Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Oracle Java SE (CVE-2013-5788)
    Severidad: ALTA
    Fecha de publicación: 16/10/2013
    Fecha de última actualización: 01/04/2024
    Vulnerabilidad no especificada en Oracle Java SE 7u40 y anteriores y Java SE Embedded 7u40 y anteriores permite a atacantes remotos afectar la confidencialidad, integridad y disponibilidad a través de vectores desconocidos relacionados con Deployment.
  • Vulnerabilidad en la función usb_serial_console_disconnect en el kernel de Linux (CVE-2017-16525)
    Severidad: ALTA
    Fecha de publicación: 04/11/2017
    Fecha de última actualización: 01/04/2024
    La función usb_serial_console_disconnect en drivers/usb/serial/console.c en el kernel de Linux, en versiones anteriores a la 4.13.8, permite que los usuarios locales provoquen una denegación de servicio (uso de memoria previamente liberada y cierre inesperado del sistema) o, posiblemente, causen otros impactos no especificados mediante llamadas del sistema manipuladas. Esto está relacionado con desconexión y fallo de instalación.
  • Vulnerabilidad en el paquete de Debian postgresql-common para PostgreSQL (CVE-2017-8806)
    Severidad: BAJA
    Fecha de publicación: 13/11/2017
    Fecha de última actualización: 01/04/2024
    Los scripts de Debian pg_ctlcluster, pg_createcluster y pg_upgradecluster, tal y como se distribuyen en el paquete de Debian postgresql-common anterior a 181+deb9u1 para PostgreSQL (y otros paquetes relacionados con Debian y Ubuntu), manipularon vínculos simbólicos de forma no segura, lo que podría desembocar en una denegación de servicio local sobrescribiendo archivos arbitrarios.
  • Vulnerabilidad en productos Microsoft (CVE-2018-8493)
    Severidad: MEDIA
    Fecha de publicación: 10/10/2018
    Fecha de última actualización: 01/04/2024
    Existe una vulnerabilidad de divulgación de información cuando la pila TCP/IP de Windows gestiona incorrectamente los paquetes IP fragmentados. Esto también se conoce como "Windows TCP/IP Information Disclosure Vulnerability". Esto afecta a Windows Server 2012 R2, Windows RT 8.1, Windows Server 2016, Windows 8.1, Windows 10 y Windows 10 Servers.
  • Vulnerabilidad en AMD CPU (CVE-2023-20569)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/08/2023
    Fecha de última actualización: 01/04/2024
    Una vulnerabilidad de canal lateral en algunas de las CPU de AMD puede permitir que un atacante influya en la predicción de la dirección de retorno. Esto puede dar lugar a una ejecución especulativa en una dirección controlada por el atacante, lo que podría conducir a la divulgación de información.
  • Vulnerabilidad en AMD (CVE-2023-20588)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/08/2023
    Fecha de última actualización: 01/04/2024
    Un error de división por cero en algunos procesadores AMD puede potencialmente devolver datos especulativos que resulten en una pérdida de confidencialidad.
  • Vulnerabilidad en curl (CVE-2023-38039)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/09/2023
    Fecha de última actualización: 01/04/2024
    Cuando curl recupera una respuesta HTTP, almacena los encabezados entrantes para que se pueda acceder a ellos más tarde a través de la API de encabezados libcurl. Sin embargo, curl no tenía un límite en cuanto a la cantidad o el tamaño de encabezados que aceptaría en una respuesta, lo que permitía que un servidor malicioso transmitiera una serie interminable de encabezados y, finalmente, provocara que curl se quedara sin memoria dinámica.
  • Vulnerabilidad en Microsoft SQL Server (CVE-2023-36728)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/10/2023
    Fecha de última actualización: 01/04/2024
    Vulnerabilidad de denegación de servicio en Microsoft SQL Server
  • Vulnerabilidad en curl (CVE-2023-38545)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/10/2023
    Fecha de última actualización: 01/04/2024
    Esta falla hace que curl desborde un búfer basado en el protocolo de enlace del proxy SOCKS5. Cuando se le pide a curl que pase el nombre de host al proxy SOCKS5 para permitir que resuelva la dirección en lugar de que lo haga curl mismo, la longitud máxima que puede tener el nombre de host es 255 bytes. Si se detecta que el nombre de host es más largo, curl cambia a la resolución de nombres local y en su lugar pasa solo la dirección resuelta. Debido a este error, la variable local que significa "dejar que el host resuelva el nombre" podría obtener el valor incorrecto durante un protocolo de enlace SOCKS5 lento y, contrariamente a la intención, copiar el nombre del host demasiado largo al búfer de destino en lugar de copiar solo la dirección resuelta allí. El búfer de destino es un búfer basado en montón y el nombre de host proviene de la URL con la que se le ha dicho a curl que opere.
  • Vulnerabilidad en Bluetooth BR/EDR de Bluetooth (CVE-2023-24023)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/11/2023
    Fecha de última actualización: 01/04/2024
    Los dispositivos Bluetooth BR/EDR con emparejamiento simple seguro y emparejamiento de conexiones seguras en las especificaciones principales de Bluetooth 4.2 a 5.4 permiten ciertos ataques de intermediario que fuerzan una longitud de clave corta y pueden llevar al descubrimiento de la clave de cifrado y a la inyección en vivo, también conocido como BLUFFS.
  • Vulnerabilidad en python-glance-store (CVE-2024-1141)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 01/04/2024
    Se encontró una vulnerabilidad en python-glance-store. El problema ocurre cuando el paquete registra la clave de acceso para el almacén de vistazo cuando el nivel de registro DEBUG está habilitado.
