Ausencia de autenticación en Nginx-UI
Fecha 06/03/2026
Importancia 5 - Crítica
Recursos Afectados
El paquete 'github.com/0xJacky/Nginx-UI' en versiones anteriores a la 2.3.3.
Descripción
tenbbughunters, ha reportado una vulnerabilidad de severidad crítica que podría permitir a un atacante no autenticado descargar una copia de seguridad completa del sistema.
Solución
Actualizar a la versión 2.3.3.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ausencia-de-autenticacion-en-nginx-ui
Fecha 06/03/2026
Importancia 5 - Crítica
Recursos Afectados
El paquete 'github.com/0xJacky/Nginx-UI' en versiones anteriores a la 2.3.3.
Descripción
tenbbughunters, ha reportado una vulnerabilidad de severidad crítica que podría permitir a un atacante no autenticado descargar una copia de seguridad completa del sistema.
Solución
Actualizar a la versión 2.3.3.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ausencia-de-autenticacion-en-nginx-ui
GitHub
GitHub - 0xJacky/nginx-ui: Yet another WebUI for Nginx
Yet another WebUI for Nginx. Contribute to 0xJacky/nginx-ui development by creating an account on GitHub.
Múltiples vulnerabilidades en HP Device Manager
Fecha 10/03/2026
Importancia 5 - Crítica
Recursos Afectados
HP Device Manager, versiones anteriores a la 5.0.16.
Descripción
HP ha emitido un aviso en el que informa de 43 vulnerabilidades, 3 críticas, 28 altas y 12 medias. En caso de ser explotadas, se podría producir una escalada de privilegios, la ejecución de código en remoto, una denegación de servicio o revelación de información.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-hp-device-manager-0
Fecha 10/03/2026
Importancia 5 - Crítica
Recursos Afectados
HP Device Manager, versiones anteriores a la 5.0.16.
Descripción
HP ha emitido un aviso en el que informa de 43 vulnerabilidades, 3 críticas, 28 altas y 12 medias. En caso de ser explotadas, se podría producir una escalada de privilegios, la ejecución de código en remoto, una denegación de servicio o revelación de información.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-hp-device-manager-0
www.incibe.es
Múltiples vulnerabilidades en HP Device Manager
HP ha emitido un aviso en el que informa de 43 vulnerabilidades, 3 críticas, 28 altas y 12 medias.
Vulnerabilities Resolved in Veeam Backup & Replication 12.3.2.4465
KB ID: 4830
Product: Veeam Backup & Replication | 12 | 12.1 | 12.2 | 12.3 | 12.3.1 | 12.3.2
Published: 2026-03-12
Solution
These vulnerabilities were fixed starting with the following build:
Veeam Backup & Replication 12.3.2.4465
https://www.veeam.com/kb4830
KB ID: 4830
Product: Veeam Backup & Replication | 12 | 12.1 | 12.2 | 12.3 | 12.3.1 | 12.3.2
Published: 2026-03-12
Solution
These vulnerabilities were fixed starting with the following build:
Veeam Backup & Replication 12.3.2.4465
https://www.veeam.com/kb4830
Veeam Software
KB4830: Vulnerabilities Resolved in Veeam Backup & Replication 12.3.2.4465
Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability
Released: Mar 10, 2026
Last updated: Mar 13, 2026
Assigning CNA Microsoft
Impact Remote Code Execution
Max Severity Important
https://msrc.microsoft.com/update-guide/es-es/vulnerability/CVE-2026-25172
Released: Mar 10, 2026
Last updated: Mar 13, 2026
Assigning CNA Microsoft
Impact Remote Code Execution
Max Severity Important
https://msrc.microsoft.com/update-guide/es-es/vulnerability/CVE-2026-25172
Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability
Released: Mar 10, 2026
Last updated: Mar 13, 2026
Assigning CNA Microsoft
Impact Remote Code Execution
Max Severity Important
https://msrc.microsoft.com/update-guide/es-es/vulnerability/CVE-2026-25173
Released: Mar 10, 2026
Last updated: Mar 13, 2026
Assigning CNA Microsoft
Impact Remote Code Execution
Max Severity Important
https://msrc.microsoft.com/update-guide/es-es/vulnerability/CVE-2026-25173
Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability
Released: Mar 10, 2026
Last updated: Mar 13, 2026
Assigning CNA Microsoft
Impact Remote Code Execution
Max Severity Important
https://msrc.microsoft.com/update-guide/es-es/vulnerability/CVE-2026-25111
Released: Mar 10, 2026
Last updated: Mar 13, 2026
Assigning CNA Microsoft
Impact Remote Code Execution
Max Severity Important
https://msrc.microsoft.com/update-guide/es-es/vulnerability/CVE-2026-25111
HPESBNW05027 rev.1 - HPE Aruba Networking AOS-CX, Multiple Vulnerabilities
Last Updated: 2026-03-13
Release Date: 2026-03-10
Potential Security Impact: Remote: Access Restriction Bypass, Code Execution, URL Redirection
Advisory ID: HPESBNW05027
CVE: CVE-2026-23813, CVE-2026-23814, CVE-2026-23815,
CVE-2026-23816, CVE-2026-23817
Publication Date: 2026-Mar-10
Status: Confirmed
Severity: Critical
Revision: 1
Affected Products
HPE Aruba Networking AOS-CX Software Version(s):
AOS-CX 10.17.xxxx: 10.17.0001 and below
AOS-CX 10.16.xxxx: 10.16.1020 and below
AOS-CX 10.13.xxxx: 10.13.1160 and below
