Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en GitHub Enterprise Server (CVE-2024-5566)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 17/09/2024
    Una vulnerabilidad de gestión de privilegios inadecuada permitió a los usuarios migrar repositorios privados sin tener definidos los alcances adecuados en el token de acceso personal relacionado. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se solucionó en las versiones 3.13.1, 3.12.6, 3.11.12, 3.10.14 y 3.9.17.
  • Vulnerabilidad en GitHub Enterprise Server (CVE-2024-5795)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 17/09/2024
    Se identificó una vulnerabilidad de denegación de servicio en GitHub Enterprise Server que permitió a un atacante provocar un agotamiento ilimitado de los recursos enviando un gran payloads al servidor Git. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se solucionó en las versiones 3.13.1, 3.12.6, 3.11.12, 3.10.14 y 3.9.17. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
  • Vulnerabilidad en GitHub Enterprise Server (CVE-2024-5815)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 17/09/2024
    Una vulnerabilidad de Cross-Site Request Forgery en GitHub Enterprise Server permitió operaciones de escritura en un repositorio propiedad de la víctima explotando tipos de solicitudes incorrectos. Un factor atenuante es que el atacante tendría que ser un usuario confiable de GitHub Enterprise Server y la víctima tendría que visitar una etiqueta en la bifurcación del atacante en su propio repositorio. La vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se solucionó en las versiones 3.13.1, 3.12.6, 3.11.12, 3.10.14 y 3.9.17. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
  • Vulnerabilidad en GitHub Enterprise Server (CVE-2024-5816)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 17/09/2024
    Se identificó una vulnerabilidad de autorización incorrecta en GitHub Enterprise Server que permitía que una aplicación GitHub suspendida retuviera el acceso al repositorio a través de un token de acceso de usuario con alcance. Esto solo era explotable en repositorios públicos, mientras que los repositorios privados no se vieron afectados. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se solucionó en las versiones 3.9.17, 3.10.14, 3.11.12, 3.12.6, 3.13.1. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
  • Vulnerabilidad en GitHub Enterprise Server (CVE-2024-5817)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 17/09/2024
    Se identificó una vulnerabilidad de autorización incorrecta en GitHub Enterprise Server que permitía acceso de lectura al contenido del problema a través de Proyectos de GitHub. Esto sólo era explotable en repositorios internos y requería que el atacante tuviera acceso al tablero de proyecto correspondiente. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se solucionó en las versiones 3.13.1, 3.12.6, 3.11.12, 3.10.14 y 3.9.17. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
  • Vulnerabilidad en GitHub Enterprise Server (CVE-2024-6336)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 17/09/2024
    Una vulnerabilidad de configuración incorrecta de seguridad en GitHub Enterprise Server permitió la divulgación de información confidencial a usuarios no autorizados en GitHub Enterprise Server mediante la explotación de la función de conjunto de reglas de la organización. Este ataque requirió que un miembro de la organización cambiara explícitamente la visibilidad de un repositorio dependiente de privado a público. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se solucionó en las versiones 3.13.1, 3.12.6, 3.11.12, 3.10.14 y 3.9.17. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
  • Vulnerabilidad en GitHub Enterprise Server (CVE-2024-6395)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 17/09/2024
    Una exposición a una vulnerabilidad de información confidencial en GitHub Enterprise Server permitiría a un atacante enumerar los nombres de repositorios privados que utilizan claves de implementación. Esta vulnerabilidad no permitía el acceso no autorizado a ningún contenido del repositorio además del nombre. Esta vulnerabilidad afectó a todas las versiones de GitHub Enterprise Server anteriores a la 3.14 y se solucionó en las versiones 3.13.1, 3.12.6, 3.11.12, 3.10.14 y 3.9.17. Esta vulnerabilidad se informó a través del programa GitHub Bug Bounty.
  • Vulnerabilidad en NI VeriStand 2024 Q2 (CVE-2024-6791)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/07/2024
    Fecha de última actualización: 17/09/2024
    Existe una vulnerabilidad de path traversal de directorio al cargar un archivo vsmodel en NI VeriStand que puede resultar en la ejecución remota de código. La explotación exitosa requiere que un atacante consiga que un usuario abra un archivo .vsmodel especialmente manipulado. Esta vulnerabilidad afecta a VeriStand 2024 Q2 y versiones anteriores.
  • Vulnerabilidad en NI VeriStand 2024 Q2 (CVE-2024-6793)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/07/2024
    Fecha de última actualización: 17/09/2024
    Existe una vulnerabilidad de deserialización de datos no confiables en NI VeriStand DataLogging Server que puede resultar en la ejecución remota de código. La explotación exitosa requiere que un atacante envíe un mensaje especialmente manipulado. Estas vulnerabilidades afectan a NI VeriStand 2024 Q2 y versiones anteriores.
  • Vulnerabilidad en NI VeriStand 2024 Q2 (CVE-2024-6794)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/07/2024
    Fecha de última actualización: 17/09/2024
    Existe una vulnerabilidad de deserialización de datos no confiables en NI VeriStand Waveform Streaming Server que puede resultar en la ejecución remota de código. La explotación exitosa requiere que un atacante envíe un mensaje especialmente manipulado. Estas vulnerabilidades afectan a NI VeriStand 2024 Q2 y versiones anteriores.
  • Vulnerabilidad en NI VeriStand 2024 Q2 (CVE-2024-6805)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/07/2024
    Fecha de última actualización: 17/09/2024
    A NI VeriStand Gateway le faltan verificaciones de autorización cuando un actor intenta acceder a los recursos de transferencia de archivos. Estas comprobaciones faltantes pueden resultar en la divulgación de información o la ejecución remota de código. Esto afecta a NI VeriStand 2024 Q2 y versiones anteriores.
