Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Element Pack Elementor Addons para WordPress (CVE-2024-5555)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/07/2024
    Fecha de última actualización: 22/08/2024
    El complemento Element Pack Elementor Addons (encabezado y pie de página, librería de plantillas, cuadrícula dinámica y carrusel, flechas remotas) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'social-link-title' en todas las versiones hasta, e incluyendo, 5.6.5 debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Apache HTTP Server 2.4.61 (CVE-2024-40725)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/07/2024
    Fecha de última actualización: 22/08/2024
    Una solución parcial para CVE-2024-39884 en el núcleo de Apache HTTP Server 2.4.61 ignora parte del uso de la configuración de controladores heredada basada en el tipo de contenido. "AddType" y configuraciones similares, en algunas circunstancias en las que los archivos se solicitan indirectamente, dan como resultado la divulgación del código fuente del contenido local. Por ejemplo, los scripts PHP pueden servirse en lugar de interpretarse. Se recomienda a los usuarios actualizar a la versión 2.4.62, que soluciona este problema.
  • Vulnerabilidad en Universal Software Inc. FlexWater Corporate Water Management (CVE-2024-0857)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/07/2024
    Fecha de última actualización: 22/08/2024
    Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en Universal Software Inc. FlexWater Corporate Water Management permite la inyección SQL. Este problema afecta a FlexWater Corporate Water Management: hasta 18072024. NOTA: Se contactó primeramente con el proveedor sobre esto divulgación pero no respondió de ninguna manera.
  • Vulnerabilidad en Apache CXF (CVE-2024-29736)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/07/2024
    Fecha de última actualización: 22/08/2024
    Una vulnerabilidad SSRF en la descripción del servicio WADL en versiones de Apache CXF anteriores a 4.0.5, 3.6.4 y 3.5.9 permite a un atacante realizar ataques de estilo SSRF en servicios web REST. El ataque sólo se aplica si se configura un parámetro de hoja de estilo personalizado.
  • Vulnerabilidad en Cybozu Garoon (CVE-2024-39457)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/07/2024
    Fecha de última actualización: 22/08/2024
    Cybozu Garoon 6.0.0 a 6.0.1 contiene una vulnerabilidad de Cross Site Scripting en la vista previa de PDF. Si se explota esta vulnerabilidad, se puede ejecutar un script arbitrario en el navegador web de un usuario que haya iniciado sesión.
  • Vulnerabilidad en Wyze V4 Pro (CVE-2024-37066)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/07/2024
    Fecha de última actualización: 22/08/2024
    Existe una vulnerabilidad de inyección de comandos en las versiones de firmware Wyze V4 Pro anteriores a la 4.50.4.9222, que permite a los atacantes ejecutar comandos arbitrarios a través de Bluetooth como root durante el proceso de configuración de la cámara.
  • Vulnerabilidad en lin-CMS Springboot v.0.2.1 (CVE-2024-41600)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/07/2024
    Fecha de última actualización: 22/08/2024
    Vulnerabilidad de permisos inseguros en lin-CMS Springboot v.0.2.1 y anteriores permite a un atacante remoto obtener información confidencial a través del método de inicio de sesión en el componente UserController.java.
  • Vulnerabilidad en RuoYi v.4.7.9 (CVE-2024-41599)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/07/2024
    Fecha de última actualización: 22/08/2024
    Vulnerabilidad de Cross Site Scripting en RuoYi v.4.7.9 y anteriores permite a un atacante remoto ejecutar código arbitrario a través del método de carga de archivos
  • Vulnerabilidad en Hyland Alfresco Platform 23.2.1-r96 (CVE-2024-40347)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/07/2024
    Fecha de última actualización: 22/08/2024
    Una vulnerabilidad reflejada de Cross Site Scripting (XSS) en Hyland Alfresco Platform 23.2.1-r96 permite a los atacantes ejecutar código arbitrario en el contexto del navegador de un usuario mediante la inyección de un payload manipulado en el parámetro htmlid.