Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en itsourcecode Billing System 1.0 (CVE-2024-37849)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/06/2024
    Fecha de última actualización: 01/08/2024
    Una vulnerabilidad de inyección SQL en itsourcecode Billing System 1.0 permite a un atacante local ejecutar código arbitrario en Process.php a través del parámetro de nombre de usuario.
  • Vulnerabilidad en Aegon Life v1.0 (CVE-2024-36599)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 01/08/2024
    Una vulnerabilidad de cross-site scripting (XSS) en Aegon Life v1.0 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro de nombre en insertClient.php.
  • Vulnerabilidad en Itsourcecode Payroll Management System 1.0 (CVE-2024-37831)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 01/08/2024
    Itsourcecode Payroll Management System 1.0 es vulnerable a la inyección SQL en payroll_items.php a través del parámetro ID.
  • Vulnerabilidad en IBM i (CVE-2024-27275)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/06/2024
    Fecha de última actualización: 01/08/2024
    IBM i 7.2, 7.3, 7.4 y 7.5 contiene una vulnerabilidad de escalada de privilegios local causada por un requisito de autoridad insuficiente. Un usuario local sin privilegios de administrador puede configurar un activador de archivo físico para ejecutarlo con los privilegios de un usuario manipulado socialmente para acceder al archivo de destino. La corrección consiste en requerir privilegios de administrador para configurar la compatibilidad con activadores. ID de IBM X-Force: 285203.
  • Vulnerabilidad en IBM Db2 (CVE-2024-31870)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/06/2024
    Fecha de última actualización: 01/08/2024
    IBM Db2 para i 7.2, 7.3, 7.4 y 7.5 proporciona una función de tabla definida por el usuario que es vulnerable a la enumeración de usuarios por parte de un atacante local autenticado, sin tener autoridad sobre los objetos *USRPRF relacionados. Esto puede ser utilizado por un actor malintencionado para recopilar información sobre los usuarios que pueden ser objeto de futuros ataques. ID de IBM X-Force: 287174.
  • Vulnerabilidad en IBM Storage Protect for Virtual Environments: Data Protection for VMware (CVE-2024-38329)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 01/08/2024
    IBM Storage Protect for Virtual Environments: Data Protection for VMware 8.1.0.0 a 8.1.22.0 podría permitir a un atacante autenticado remoto eludir las restricciones de seguridad causadas por una validación inadecuada del permiso del usuario. Al enviar una solicitud especialmente manipulada, un atacante podría aprovechar esta vulnerabilidad para cambiar su configuración, activar copias de seguridad, restaurar copias de seguridad y también eliminar todas las copias de seguridad anteriores mediante la rotación de registros. ID de IBM X-Force: 294994.
  • Vulnerabilidad en kernel de Linux (CVE-2024-38563)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 01/08/2024
    En el kernel de Linux, se resolvió la siguiente vulnerabilidad: wifi: mt76: mt7996: corrige una posible pérdida de memoria al leer la temperatura del chip Sin esta confirmación, la lectura de la temperatura del chip provocará una pérdida de memoria.
  • Vulnerabilidad en kernel de Linux (CVE-2024-38570)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 01/08/2024
    En el kernel de Linux, se resolvió la siguiente vulnerabilidad: gfs2: soluciona el posible use-after-free de glock al desmontar Cuando se libera un espacio de bloqueo de DLM y todavía hay bloqueos en ese espacio de bloqueo, DLM desbloqueará esos bloqueos automáticamente. El commit fb6791d100d1b comenzó a explotar este comportamiento para acelerar el desmontaje del sistema de archivos: gfs2 simplemente liberaría las glocks que no quería desbloquear y luego liberaría el espacio de bloqueo. Esto no tuvo en cuenta las devoluciones de llamada de bast para notificaciones de contención de bloqueo asincrónicas, que permanecen activas hasta que se desbloquea un bloqueo o se libera su espacio de bloqueo. Para evitar que esas devoluciones de llamada accedan a objetos desasignados, coloque las glocks que no deben desbloquearse en la lista sd_dead_glocks, libere el espacio de bloqueo y solo entonces libere esas glocks. Como medida adicional, ignore las devoluciones de llamada inesperadas de ast y bast si la glock receptora está muerta.
  • Vulnerabilidad en kernel de Linux (CVE-2024-38571)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 01/08/2024
    En el kernel de Linux, se resolvió la siguiente vulnerabilidad: Thermal/drivers/tsens: se corrigió la desreferencia del puntero nulo Compute_intercept_slope() se llama desde calibrate_8960() (en tsens-8960.c) como Compute_intercept_slope(priv, p1, NULL, ONE_PT_CALIB) lo que conduce a la desreferencia del puntero nulo (si DEBUG o DYNAMIC_DEBUG están configurados). Corrija este error agregando una verificación de puntero nulo. Encontrado por el Centro de verificación de Linux (linuxtesting.org) con SVACE.
  • Vulnerabilidad en kernel de Linux (CVE-2024-38577)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 01/08/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: rcu-tasks: Corrige show_rcu_tasks_trace_gp_kthread desbordamiento del búfer. Existe la posibilidad de que se produzca un desbordamiento del búfer en show_rcu_tasks_trace_gp_kthread() si los contadores pasados a sprintf() son enormes. Los números de contador necesarios para esto son excesivamente altos, pero aún es posible un desbordamiento del búfer. Utilice snprintf() con tamaño de búfer en lugar de sprintf(). Encontrado por el Centro de verificación de Linux (linuxtesting.org) con SVACE.
  • Vulnerabilidad en kernel de Linux (CVE-2024-38581)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 01/08/2024
    En el kernel de Linux, se resolvió la siguiente vulnerabilidad: drm/amdgpu/mes: soluciona el problema de use-after-free. Elimina el temporizador de reserva de valla para solucionar el problema de use-after-free. v2: pasar a amdgpu_mes.c
  • Vulnerabilidad en kernel de Linux (CVE-2024-38583)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 01/08/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nilfs2: corrige el use-after-free del temporizador para el hilo del escritor de registros Serie de parches "nilfs2: corrige problemas relacionados con el escritor de registros". Esta serie de corrección de errores cubre tres problemas relacionados con el escritor de registros nilfs2, incluido un problema de use-after-free del temporizador y un posible problema de bloqueo al desmontar, y un posible problema de congelación en la sincronización de eventos encontrado durante su análisis. Los detalles se describen en cada registro de confirmación. Este parche (de 3): Se informó un problema de use-after-free con respecto al temporizador sc_timer en la estructura nilfs_sc_info. El problema es que, aunque se utiliza para reactivar un subproceso de escritura de registros inactivo, sc_timer no se cierra hasta que la estructura nilfs_sc_info está a punto de liberarse y se utiliza independientemente de la vida útil del subproceso. Solucione este problema limitando el uso de sc_timer solo mientras el subproceso del escritor de registros esté activo.
  • Vulnerabilidad en kernel de Linux (CVE-2024-38603)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 01/08/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drivers/perf: hisi: hns3: en realidad usa devm_add_action_or_reset() pci_alloc_irq_vectors() asigna un vector irq. Cuando devm_add_action() falla, el vector irq no se libera, lo que provoca una pérdida de memoria. Reemplace devm_add_action con devm_add_action_or_reset para garantizar que el vector irq pueda destruirse cuando falla.