Publicado el

Múltiples vulnerabilidades críticas en VMware Tanzu

El centro de respuesta a incidentes de ciberseguridad español INCIBE-CERT ha publicado un aviso de importancia crítica por la detección de varias vulnerabilidades en VMWare Tanzu, plataforma para crear, administrar y ejecutar aplicaciones modernas basadas en contenedores y Kubernetes en entornos empresariales.
 
Análisis
Broadcom ha publicado 5 avisos de seguridad que en conjunto corrigen 65 vulnerabilidades en diversos productos de VMware Tanzu. Entre estas, 2 son de severidad crítica, y el resto se distribuyen entre niveles altos, medios y bajos. La explotación exitosa de estas fallas podría permitir, entre otras acciones, el acceso no autorizado a servicios, ejecución remota de código y explotación de errores de manejo de memoria que comprometan la plataforma afectada.
 
Recursos afectados
      • VMware Tanzu Data Intelligence
      • VMware Tanzu Data Services
      • VMware Tanzu Data Services Pack
      • VMware Tanzu Data Services Solutions
      • VMware Tanzu Data Suite
      • VMware Tanzu for MySQL en Kubernetes
      • VMware Tanzu Platform
      • VMware Tanzu Platform SM
      • VMware Tanzu SQL
      • VMware Tanzu para Valkey
      • VMware Tanzu para Valkey en Kubernetes
      • VMware Tanzu Gemfire
      • VMware Tanzu Gemfire en Kubernetes

Estos componentes forman parte de la suite de servicios y herramientas de Tanzu que posibilitan la gestión de aplicaciones containerizadas y cargas de trabajo en Kubernetes.

Recomendaciones
      • Actualizar todos los productos afectados de VMware Tanzu a las versiones parcheadas más recientes facilitadas por el fabricante en los avisos de seguridad.
      • Revisar la configuración de entornos de producción y asegurarse de que no se utilicen versiones anteriores a las recomendadas.
      • Verificar los mecanismos de seguridad de red, incluidas políticas de firewall y segmentación, para limitar la exposición de servicios Tanzu a redes externas.
      • Fortalecer los controles de acceso y revisar registros de actividad para detectar comportamientos anómalos o intentos de explotación.
      • Mantener un inventario actualizado de los productos VMware Tanzu desplegados y su estado de parcheado.
Referencias
      • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-vmware-tanzu-2
      • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36997
      • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36998
      • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36999
      • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37000
      • https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37001

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)

Publicado el

CSIRT-CV elabora una guía para concienciar a las familias sobre la aplicación de medidas de protección de los menores en los juegos online

La Generalitat, a través del Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV), ha publicado una nueva guía para concienciar a las familias sobre la necesidad de implantar el control parental en los juegos online para proteger a los menores.

CSIRT-CV es un centro especializado en ciberseguridad, adscrito a la Dirección General de Tecnologías de la Información y las Comunicaciones (DGTIC), que ofrece sus servicios a la Administración Pública y a los profesionales y entidades privadas, así como a la ciudadanía.

En este sentido, CSIRT-CV desarrolla una intensa actividad de formación y concienciación que incluye la publicación de guías y recomendaciones, en sus perfiles de redes sociales y en su portal especializado, que ayudan a promover una cultura de la seguridad entre la sociedad y a fomentar las buenas prácticas en el uso de las tecnologías.

El director general de TIC, Javier Balfagón, ha explicado que “la guía se dirige a todas aquellas familias que deseen proteger y guiar a los menores a su cargo cuando estos hagan uso de juegos online como Roblox, Fortnite o Stumble Guys, así como de otros entornos digitales, que no son solo espacios de ocio sino lugares de socialización, donde se relacionan con otras personas igual que si estuvieran en el mundo real”.

“Estos entornos digitales -asegura- requieren de la misma atención y acompañamiento que los reales y conllevan riesgos asociados, desconocidos por los más pequeños. Por esta razón, es imprescindible que las familias conozcan y aprendan a utilizar las herramientas de apoyo que tienen a su alcance, como puede ser el control parental”.

Según Balfagón, “utilizar el control parental no es sinónimo de desconfianza hacia los menores y tampoco implica espiar ni castigar, sino protegerlos mediante un acompañamiento activo. Sin embargo, sí puede llegar a convertirse en una barrera cuando los adultos desconocen cómo implantarlo adecuadamente. Por ello, la guía explica cómo configurar la herramienta, no solo en los juegos sino en los propios chats que contienen”.

Supervisión responsable

Los expertos de CSIRT-CV explican que el control parental persigue proteger a los menores y guiarlos para que aprendan a moverse con seguridad en un entorno digital complejo que comparten con personas de todas las edades y con intenciones muy diferentes, lo que puede implicar riesgos como el ‘grooming’, las estafas, el acoso o el lenguaje tóxico.