  • Vulnerabilidad en LIVEBOX Collaboration vDesk (CVE-2022-45169)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 01/04/2024
    Se descubrió un problema en LIVEBOX Collaboration vDesk hasta v031. Se puede producir una redirección de URL a un sitio que no es de confianza (redirección abierta) en el endpoint /api/v1/notification/createnotification, lo que permite a un usuario autenticado enviar una notificación push arbitraria a cualquier otro usuario del sistema. Esta notificación push puede incluir un enlace (invisible) en el que se puede hacer clic.
  • Vulnerabilidad en LIVEBOX Collaboration vDesk (CVE-2022-45177)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 01/04/2024
    Se descubrió un problema en LIVEBOX Collaboration vDesk hasta v031. Puede ocurrir una discrepancia de respuesta observable en el endpoint /api/v1/vdeskintegration/user/isenableuser, el endpoin /api/v1/sharedsearch?search={NAME]+{SURNAME] y el endpoint /login. La aplicación web proporciona diferentes respuestas a las solicitudes entrantes de una manera que revela información del estado interno a un actor no autorizado fuera de la esfera de control prevista.
  • Vulnerabilidad en LIVEBOX Collaboration vDesk (CVE-2022-45179)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 01/04/2024
    Se descubrió un problema en LIVEBOX Collaboration vDesk hasta v031. Existe una vulnerabilidad XSS básica en el endpoint /api/v1/vdeskintegration/todo/createorupdate a través del parámetro title y /dashboard/reminders. Un usuario remoto (autenticado en el producto) puede almacenar código HTML arbitrario en el título de la sección de recordatorio para corromper la página web (por ejemplo, creando secciones de phishing para extraer las credenciales de las víctimas).
  • Vulnerabilidad en qpdf 11.9.0 (CVE-2024-24246)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 01/04/2024
    La vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico en qpdf 11.9.0 permite a los atacantes bloquear la aplicación a través de la función std::__shared_count() en /bits/shared_ptr_base.h.
  • Vulnerabilidad en IBM InfoSphere Information Server 11.7 (CVE-2024-22352)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 01/04/2024
    IBM InfoSphere Information Server 11.7 almacena información potencialmente confidencial en archivos de registro que un usuario local podría leer. ID de IBM X-Force: 280361.
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-26196)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 01/04/2024
    Vulnerabilidad de divulgación de información en Microsoft Edge para Android (basado en Chromium)
  • Vulnerabilidad en IBM Storage Protect Plus Server (CVE-2023-47715)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 01/04/2024
    IBM Storage Protect Plus Server 10.1.0 a 10.1.16 podría permitir que un usuario autenticado con permisos de solo lectura agregue o elimine entradas de una configuración de HyperVisor existente. ID de IBM X-Force: 271538.
  • Vulnerabilidad en Google Chrome (CVE-2024-2625)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 01/04/2024
    El problema del ciclo de vida de los objetos en V8 en Google Chrome anterior a 123.0.6312.58 permitía a un atacante remoto explotar potencialmente la corrupción de objetos a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-2626)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 01/04/2024
    La lectura fuera de los límites en Swiftshader en Google Chrome anterior a 123.0.6312.58 permitía a un atacante remoto realizar acceso a memoria fuera de los límites a través de una página HTML manipulada. (Severidad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-2627)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 01/04/2024
    El uso gratuito en Canvas en Google Chrome anterior a 123.0.6312.58 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Severidad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-2628)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 01/04/2024
    La implementación inapropiada en Descargas en Google Chrome anterior a 123.0.6312.58 permitió a un atacante remoto realizar una suplantación de interfaz de usuario a través de una URL manipulada. (Severidad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-2629)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 01/04/2024
    La interfaz de usuario de seguridad incorrecta en iOS en Google Chrome anterior a 123.0.6312.58 permitió a un atacante remoto realizar una suplantación de la interfaz de usuario a través de una página HTML manipulada. (Severidad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-2630)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 01/04/2024
    La implementación inadecuada en iOS en Google Chrome anterior a 123.0.6312.58 permitió a un atacante remoto filtrar datos de orígenes cruzados a través de una página HTML manipulada. (Severidad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-2631)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 01/04/2024
    La implementación inapropiada en iOS en Google Chrome anterior a 123.0.6312.58 permitió a un atacante remoto realizar una suplantación de interfaz de usuario a través de una página HTML manipulada. (Severidad de seguridad de Chrome: baja)
  • Vulnerabilidad en IBM Security Verify Directory 10.0.0 (CVE-2022-32751)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 01/04/2024
    IBM Security Verify Directory 10.0.0 podría revelar información confidencial del servidor que podría usarse en futuros ataques contra el sistema. ID de IBM X-Force: 228437.
  • Vulnerabilidad en IBM Security Verify Directory 10.0.0 (CVE-2022-32753)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 01/04/2024
    IBM Security Verify Directory 10.0.0 utiliza algoritmos criptográficos más débiles de lo esperado que podrían permitir a un atacante descifrar información altamente confidencial. ID de IBM X-Force: 228444.
  • Vulnerabilidad en IBM Security Verify Directory 10.0.0 (CVE-2022-32754)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 01/04/2024
    IBM Security Verify Directory 10.0.0 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría conducir a la divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 228445.
  • Vulnerabilidad en IBM Security Verify Directory 10.0.0 (CVE-2022-32756)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 01/04/2024
    IBM Security Verify Directory 10.0.0 podría permitir a un atacante remoto obtener información confidencial cuando se devuelve un mensaje de error técnico detallado en el navegador. Esta información podría usarse en futuros ataques contra el sistema. ID de IBM X-Force: 228507.