  • Vulnerabilidad en NI VeriStand 2024 Q2 (CVE-2024-6806)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/07/2024
    Fecha de última actualización: 17/09/2024
    A NI VeriStand Gateway le faltan verificaciones de autorización cuando un actor intenta acceder a los recursos del Proyecto. Estas comprobaciones faltantes pueden provocar la ejecución remota de código. Esto afecta a NI VeriStand 2024 Q2 y versiones anteriores.
  • Vulnerabilidad en Pretty Simple Popup Builder (CVE-2024-39626)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/08/2024
    Fecha de última actualización: 17/09/2024
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en 5 Star Plugins Pretty Simple Popup Builder permite XSS almacenado. Este problema afecta a Pretty Simple Popup Builder: desde n/a hasta 1.0.7.
  • Vulnerabilidad en Omnivise T3000 (CVE-2024-38876)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/08/2024
    Fecha de última actualización: 17/09/2024
    Se ha identificado una vulnerabilidad en Omnivise T3000 Application Server (Todas las versiones >= R9.2), Omnivise T3000 Domain Controller (Todas las versiones >= R9.2), Omnivise T3000 Product Data Management (PDM) (Todas las versiones >= R9.2 ), Omnivise T3000 Terminal Server (todas las versiones >= R9.2), Omnivise T3000 Thin Client (todas las versiones >= R9.2), Omnivise T3000 Whitelisting Server (todas las versiones >= R9.2). La aplicación afectada ejecuta periódicamente código modificable por el usuario como usuario privilegiado. Esto podría permitir que un atacante autenticado local ejecute código arbitrario con privilegios elevados.
  • Vulnerabilidad en Omnivise T3000 Application Server (CVE-2024-38878)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/08/2024
    Fecha de última actualización: 17/09/2024
    Se ha identificado una vulnerabilidad en Omnivise T3000 Application Server (todas las versiones). Los dispositivos afectados permiten a los usuarios autenticados exportar datos de diagnóstico. El endpoint API correspondiente es susceptible a path traversal y podría permitir que un atacante autenticado descargue archivos arbitrarios del sistema de archivos.
  • Vulnerabilidad en anji-plus AJ-Report (CVE-2024-7314)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/08/2024
    Fecha de última actualización: 17/09/2024
    anji-plus AJ-Report se ve afectado por una vulnerabilidad de omisión de autenticación. Un atacante remoto y no autenticado puede agregar ";swagger-ui" a las solicitudes HTTP para evitar la autenticación y ejecutar Java arbitrario en el servidor víctima.
  • Vulnerabilidad en NAC Telecommunication Systems Inc. NACPremium (CVE-2024-6919)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en NAC Telecommunication Systems Inc. NACPremium permite la inyección SQL ciega. Este problema afecta a NACPremium: hasta el 01082024.
  • Vulnerabilidad en NAC Telecommunication Systems Inc. NACPremium (CVE-2024-6920)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en NAC Telecommunication Systems Inc. NACPremium permite XSS almacenado. Este problema afecta a NACPremium: hasta el 01082024.
  • Vulnerabilidad en NAC Telecommunication Systems Inc. NACPremium (CVE-2024-6921)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de almacenamiento de información confidencial en texto claro en NAC Telecommunication Systems Inc. NACPremium permite recuperar datos confidenciales integrados. Este problema afecta a NACPremium: hasta el 01082024.
  • Vulnerabilidad en uniFLOW Online (CVE-2024-1621)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 17/09/2024
    El proceso de registro de las aplicaciones de uniFLOW Online (producto NT-ware), anteriores a la versión 2024.1.0 incluida, puede verse comprometido cuando el inicio de sesión por correo electrónico está habilitado en el inquilino. Los inquilinos que utilizan el inicio de sesión por correo electrónico en combinación con Microsoft Safe Links o similares se ven afectados. Esta vulnerabilidad puede permitir que el atacante se registre contra un usuario genuino en el sistema y permita que usuarios malintencionados con acceso y capacidades similares a través de la aplicación accedan al usuario genuino existente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38235)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de denegación de servicio en Windows Hyper-V
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38236)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de denegación de servicio del servidor DHCP
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38237)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en el controlador de servicio de transmisión de kernel WOW Thunk
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38238)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en el controlador del servicio de transmisión por kernel
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38239)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en Kerberos de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38240)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en el Administrador de conexión de acceso remoto de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38241)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en el controlador del servicio de transmisión por kernel
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38242)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en el controlador del servicio de transmisión por kernel
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38243)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en el controlador del servicio de transmisión por kernel
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38244)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en el controlador del servicio de transmisión por kernel
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38245)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en el controlador del servicio de transmisión por kernel
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38246)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en Win32k
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38247)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en componentes gráficos de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38248)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en el almacenamiento de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38249)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en componentes gráficos de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38250)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en componentes gráficos de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43457)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de elevación de privilegios en la instalación e implementación de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43458)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de divulgación de información de redes de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43463)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de ejecución remota de código en Microsoft Office Visio
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43467)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de ejecución remota de código en el servicio de licencias de escritorio remoto de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43469)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de ejecución de código remoto en Azure CycleCloud
  • Vulnerabilidad en D-Link (CVE-2024-45694)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/09/2024
    Fecha de última actualización: 17/09/2024
    El servicio web de ciertos modelos de enrutadores inalámbricos D-Link contiene una vulnerabilidad de desbordamiento de búfer basada en pila, que permite a atacantes remotos no autenticados explotar esta vulnerabilidad para ejecutar código arbitrario en el dispositivo.