Por ello, la guía ayuda a las familias a implantar la herramienta en los chats de juegos, con el objetivo de poner límites adecuados a la edad de cada menor y permitir una supervisión responsable por parte de los adultos. Además, la aplicación de medidas de protección permite a las familias detectar problemas a tiempo y actuar antes de que una situación se agrave.

Por otro lado, la guía se complementa con recomendaciones relativas a los controles adicionales que se deben realizar en los dispositivos, ya que, aunque se bloqueen los chats de los juegos, las consolas, tabletas u ordenadores, pueden contar con su propio chat independiente que, también, se debe proteger.

Por último, el documento incluye un listado de imprescindibles para poder imprimirlo a modo de recordatorio de reglas de seguridad digital en juegos y chats online, así como una batería de consejos clave para los menores de 13 años, como no compartir el nombre real ni otros datos personales, jugar solo con personas que conozcan en la vida real, compartir con los tutores cualquier situación anómala o incómoda vivida en el entorno digital, etc.

Publicado el

Vulnerabilidad en Windows Admin Center

 
Microsoft ha publicado un aviso de seguridad relativo a la vulnerabilidad CVE-2026-26119, que afecta a Windows Admin Center (WAC), una herramienta web de administración de sistemas ampliamente utilizada en entornos Windows para gestionar clientes, servidores, clusters, Hyper-V y servicios de Active Directory. La vulnerabilidad permite escalada de privilegios desde credenciales con permisos bajos, potencialmente hasta el nivel del usuario que ejecuta la aplicación.
 
Análisis
    • Identificador: CVE-2026-26119.
    • Tipo de fallo: Autenticación incorrecta (CWE-287) que permite escalar privilegios sobre la red sin interacción adicional del usuario.
    • Puntuación de riesgo: CVSS 3.x base ≈ 8.8 (Alta / Crítica)
    • Impacto: Si se explota con éxito, un atacante podría elevar sus privilegios al nivel del usuario que ejecuta Windows Admin Center, lo cual en ciertos entornos administrativos puede conducir hasta un compromiso total del dominio.

Nota técnica adicional: En análisis de terceros se detalla que la falla se origina en validaciones insuficientes de autenticación dentro de las APIs y componentes de WAC, lo que facilita la escalada desde cuentas de bajo privilegio.

Recursos afectados
    • Producto afectado: Windows Admin Center (antes de la versión 2511 / 2.6.4).
    • Versiones vulnerables: Todas las instalaciones de WAC anteriores a la actualización parcheada (incluidas versiones 2.x y 2511 cuando no estén actualizadas).
Recomendaciones
    • Aplicar el parche o actualización oficial de Windows Admin Center a la versión 2511 (o superior) distribuida por Microsoft o bien 2.6.4 en adelante según referencia de varios trackers técnicos.
Referencias
    • https://www.helpnetsecurity.com/2026/02/19/windows-admin-center-cve-2026-26119/
    • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26119
    • https://thehackernews.com/2026/02/microsoft-patches-cve-2026-26119.html

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)

Publicado el

Múltiples vulnerabilidades en Moodle

 
El centro de respuesta a incidentes de ciberseguridad español INCIBE-CERT ha publicado un aviso de importancia crítica por la detección de varias vulnerabilidades en Moodle, el sistema de gestión de aprendizaje de código abierto ampliamente utilizado en instituciones educativas y entornos corporativos. La explotación de estos fallos podría permitir desde ejecución remota de código hasta denegación de servicio y otros efectos adversos sobre la integridad y disponibilidad de los servicios.
 
Análisis
El aviso alerta sobre cuatro vulnerabilidades clasificadas de severidad crítica en las versiones activas del core de Moodle. Estas fallas fueron reportadas por investigadores externos y, de ser explotadas, podrían comprometer funcionalidades internas críticas del gestor de contenidos:
 
    • Ejecución remota de código al restaurar archivos, lo que podría permitir a un atacante ejecutar instrucciones arbitrarias con el contexto del servidor Moodle.
    • Riesgos derivados de componentes de infraestructura base, como módulos de proceso (por ejemplo, Symfony), que podrían derivar en ejecución de comandos no deseados.
 Estas vulnerabilidades afectan las versiones principales del producto (4.x y 5.x) previas a las actualizaciones de seguridad que ya han sido lanzadas por el equipo de desarrollo de Moodle.
 
 
Recursos afectados
    • Instancias de Moodle LMS anteriores a las versiones 5.1.2, 5.0.5 y 4.5.9, configuradas para permitir restauración de archivos o con filtros avanzados de contenido habilitados.

    • Componentes internos de procesamiento de contenido, incluyendo el módulo de procesamiento Symfony y filtros TeX integrados en el sistema.

    • Entornos educativos y corporativos que dependen de dichas versiones para la gestión de cursos, evaluaciones y servicios web de autenticación.
Recomendaciones
      • Actualizar Moodle a las versiones corregidas (5.1.2, 5.0.5, 4.5.9 o posteriores)
Referencias
    • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-11

Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.

Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)