSM)

Versiones afectadas: anteriores a 2026.1.1

Descripción: vulnerabilidad de alta severidad que podía permitir la elevación de privilegios en el sistema.

Intel

Producto: UEFI (en múltiples plataformas de referencia Intel)

Modelos afectados: más de 45 modelos de procesadores

Descripción: nueve vulnerabilidades, cinco de alta severidad, que permitirían ejecución local de código, elevación de privilegios o divulgación de información.

 

Recomendaciones

Se recomienda aplicar todas las actualizaciones de seguridad lo antes posible.
    •  
Publicado el

Boletín mensual de seguridad de Adobe

Adobe ha publicado parches para 80 vulnerabilidades que afectan a ocho productos, entre ellos Commerce, Illustrator, Acrobat Reader y Premiere Pro.

Análisis 

El paquete incluye fallos críticos y de alta criticidad, principalmente relacionados con ejecución arbitraria de código, escalada de privilegios, bypass de seguridad y denegación de servicio (DoS).
Adobe no ha detectado explotación activa en el momento de la publicación. Los productos más sensibles, como Adobe Commerce, reciben prioridad debido a su historial de ataques.
 

Vulnerabilidades Relevantes

Adobe Commerce / Magento
 
19 vulnerabilidades parcheadas. 6 de alta severidad (5 de escalada de privilegios: CVE‑2026‑21290, CVE‑2026‑21361, CVE‑2026‑21284, CVE‑2026‑21311, CVE‑2026‑21309; 1 de bypass de seguridad: CVE‑2026‑21289). Incluye fallos de ejecución de código, bypass y DoS.
 
Adobe Illustrator
 
7 vulnerabilidades, incluyendo 5 que permiten ejecución de código (CVE‑2026‑21333, CVE‑2026‑21362, CVE‑2026‑27271, CVE‑2026‑27272, CVE‑2026‑27267).
 
Acrobat Reader, Premiere Pro, Substance 3D Stager y DNG SDK
 
Vulnerabilidades de alta severidad con potencial de ejecución de código. Priorización más baja (rating 3), menor probabilidad de explotación.
 

Recomendaciones

Aplicar los parches lo antes posible según corresponda: https://helpx.adobe.com/security/products/magento/apsb26-05.html

Referencias

    •  
Publicado el

Estafa a Mi Carpeta Ciudadana

INICIBE ha publicado una estafa que afecta a Mi Carpeta Ciudadana del Gobierno de España. Los ciberdelincuentes envían un correo que afirma falsamente que se ha generado un ingreso de 552,97 € para el destinatario.

 
Análisis
 
El propósito de la campaña es robar datos personales y bancarios de los usuarios, incluyendo:
 
    • Contraseña de acceso a la banca online
 
El aviso destaca varias señales claras de fraude:
 
    • Web falsa que imita a Mi Carpeta Ciudadana y pide datos sensibles.
Recomendaciones
Si no pulsaste el enlace:
 
Si ingresaste datos en la web falsa, como datos personales o bancarios:
 
 
Referencias

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)