Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Nexkey (CVE-2023-52077)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/12/2023
    Fecha de última actualización: 04/01/2024
    Nexkey es una bifurcación liviana de Misskey v12 optimizada para servidores de tamaño pequeño y mediano. Antes de 12.23Q4.5, Nexkey permitía que aplicaciones externas que utilizaran tokens emitidos por administradores y moderadores llamaran a las API de administración. Esto permite que aplicaciones maliciosas de terceros realicen operaciones como actualizar la configuración del servidor, así como comprometer el almacenamiento de objetos y las credenciales del servidor de correo electrónico. Este problema se solucionó en 12.23Q4.5.
  • Vulnerabilidad en code-projects Intern Membership Management System 2.0 (CVE-2023-7131)
    Severidad: MEDIA
    Fecha de publicación: 28/12/2023
    Fecha de última actualización: 04/01/2024
    Una vulnerabilidad fue encontrada en code-projects Intern Membership Management System 2.0 y clasificada como crítica. Una función desconocida del archivo /user_registration/ del componente User Registration es afectada por esta vulnerabilidad. La manipulación del argumento userName conduce a la inyección de SQL. La explotación ha sido divulgada al público y puede utilizarse. VDB-249134 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Intern Membership Management System 2.0 (CVE-2023-7132)
    Severidad: BAJA
    Fecha de publicación: 28/12/2023
    Fecha de última actualización: 04/01/2024
    Se encontró una vulnerabilidad en los proyectos de código Intern Membership Management System 2.0. Ha sido clasificada como problemática. Una parte desconocida del fichero /user_registration/ del componente User Registration afecta a una parte desconocida. La manipulación del argumento userName/firstName/lastName/userEmail con la entrada ">h0la conduce a cross site scripting. La explotación se ha divulgado al público y puede usarse. El identificador asociado de esta vulnerabilidad es VDB-249135.
  • Vulnerabilidad en y_project RuoYi 4.7.8 (CVE-2023-7133)
    Severidad: MEDIA
    Fecha de publicación: 28/12/2023
    Fecha de última actualización: 04/01/2024
    Se encontró una vulnerabilidad en y_project RuoYi 4.7.8. Ha sido declarada problemática. Esta vulnerabilidad afecta a código desconocido del archivo /login del componente HTTP POST Request Handler. La manipulación del argumento rememberMe con la entrada falsen3f0mp86o0 conduce a cross site scripting. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-249136.
  • Vulnerabilidad en ZZCMS 2023 (CVE-2023-50104)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 05/01/2024
    ZZCMS 2023 tiene una vulnerabilidad de carga de archivos en 3/E_bak5.1/upload/index.php, lo que permite a los atacantes explotar esta vulnerabilidad para obtener privilegios de servidor y ejecutar código arbitrario.
  • Vulnerabilidad en Winter (CVE-2023-52085)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 05/01/2024
    Winter es un sistema de gestión de contenidos gratuito y de código abierto. Los usuarios con acceso a formularios backend que incluyen un ColorPicker FormWidget pueden proporcionar un valor que luego se incluiría sin procesamiento adicional en la compilación de hojas de estilo personalizadas a través de LESS. Esto tenía el potencial de provocar una vulnerabilidad de inclusión de archivos locales. Este problema se solucionó en la versión 1.2.4.
  • Vulnerabilidad en gopeak MasterLab (CVE-2023-7144)
    Severidad: MEDIA
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 05/01/2024
    Una vulnerabilidad ha sido encontrada en gopeak MasterLab hasta 3.3.10 y clasificada como crítica. Esto afecta a la función sqlInject del archivo app/ctrl/framework/Feature.php del componente HTTP POST Request Handler. La manipulación del argumento pwd conduce a la inyección de SQL. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-249147.
  • Vulnerabilidad en NTH-AN00 7.0.0.157 (CVE-2023-23431)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad en la administración de firmas; una explotación exitosa podría causar que el archivo del sistema falsificado sobrescriba el archivo del sistema correcto.
  • Vulnerabilidad en NTH-AN00 7.0.0.157 (CVE-2023-23432)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad en la administración de firmas; una explotación exitosa podría causar que el archivo del sistema falsificado sobrescriba el archivo del sistema correcto.
