Publicado el

Vulnerabilidad en Windows Admin Center

 
Microsoft ha publicado un aviso de seguridad relativo a la vulnerabilidad CVE-2026-26119, que afecta a Windows Admin Center (WAC), una herramienta web de administración de sistemas ampliamente utilizada en entornos Windows para gestionar clientes, servidores, clusters, Hyper-V y servicios de Active Directory. La vulnerabilidad permite escalada de privilegios desde credenciales con permisos bajos, potencialmente hasta el nivel del usuario que ejecuta la aplicación.
 
Análisis
    • Identificador: CVE-2026-26119.
    • Tipo de fallo: Autenticación incorrecta (CWE-287) que permite escalar privilegios sobre la red sin interacción adicional del usuario.
    • Puntuación de riesgo: CVSS 3.x base ≈ 8.8 (Alta / Crítica)
    • Impacto: Si se explota con éxito, un atacante podría elevar sus privilegios al nivel del usuario que ejecuta Windows Admin Center, lo cual en ciertos entornos administrativos puede conducir hasta un compromiso total del dominio.

Nota técnica adicional: En análisis de terceros se detalla que la falla se origina en validaciones insuficientes de autenticación dentro de las APIs y componentes de WAC, lo que facilita la escalada desde cuentas de bajo privilegio.

Recursos afectados
    • Producto afectado: Windows Admin Center (antes de la versión 2511 / 2.6.4).
    • Versiones vulnerables: Todas las instalaciones de WAC anteriores a la actualización parcheada (incluidas versiones 2.x y 2511 cuando no estén actualizadas).
Recomendaciones
    • Aplicar el parche o actualización oficial de Windows Admin Center a la versión 2511 (o superior) distribuida por Microsoft o bien 2.6.4 en adelante según referencia de varios trackers técnicos.
Referencias
    • https://www.helpnetsecurity.com/2026/02/19/windows-admin-center-cve-2026-26119/
    • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26119
    • https://thehackernews.com/2026/02/microsoft-patches-cve-2026-26119.html

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)

Publicado el

Múltiples vulnerabilidades en Moodle

 
El centro de respuesta a incidentes de ciberseguridad español INCIBE-CERT ha publicado un aviso de importancia crítica por la detección de varias vulnerabilidades en Moodle, el sistema de gestión de aprendizaje de código abierto ampliamente utilizado en instituciones educativas y entornos corporativos. La explotación de estos fallos podría permitir desde ejecución remota de código hasta denegación de servicio y otros efectos adversos sobre la integridad y disponibilidad de los servicios.
 
Análisis
El aviso alerta sobre cuatro vulnerabilidades clasificadas de severidad crítica en las versiones activas del core de Moodle. Estas fallas fueron reportadas por investigadores externos y, de ser explotadas, podrían comprometer funcionalidades internas críticas del gestor de contenidos:
 
    • Ejecución remota de código al restaurar archivos, lo que podría permitir a un atacante ejecutar instrucciones arbitrarias con el contexto del servidor Moodle.
    • Riesgos derivados de componentes de infraestructura base, como módulos de proceso (por ejemplo, Symfony), que podrían derivar en ejecución de comandos no deseados.
 Estas vulnerabilidades afectan las versiones principales del producto (4.x y 5.x) previas a las actualizaciones de seguridad que ya han sido lanzadas por el equipo de desarrollo de Moodle.
 
 
Recursos afectados
    • Instancias de Moodle LMS anteriores a las versiones 5.1.2, 5.0.5 y 4.5.9, configuradas para permitir restauración de archivos o con filtros avanzados de contenido habilitados.

    • Componentes internos de procesamiento de contenido, incluyendo el módulo de procesamiento Symfony y filtros TeX integrados en el sistema.