AOS-CX 10.10.xxxx: 10.10.1170 and below
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw05027en_us
Last Updated: 2026-03-13
Release Date: 2026-03-10
Potential Security Impact: Remote: Access Restriction Bypass, Code Execution, URL Redirection
Advisory ID: HPESBNW05027
CVE: CVE-2026-23813, CVE-2026-23814, CVE-2026-23815,
CVE-2026-23816, CVE-2026-23817
Publication Date: 2026-Mar-10
Status: Confirmed
Severity: Critical
Revision: 1
Affected Products
HPE Aruba Networking AOS-CX Software Version(s):
AOS-CX 10.17.xxxx: 10.17.0001 and below
AOS-CX 10.16.xxxx: 10.16.1020 and below
AOS-CX 10.13.xxxx: 10.13.1160 and below
AOS-CX 10.10.xxxx: 10.10.1170 and below
https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbnw05027en_us
🔍 CVEf CVE-2026-4254 - Tenda AC8 HTTP Endpoint SysToolChangePwd doSystemCmd stack-based overflow
CVE ID :CVE-2026-4254
https://nvd.nist.gov/vuln/detail/CVE-2026-4254
CVE ID :CVE-2026-4254
https://nvd.nist.gov/vuln/detail/CVE-2026-4254
🔍 CVEf CVE-2026-4312 - DrangSoft|GCB/FCB Audit Software - Missing Authentication
CVE ID :CVE-2026-4312
Published : March 17, 2026
Description :
GCB/FCB Audit Software developed by DrangSoft has a Missing Authentication vulnerability, allowing unauthenticated remote attackers to directly access certain APIs to create a new administrative accou…
https://nvd.nist.gov/vuln/detail/CVE-2026-4312
CVE ID :CVE-2026-4312
Published : March 17, 2026
Description :
GCB/FCB Audit Software developed by DrangSoft has a Missing Authentication vulnerability, allowing unauthenticated remote attackers to directly access certain APIs to create a new administrative accou…
https://nvd.nist.gov/vuln/detail/CVE-2026-4312
Ejecución de código en remoto sin autenticación en Langflow
Fecha 18/03/2026
Importancia 5 - Crítica
Recursos Afectados
Langflow, versión 1.8.1 y anteriores.
Descripción
Langflow ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir la ejecución de código en remoto sin autenticación.
Solución
Por el momento no existe un parche que resuelva el problema, sin embargo, se recomienda reconfigurar el producto de la siguiente forma para evitar verse afectado por esta vulnerabilidad:
En ' build_public_tmp' eliminar el parámetro ' data'. Los flujos públicos solo deberían ejecutar sus flujos de datos almacenados, no los proporcionados por un atacante.
En ' generate_flow_events → create_graph()', la única ruta que debería estar habilitada para peticiones no autenticadas es ' build_graph_from_db'.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-de-codigo-en-remoto-sin-autenticacion-en-langflow
Fecha 18/03/2026
Importancia 5 - Crítica
Recursos Afectados
Langflow, versión 1.8.1 y anteriores.
Descripción
Langflow ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir la ejecución de código en remoto sin autenticación.
Solución
Por el momento no existe un parche que resuelva el problema, sin embargo, se recomienda reconfigurar el producto de la siguiente forma para evitar verse afectado por esta vulnerabilidad:
En ' build_public_tmp' eliminar el parámetro ' data'. Los flujos públicos solo deberían ejecutar sus flujos de datos almacenados, no los proporcionados por un atacante.
En ' generate_flow_events → create_graph()', la única ruta que debería estar habilitada para peticiones no autenticadas es ' build_graph_from_db'.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-de-codigo-en-remoto-sin-autenticacion-en-langflow
www.incibe.es
Ejecución de código en remoto sin autenticación en Langflow
Langflow ha informado de una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría
CVE-2026-28779: Apache Airflow: Path of session token in cookie does not consider base_url - session hijacking via co-hosted applications
Severity: Medium
Affected versions:
- Apache Airflow (apache-airflow) 3.0.0 before 3.1.8
https://lists.apache.org/thread/r4n5znb8mcq14wo9v8ndml36nxlksdqb
Severity: Medium
Affected versions:
- Apache Airflow (apache-airflow) 3.0.0 before 3.1.8
https://lists.apache.org/thread/r4n5znb8mcq14wo9v8ndml36nxlksdqb
AI Flaws in Amazon Bedrock, LangSmith, and SGLang Enable Data Exfiltration and RCE
Cybersecurity researchers have disclosed details of a new method for exfiltrating sensitive data from artificial intelligence (AI) code execution environments using domain name system (DNS) queries.
In a report published Monday, BeyondTrust revealed that Amazon Bedrock AgentCore Code Interpreter's s…
https://thehackernews.com/2026/03/ai-flaws-in-amazon-bedrock-langsmith.html
Cybersecurity researchers have disclosed details of a new method for exfiltrating sensitive data from artificial intelligence (AI) code execution environments using domain name system (DNS) queries.
In a report published Monday, BeyondTrust revealed that Amazon Bedrock AgentCore Code Interpreter's s…
https://thehackernews.com/2026/03/ai-flaws-in-amazon-bedrock-langsmith.html