  • Vulnerabilidad en NTH-AN00 7.0.0.157 (CVE-2023-23433)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad en la administración de firmas; una explotación exitosa podría causar que el archivo del sistema falsificado sobrescriba el archivo del sistema correcto.
  • Vulnerabilidad en HonorBoardApp 7.2.8.100 (CVE-2023-23434)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de fuga de información; una explotación exitosa podría causar la fuga de información.
  • Vulnerabilidad en Magic OS 7.1.0.137 (CVE-2023-23435)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad en la administración de firmas; una explotación exitosa podría causar que el archivo del sistema falsificado sobrescriba el archivo del sistema correcto.
  • Vulnerabilidad en Magic OS 7.1.0.100 (CVE-2023-23436)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad en la administración de firmas; una explotación exitosa podría causar que el archivo del sistema falsificado sobrescriba el archivo del sistema correcto.
  • Vulnerabilidad en Sesami Cash Point & Transport Optimizer 6.3.8.6 (CVE-2023-31292)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Se descubrió un problema en Sesami Cash Point & Transport Optimizer (CPTO) 6.3.8.6 (#718), que permite a atacantes locales obtener información confidencial y omitir la autenticación mediante el ataque "Back Button Refresh".
  • Vulnerabilidad en Sesami Cash Point & Transport Optimizer 6.3.8.6 (CVE-2023-31298)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Vulnerabilidad de Cross Site Scripting (XSS) en Sesami Cash Point & Transport Optimizer (CPTO) versión 6.3.8.6 (#718), permite a atacantes remotos ejecutar código arbitrario y obtener información confidencial a través del campo User ID al crear un nuevo usuario del sistema.
  • Vulnerabilidad en Sesami Cash Point & Transport Optimizer 6.3.8.6 (CVE-2023-31301)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Vulnerabilidad de cross site scripting (XSS) almacenado en Sesami Cash Point & Transport Optimizer (CPTO) versión 6.3.8.6 (#718), permite a atacantes remotos ejecutar código arbitrario y obtener información confidencial a través del campo Username del formulario de inicio de sesión y el registro de la aplicación.
  • Vulnerabilidad en gopeak MasterLab (CVE-2023-7145)
    Severidad: MEDIA
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Una vulnerabilidad fue encontrada en gopeak MasterLab hasta 3.3.10 y clasificada como crítica. Esta vulnerabilidad afecta a la función sqlInject del archivo app/ctrl/Framework.php del componente HTTP POST Request Handler. La manipulación del argumento pwd conduce a la inyección de SQL. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-249148.
  • Vulnerabilidad en gopeak MasterLab (CVE-2023-7146)
    Severidad: MEDIA
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Una vulnerabilidad fue encontrada en gopeak MasterLab hasta 3.3.10 y clasificada como crítica. Este problema afecta la función sqlInjectDelete del archivo app/ctrl/framework/Feature.php del componente HTTP POST Request Handler. La manipulación del argumento teléfono conduce a la inyección de SQL. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-249149.
  • Vulnerabilidad en ActiveAdmin (CVE-2023-50448)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/12/2023
    Fecha de última actualización: 04/01/2024
    En ActiveAdmin (aka Active Admin) anterior a 2.12.0, un problema de concurrencia permite que un actor malintencionado acceda a datos potencialmente privados (que pertenecen a otro usuario) al realizar solicitudes de exportación CSV en determinados momentos específicos.
  • Vulnerabilidad en Winter (CVE-2023-52083)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/12/2023
    Fecha de última actualización: 05/01/2024
    Winter es un sistema de gestión de contenidos gratuito y de código abierto. Antes de 1.2.4, los usuarios con el permiso `media.manage_media` podían cargar archivos en el Media Manager y cambiarles el nombre después de cargarlos. Anteriormente, los archivos del Media Manager solo se sanitizaban al cargarlos, no al cambiarles el nombre, lo que podría haber permitido un ataque XSS almacenado. Este problema se solucionó en la versión 1.2.4.