    • Entornos educativos y corporativos que dependen de dichas versiones para la gestión de cursos, evaluaciones y servicios web de autenticación.
Recomendaciones
      • Actualizar Moodle a las versiones corregidas (5.1.2, 5.0.5, 4.5.9 o posteriores)
Referencias
    • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-11

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)

Publicado el

Publicación de parche de seguridad – Notepad++ (v8.9.2)

 
El editor de texto y código Notepad++ ha publicado un parche de seguridad para corregir fallos en su mecanismo de actualización que fueron aprovechados por un actor de amenazas avanzado ( vinculado con grupos de ciberespionaje de China)  para secuestrar actualizaciones legítimas y distribuir malware dirigido a usuarios específicos. Este incidente forma parte de una compromiso de la cadena de suministro que afectó a las versiones anteriores del software, posibilitando la entrega de un backdoor denominado Chrysalis.
 
Análisis
La vulnerabilidad se encontraba en el proceso de actualización automática de Notepad++, donde la falta de mecanismos robustos de verificación permitía que las actualizaciones fueran interceptadas y redirigidas hacia servidores controlados por atacantes. Esto posibilitó que se sirvieran instaladores maliciosos en lugar de versiones legítimas.

 La sofisticación del ataque indica un compromiso de infraestructura a nivel de proveedor de hosting, no explotación directa de una falla en el código fuente de Notepad++. Entre junio y diciembre de 2025, los actores consiguieron redirigir parte del tráfico de actualización para ciertos usuarios, entregando un backdoor sin documentar llamado Chrysalis, capaz de ejecución remota de código y otras capacidades maliciosas.

 
Recursos afectados
    • Notepad++:  versiones anteriores a la 8.8.9 con actualizador WinGUp si no aplica verificaciones robustas. 
    • Versiones sin el mecanismo de verificación de firma completo (antes de 8.9.2) están potencialmente en riesgo de haber sido blanco de actualización maliciosa durante el periodo de compromiso.
Recomendaciones
      • Actualizar inmediatamente todas las instalaciones de Notepad++ a la versión 8.9.2 o superior.
Referencias
    • https://thehackernews.com/2026/02/notepad-fixes-hijacked-update-mechanism.html

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)

Publicado el

Vulnerabilidad crítica en Microsoft 365 Copilot

 
 
Se ha identificado una vulnerabilidad de seguridad crítica en Microsoft 365 Copilot, registrada como CVE-2026-24307, que podría permitir a un atacante no autorizado divulgar información sensible a través de la red debido a una validación incorrecta del tipo de entrada de datos. Esta vulnerabilidad forma parte de las divulgaciones de seguridad recientes del proveedor, y representa un riesgo significativo para los entornos corporativos que utilizan Copilot.
 
Análisis
CVE-2026-24307 permite que un atacante con acceso a la red envíe una solicitud diseñada para explotar una falla en la validación de entradas de Copilot. Si la petición es procesada, el sistema podría devolver información interna o sensible. Así pues, se trata de un vector de divulgación de información donde los datos confidenciales del servicio pueden filtrarse sin comprometer directamente el control del sistema.
 
El ataque no requiere credenciales ni permisos especiales, sino que un actor remoto puede iniciar la explotación únicamente a través de la red, sin necesidad de acceso físico. Sin embargo, la explotación efectiva depende de cierta interacción del usuario, ya que el fallo solo se activa cuando Copilot procesa la entrada manipulada dentro de un flujo de interacción válido.
 
 
Recursos afectados
    • Microsoft 365 Copilot — versiones anteriores a las que contienen los parches de seguridad correspondientes.
  •  
Recomendaciones
      • Consultar la guía de actualizaciones de seguridad de Microsoft y confirmar que los parches correspondientes a CVE-2026-24307 estén aplicados en su tenant/instancia.
      • Evaluar restricciones y permisos de acceso a datos sensibles en Copilot para minimizar la exposición.
Referencias
    • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24307
    • https://www.cvedetails.com/cve/CVE-2026-24307/
    • https://www.ccn-cert.cni.es/ca/seguretat-al-dia/vulnerabilitats/view/47684.html

 

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)