Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en un generador de números aleatorios en la herramienta de línea de comandos 1Password y 1Password SCIM bridge (CVE-2020-10256)
    Severidad: MEDIA
    Fecha de publicación: 27/10/2020
    Fecha de última actualización: 25/03/2024
    Se detectó un problema en las versiones beta de la herramienta de línea de comandos 1Password versiones anteriores a 0.5.5 y en las versiones beta de 1Password SCIM bridge anteriores a 0.7.3. Se usó un generador de números aleatorios no seguro para generar varias claves. Un atacante con acceso a los datos cifrados del usuario puede ser capaz de llevar a cabo cálculos de fuerza bruta de las claves de cifrado y, por lo tanto, tener éxito en el descifrado
  • Vulnerabilidad en AgileBits 1Password (CVE-2022-32550)
    Severidad: MEDIA
    Fecha de publicación: 15/06/2022
    Fecha de última actualización: 25/03/2024
    Se ha detectado un problema en AgileBits 1Password, que afecta al método que usan varias aplicaciones e integraciones de 1Password para crear conexiones con el servicio de 1Password. En determinadas circunstancias, este problema permitía a un servidor malicioso convencer a una aplicación o integración de 1Password de que estaba comunicándose con el servicio de 1Password
  • Vulnerabilidad en PostgreSQL (CVE-2024-1597)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/02/2024
    Fecha de última actualización: 25/03/2024
    pgjdbc, el controlador JDBC de PostgreSQL, permite al atacante inyectar SQL si usa PreferQueryMode=SIMPLE. Tenga en cuenta que este no es el valor predeterminado. En el modo predeterminado no hay vulnerabilidad. Un comodín para un valor numérico debe ir precedido inmediatamente de un signo menos. Debe haber un segundo marcador de posición para un valor de cadena después del primer marcador de posición; ambos deben estar en la misma línea. Al construir un payload de cadena coincidente, el atacante puede inyectar SQL para alterar la consulta, evitando las protecciones que las consultas parametrizadas brindan contra los ataques de inyección SQL. Las versiones anteriores a 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9 y 42.2.8 se ven afectadas.
  • Vulnerabilidad en SINEMA Remote Connect Server (CVE-2022-32257)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 25/03/2024
    Se ha identificado una vulnerabilidad en SINEMA Remote Connect Server (todas las versiones < V3.2). La aplicación afectada consiste en un servicio web que carece de un control de acceso adecuado para algunos de los endpoints. Esto podría provocar un acceso no autorizado a los recursos y potencialmente provocar la ejecución de código.
  • Vulnerabilidad en Cerberus PRO EN Engineering Tool (CVE-2024-22039)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 25/03/2024
    Se ha identificado una vulnerabilidad en Cerberus PRO EN Engineering Tool (todas las versiones < IP8), Cerberus PRO EN Fire Panel FC72x (todas las versiones < IP8), Cerberus PRO EN X200 Cloud Distribution (todas las versiones < V4.0.5016), Cerberus PRO EN X300 Distribución en la nube (todas las versiones < V4.2.5015), herramienta de ingeniería Sinteso FS20 EN (todas las versiones < MP8), central de incendios Sinteso FS20 EN FC20 (todas las versiones < MP8), distribución en la nube Sinteso FS20 EN X200 (todas las versiones < V4.0.5016) , Sinteso FS20 EN X300 Cloud Distribution (todas las versiones
  • Vulnerabilidad en SINEMA Remote Connect Client (CVE-2024-22045)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 25/03/2024
    Se ha identificado una vulnerabilidad en SINEMA Remote Connect Client (todas las versiones < V3.1 SP1). El producto coloca información confidencial en archivos o directorios a los que pueden acceder los actores a quienes se les permite tener acceso a los archivos, pero no a la información confidencial. Esta información también está disponible a través de la interfaz web del producto.
  • Vulnerabilidad en ICS-CERT (CVE-2024-28029)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 25/03/2024
    Los privilegios no se verifican completamente en el lado del servidor, lo que puede ser abusado por un usuario con privilegios limitados para eludir la autorización y acceder a funciones privilegiadas.
  • Vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi (CVE-2024-2806)
    Severidad: ALTA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad ha sido encontrada en Tenda AC15 15.03.05.18/15.03.20_multi y clasificada como crítica. Esto afecta a la función addWifiMacFilter del fichero /goform/addWifiMacFilter. La manipulación del argumento deviceId/deviceMac conduce a un desbordamiento de búfer en la región stack de la memoria. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-257661. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi (CVE-2024-2807)
    Severidad: ALTA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad fue encontrada en Tenda AC15 15.03.05.18/15.03.20_multi y clasificada como crítica. Esta vulnerabilidad afecta a la función formExpandDlnaFile del archivo /goform/expandDlnaFile. La manipulación del argumento filePath conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257662 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi (CVE-2024-2808)
    Severidad: ALTA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad fue encontrada en Tenda AC15 15.03.05.18/15.03.20_multi y clasificada como crítica. Este problema afecta la función formQuickIndex del archivo /goform/QuickIndex. La manipulación del argumento PPPOEPassword provoca un desbordamiento de búfer en la región stack de la memoria. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257663. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi (CVE-2024-2809)
    Severidad: ALTA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad fue encontrada en Tenda AC15 15.03.05.18/15.03.20_multi y clasificada como crítica. La función formSetFirewallCfg del fichero /goform/SetFirewallCfg es afectada por la vulnerabilidad. La manipulación del argumento firewallEn conduce a un desbordamiento de búfer en la región stack de la memoria. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257664. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi (CVE-2024-2810)
    Severidad: ALTA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad ha sido encontrada en Tenda AC15 15.03.05.18/15.03.20_multi y clasificada como crítica. La función formWifiWpsOOB del archivo /goform/WifiWpsOOB es afectada por esta vulnerabilidad. La manipulación del índice de argumentos conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-257665. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.20_multi (CVE-2024-2811)
    Severidad: ALTA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad fue encontrada en Tenda AC15 15.03.20_multi y clasificada como crítica. La función formWifiWpsStart del archivo /goform/WifiWpsStart es afectada por esta vulnerabilidad. La manipulación del índice de argumentos conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257666 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi (CVE-2024-2812)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Se encontró una vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi. Ha sido clasificada como crítica. Esto afecta a la función formWriteFacMac del archivo /goform/WriteFacMac. La manipulación del argumento mac conduce a la inyección de comandos del sistema operativo. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257667. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.20_multi (CVE-2024-2813)
    Severidad: ALTA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Se encontró una vulnerabilidad en Tenda AC15 15.03.20_multi. Ha sido declarada crítica. Esta vulnerabilidad afecta a la función form_fast_setting_wifi_set del archivo /goform/fast_setting_wifi_set. La manipulación del argumento ssid provoca un desbordamiento de búfer en la región stack de la memoria. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257668. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.20_multi (CVE-2024-2814)
    Severidad: ALTA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Se encontró una vulnerabilidad en Tenda AC15 15.03.20_multi. Ha sido calificada como crítica. Este problema afecta la función fromDhcpListClient del archivo /goform/DhcpListClient. La manipulación de la página de argumentos provoca un desbordamiento de búfer en la región stack de la memoria. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-257669. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.20_multi (CVE-2024-2815)
    Severidad: ALTA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad ha sido encontrada en Tenda AC15 15.03.20_multi y clasificada como crítica. La función R7WebsSecurityHandler del archivo /goform/execCommand del componente Cookie Handler es afectada por la vulnerabilidad. La manipulación del argumento contraseña provoca un desbordamiento de búfer en la región stack de la memoria. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257670 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.05.18 (CVE-2024-2816)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad fue encontrada en Tenda AC15 15.03.05.18 y clasificada como problemática. La función fromSysToolReboot del archivo /goform/SysToolReboot es afectada por esta vulnerabilidad. La manipulación conduce a cross-site request forgery. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257671. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 V15.03.05.18 (CVE-2024-2817)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad fue encontrada en Tenda AC15 15.03.05.18 y clasificada como problemática. La función fromSysToolRestoreSet del archivo /goform/SysToolRestoreSet es afectada por esta vulnerabilidad. La manipulación conduce a cross-site request forgery. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257672. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-26247)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Vulnerabilidad de omisión de característica de seguridad de Microsoft Edge (basada en Chromium)
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-29057)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 26/03/2024
    Vulnerabilidad de suplantación de identidad en Microsoft Edge (basado en Chromium)
  • Vulnerabilidad en Tenda AC15 15.03.05.18 (CVE-2024-2850)
    Severidad: ALTA
    Fecha de publicación: 24/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad fue encontrada en Tenda AC15 15.03.05.18 y clasificada como crítica. La función saveParentControlInfo del archivo /goform/saveParentControlInfo es afectada por esta vulnerabilidad. La manipulación de las URL de argumentos conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257774 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi (CVE-2024-2851)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2024
    Fecha de última actualización: 26/03/2024
    Se encontró una vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi. Ha sido clasificada como crítica. Esto afecta a la función formSetSambaConf del archivo /goform/setsambacfg. La manipulación del argumento usbName conduce a la inyección de comandos del sistema operativo. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257775. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.20_multi (CVE-2024-2852)
    Severidad: ALTA
    Fecha de publicación: 24/03/2024
    Fecha de última actualización: 26/03/2024
    Se encontró una vulnerabilidad en Tenda AC15 15.03.20_multi. Ha sido declarada crítica. Esta vulnerabilidad afecta a la función saveParentControlInfo del archivo /goform/saveParentControlInfo. La manipulación de las URL de argumentos conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257776. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC10U 15.03.06.48/15.03.06.49 (CVE-2024-2853)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2024
    Fecha de última actualización: 26/03/2024
    Se encontró una vulnerabilidad en Tenda AC10U 15.03.06.48/15.03.06.49. Ha sido calificada como crítica. Este problema afecta la función formSetSambaConf del archivo /goform/setsambacfg. La manipulación del argumento usbName conduce a la inyección de comandos del sistema operativo. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-257777. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC18 15.03.05.05 (CVE-2024-2854)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad ha sido encontrada en Tenda AC18 15.03.05.05 y clasificada como crítica. La función formSetSambaConf del fichero /goform/setsambacfg es afectada por la vulnerabilidad. La manipulación del argumento usbName conduce a la inyección de comandos del sistema operativo. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257778 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC15 15.03.05.18/15.03.05.19/15.03.20 (CVE-2024-2855)
    Severidad: ALTA
    Fecha de publicación: 24/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad fue encontrada en Tenda AC15 15.03.05.18/15.03.05.19/15.03.20 y clasificada como crítica. La función fromSetSysTime del archivo /goform/SetSysTimeCfg es afectada por esta vulnerabilidad. La manipulación del tiempo del argumento conduce a un desbordamiento de búfer en la región stack de la memoria. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257779. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Tenda AC10 16.03.10.13/16.03.10.20 (CVE-2024-2856)
    Severidad: ALTA
    Fecha de publicación: 24/03/2024
    Fecha de última actualización: 26/03/2024
    Una vulnerabilidad fue encontrada en Tenda AC10 16.03.10.13/16.03.10.20 y clasificada como crítica. La función fromSetSysTime del archivo /goform/SetSysTimeCfg es afectada por esta vulnerabilidad. La manipulación del argumento timeZone provoca un desbordamiento de búfer en la región stack de la memoria. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257780. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.