  • Vulnerabilidad en Winter (CVE-2023-52084)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/12/2023
    Fecha de última actualización: 05/01/2024
    Winter es un sistema de gestión de contenidos gratuito y de código abierto. Antes de 1.2.4, los usuarios con acceso a formularios de backend que incluyen un FormWidget ColorPicker pueden proporcionar un valor que luego se mostraría sin formato de escape en el formulario de backend, lo que podría permitir un ataque XSS almacenado. Este problema se solucionó en la versión 1.2.4.
  • Vulnerabilidad en NTH-AN00 7.0.0.120 (CVE-2023-23424)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de escritura de archivos, una explotación exitosa podría provocar la ejecución del código
  • Vulnerabilidad en FRI-AN00 7.0.0.193 (CVE-2023-23426)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de escritura de archivos; una explotación exitosa podría provocar la divulgación de información.
  • Vulnerabilidad en Magic OS 7.1.0.74 (CVE-2023-23427)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de asignación de privilegios incorrecta; una explotación exitosa podría causar excepciones en el servicio del dispositivo.
  • Vulnerabilidad en Magic OS 7.2.0.102 (CVE-2023-23428)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de asignación de privilegios incorrecta; una explotación exitosa podría causar excepciones en el servicio del dispositivo.
  • Vulnerabilidad en Magic OS 7.0.0.193 (CVE-2023-23429)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de asignación de privilegios incorrecta; una explotación exitosa podría causar excepciones en el servicio del dispositivo.
  • Vulnerabilidad en com.hihonor.magichome 7.60.10.303 (CVE-2023-23430)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de asignación de privilegios incorrecta; una explotación exitosa podría causar excepciones en el servicio del dispositivo.
  • Vulnerabilidad en com.hihonor.vmall 2.3.3.300 (CVE-2023-23437)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de fuga de información, una explotación exitosa podría causar la fuga de información
  • Vulnerabilidad en LGE-AN00 6.0.0.188 (CVE-2023-23438)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de asignación de privilegios incorrecta; una explotación exitosa podría causar excepciones en el servicio del dispositivo
  • Vulnerabilidad en LGE-AN00 7.0.0.171 (CVE-2023-23439)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de fuga de información; una explotación exitosa podría causar la fuga de información.
  • Vulnerabilidad en LGE-AN00 7.0.0.171 (CVE-2023-23440)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de fuga de información; una explotación exitosa podría causar la fuga de información.
  • Vulnerabilidad en Magic UI 6.1.0.500 (CVE-2023-23441)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de lectura fuera de los límites; una explotación exitosa podría provocar una fuga de información.
  • Vulnerabilidad en Magic OS 7.0.0.158 (CVE-2023-23442)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de confusión de tipos; una explotación exitosa podría provocar una fuga de información.
  • Vulnerabilidad en Magic OS 7.0.0.156 (CVE-2023-23443)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de confusión de tipos; una explotación exitosa podría provocar una fuga de información.
  • Vulnerabilidad en Sesami Cash Point & Transport Optimizer 6.3.8.6 (CVE-2023-31296)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Vulnerabilidad de inyección CSV en Sesami Cash Point & Transport Optimizer (CPTO) versión 6.3.8.6 (#718), permite a los atacantes obtener información confidencial a través del campo User Name.
  • Vulnerabilidad en Magic OS 7.0.0.129 (CVE-2023-51426)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de confusión de tipos; una explotación exitosa podría provocar una fuga de información.
  • Vulnerabilidad en Magic OS 7.0.0.129 (CVE-2023-51427)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de confusión de tipos; una explotación exitosa podría provocar una fuga de información.
  • Vulnerabilidad en Magic OS 7.0.0.129 (CVE-2023-51428)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de confusión de tipos; una explotación exitosa podría provocar una fuga de información.
  • Vulnerabilidad en Magic OS 7.0.0.156 (CVE-2023-51429)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    Algunos productos Honor se ven afectados por una vulnerabilidad de asignación de privilegios incorrecta; una explotación exitosa podría provocar una fuga de información.
  • Vulnerabilidad en XnView Classic (CVE-2023-52173)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    XnView Classic anterior a 2.51.3 en Windows tiene una violación de acceso de escritura en xnview.exe+0x3ADBD0.
  • Vulnerabilidad en XnView Classic (CVE-2023-52174)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 04/01/2024
    XnView Classic anterior a 2.51.3 en Windows tiene una violación de acceso de escritura en xnview.exe+0x3125D6.