Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Argo CD (CVE-2024-37152)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 18/09/2024
    Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes. La vulnerabilidad permite el acceso no autorizado a la configuración confidencial expuesta por el endpoint /api/v1/settings sin autenticación. Todas las configuraciones confidenciales están ocultas excepto el patrón de contraseña. Esta vulnerabilidad se solucionó en 2.11.3, 2.10.12 y 2.9.17.
  • Vulnerabilidad en OneFlow-Inc. Oneflow v0.9.1 (CVE-2024-36745)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 18/09/2024
    Un problema en OneFlow-Inc. Oneflow v0.9.1 permite a los atacantes provocar una denegación de servicio (DoS) ingresando un valor negativo en el parámetro oneflow.index_select.
  • Vulnerabilidad en Dell Client BIOS (CVE-2024-28970)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/06/2024
    Fecha de última actualización: 18/09/2024
    Dell Client BIOS contiene una vulnerabilidad de escritura fuera de los límites. Un usuario malintencionado local autenticado con privilegios de administrador podría explotar esta vulnerabilidad, lo que provocaría una denegación de servicio de la plataforma.
  • Vulnerabilidad en MIT Kerberos 5 (CVE-2024-37371)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/06/2024
    Fecha de última actualización: 18/09/2024
    En MIT Kerberos 5 (también conocido como krb5) anterior a 1.21.3, un atacante puede provocar lecturas de memoria no válidas durante el manejo de tokens de mensajes GSS al enviar tokens de mensajes con campos de longitud no válidos.
  • Vulnerabilidad en IBM Datacap Navigator (CVE-2024-39732)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/07/2024
    Fecha de última actualización: 18/09/2024
    IBM Datacap Navigator 9.1.5, 9.1.6, 9.1.7, 9.1.8 y 9.1.9 almacena temporalmente datos de diferentes entornos que podría obtener un usuario malintencionado. ID de IBM X-Force: 295791.
  • Vulnerabilidad en IBM Datacap Navigator (CVE-2024-39733)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/07/2024
    Fecha de última actualización: 18/09/2024
    IBM Datacap Navigator 9.1.5, 9.1.6, 9.1.7, 9.1.8 y 9.1.9 almacena las credenciales de usuario en texto plano que puede ser leído por un usuario local. ID de IBM X-Force: 295972.
  • Vulnerabilidad en IBM Datacap Navigator (CVE-2024-39734)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/07/2024
    Fecha de última actualización: 18/09/2024
    IBM Datacap Navigator 9.1.5, 9.1.6, 9.1.7, 9.1.8 y 9.1.9 no establece el atributo seguro en señales de autorización o cookies de sesión. Los atacantes pueden obtener los valores de las cookies enviando un enlace http:// a un usuario o colocando este enlace en un sitio al que accede el usuario. La cookie se enviará al enlace inseguro y el atacante podrá obtener el valor de la cookie espiando el tráfico. ID de IBM X-Force: 296001.
  • Vulnerabilidad en GitLab EE/CE (CVE-2024-2800)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/08/2024
    Fecha de última actualización: 18/09/2024
    La falla de ReDoS en RefMatcher al hacer coincidir nombres de ramas usando comodines en GitLab EE/CE que afecta a todas las versiones desde 11.3 antes de 17.0.6, 17.1 antes de 17.1.4 y 17.2 antes de 17.2.2 permite la denegación de servicio a través del retroceso de Regex.
  • Vulnerabilidad en GitLab (CVE-2024-4207)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/08/2024
    Fecha de última actualización: 18/09/2024
    Se descubrió un problema de cross-site scripting en GitLab que afecta a todas las versiones a partir de 5.1 anteriores a 17.0.6, a partir de 17.1 anteriores a 17.1.4 y a partir de 17.2 anteriores a 17.2.2. Al visualizar un archivo XML en un repositorio en modo sin formato, se puede hacer que se represente como HTML si se ve en circunstancias específicas.
  • Vulnerabilidad en Google Chrome (CVE-2024-7965)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/08/2024
    Fecha de última actualización: 18/09/2024
    La implementación inadecuada en V8 en Google Chrome anterior a 128.0.6613.84 permitió a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
  • Vulnerabilidad en MStore API – Create Native Android & iOS Apps On The Cloud para WordPress (CVE-2024-8242)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 18/09/2024
    El complemento MStore API – Create Native Android & iOS Apps On The Cloud para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función update_user_profile() en todas las versiones hasta la 4.15.3 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, carguen archivos arbitrarios (sin incluir archivos PHP) en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código. Esto se puede combinar con un endpoint de registro para que los usuarios no autenticados aprovechen el problema.
  • Vulnerabilidad en MStore API – Create Native Android & iOS Apps On The Cloud para WordPress (CVE-2024-8269)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 18/09/2024
    El complemento MStore API – Create Native Android & iOS Apps On The Cloud para WordPress es vulnerable al registro de usuarios no autorizados en todas las versiones hasta la 4.15.3 incluida. Esto se debe a que el complemento no verifica que el registro de usuarios esté habilitado antes de crear una cuenta de usuario a través de la función register(). Esto hace posible que atacantes no autenticados creen cuentas de usuario en sitios, incluso cuando el registro de usuarios está deshabilitado y la funcionalidad del complemento no está activada.
  • Vulnerabilidad en Google Devices (CVE-2024-29779)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 18/09/2024
    Existe una posible escalada de privilegios debido a una causa raíz inusual. Esto podría provocar una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. No se necesita interacción del usuario para la explotación.
  • Vulnerabilidad en Google Devices (CVE-2024-44092)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 18/09/2024
    En el futuro próximo, es posible que falte una implementación de firma de LCS debido a que se dejó código de prueba o depuración en una compilación de producción. Esto podría generar una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. No se necesita interacción del usuario para la explotación.
  • Vulnerabilidad en ppmp_unprotect_buf de drm/code/drm_fw.c (CVE-2024-44093)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 18/09/2024
    En ppmp_unprotect_buf de drm/code/drm_fw.c, existe una posible corrupción de memoria debido a un error lógico en el código. Esto podría provocar una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. No se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en ppmp_protect_mfcfw_buf de code/drm_fw.c (CVE-2024-44094)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 18/09/2024
    En ppmp_protect_mfcfw_buf de code/drm_fw.c, existe una posible corrupción de memoria debido a una validación de entrada incorrecta. Esto podría provocar una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. No se necesita interacción del usuario para la explotación.
  • Vulnerabilidad en ppmp_protect_mfcfw_buf de code/drm_fw.c (CVE-2024-44095)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 18/09/2024
    En ppmp_protect_mfcfw_buf de code/drm_fw.c, existe una posible memoria dañada debido a un error lógico en el código. Esto podría provocar una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. No se necesita interacción del usuario para la explotación.
  • Vulnerabilidad en Google Devices (CVE-2024-44096)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 18/09/2024
    Existe la posibilidad de una lectura arbitraria debido a un valor predeterminado inseguro. Esto podría provocar la divulgación de información local, con privilegios de ejecución de System necesarios. No se necesita la interacción del usuario para la explotación.