Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Buildroot (CVE-2023-45839)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 12/12/2023
    Existen múltiples vulnerabilidades de integridad de datos en la funcionalidad de verificación de hash del paquete de Buildroot 2023.08.1 y el commit de desarrollo de Buildroot 622698d7847. Un ataque de intermediario especialmente manipulado puede provocar la ejecución de comandos arbitrarios en el generador. Esta vulnerabilidad está relacionada con el paquete `aufs-util`.
  • Vulnerabilidad en Buildroot (CVE-2023-45840)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 12/12/2023
    Existen múltiples vulnerabilidades de integridad de datos en la funcionalidad de verificación de hash del paquete de Buildroot 2023.08.1 y el commit de desarrollo de Buildroot 622698d7847. Un ataque de intermediario especialmente manipulado puede provocar la ejecución de comandos arbitrarios en el generador. Esta vulnerabilidad está relacionada con el paquete `riscv64-elf-toolchain`.
  • Vulnerabilidad en Buildroot (CVE-2023-45841)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 12/12/2023
    Existen múltiples vulnerabilidades de integridad de datos en la funcionalidad de verificación de hash del paquete de Buildroot 2023.08.1 y el commit de desarrollo de Buildroot 622698d7847. Un ataque de intermediario especialmente manipulado puede provocar la ejecución de comandos arbitrarios en el generador. Esta vulnerabilidad está relacionada con el paquete "versal-firmware".
  • Vulnerabilidad en Buildroot (CVE-2023-45842)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 12/12/2023
    Existen múltiples vulnerabilidades de integridad de datos en la funcionalidad de verificación de hash del paquete de Buildroot 2023.08.1 y el commit de desarrollo de Buildroot 622698d7847. Un ataque de intermediario especialmente manipulado puede provocar la ejecución de comandos arbitrarios en el generador. Esta vulnerabilidad está relacionada con el paquete `mxsldr`.
  • Vulnerabilidad en Dell PowerEdge 16G Intel E5 BIOS y Dell Precision BIOS (CVE-2023-44297)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 12/12/2023
    Las plataformas Dell PowerEdge 16G Intel E5 BIOS y Dell Precision BIOS, versión 1.4.4, contienen una vulnerabilidad de seguridad de código de depuración activa. Un atacante físico no autenticado podría explotar esta vulnerabilidad, lo que provocaría la divulgación de información, la manipulación de información, la ejecución de código y la denegación de servicio.
  • Vulnerabilidad en Dell PowerEdge 16G Intel E5 BIOS y Dell Precision BIOS (CVE-2023-44298)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 12/12/2023
    Las plataformas Dell PowerEdge 16G Intel E5 BIOS y Dell Precision BIOS, versión 1.4.4, contienen una vulnerabilidad de seguridad de código de depuración activa. Un atacante físico no autenticado podría explotar esta vulnerabilidad, lo que provocaría manipulación de información, ejecución de código y denegación de servicio.
  • Vulnerabilidad en Elastic (CVE-2023-46674)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 12/12/2023
    Se identificó un problema que permitía la deserialización insegura de objetos Java desde propiedades de configuración de Hadoop o Spark que podrían haber sido modificadas por usuarios autenticados. Elastic quisiera agradecer a Yakov Shafranovich, de Amazon Web Services, por informar este problema.
  • Vulnerabilidad en PyDrive2 (CVE-2023-49297)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 12/12/2023
    PyDrive2 es una librería contenedora de google-api-python-client que simplifica muchas tareas comunes de la API V2 de Google Drive. La deserilización insegura de YAML dará como resultado la ejecución de código arbitrario. Un archivo YAML creado con fines malintencionados puede provocar la ejecución de código arbitrario si PyDrive2 se ejecuta en el mismo directorio que él o si se carga a través de `LoadSettingsFile`. Este es un ataque de deserilización que afectará a cualquier usuario que inicialice GoogleAuth desde este paquete mientras hay un archivo yaml malicioso presente en el mismo directorio. Esta vulnerabilidad no requiere que el archivo se cargue directamente a través del código, solo está presente. Este problema se solucionó en el commit "c57355dc" que se incluye en la versión "1.16.2". Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Huawei HarmonyOS (CVE-2023-49241)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/12/2023
    Fecha de última actualización: 12/12/2023
    Vulnerabilidad de control de permisos API en el módulo de gestión de red. La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad del servicio.
  • Vulnerabilidad en Huawei HarmonyOS (CVE-2023-49242)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/12/2023
    Fecha de última actualización: 12/12/2023
    Vulnerabilidad de transmisión gratuita en el módulo de gestión en ejecución. La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad del servicio.