Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en whatsapp-api-js (CVE-2024-45607)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2024
    Fecha de última actualización: 19/09/2024
    whatsapp-api-js es un framework API oficial de WhatsApp independiente del servidor TypeScript. Es posible comprobar la validación del payload mediante WhatsAppAPI.verifyRequestSignature y esperar un resultado falso cuando la firma es válida. Control de acceso incorrecto: cualquiera que utilice los métodos post o verifiedRequestSignature para gestionar mensajes se ve afectado. Esta vulnerabilidad se corrigió en la versión 4.0.3.
  • Vulnerabilidad en Rockwell Automation (CVE-2024-8533)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2024
    Fecha de última actualización: 19/09/2024
    Existe una vulnerabilidad de escalada de privilegios en los productos afectados de Rockwell Automation. La vulnerabilidad se produce debido a permisos de archivo predeterminados incorrectos que permiten a los usuarios extraer credenciales y escalar privilegios.
  • Vulnerabilidad en Rockwell Automation (CVE-2024-7960)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2024
    Fecha de última actualización: 19/09/2024
    El producto afectado de Rockwell Automation contiene una vulnerabilidad que permite a un agente de amenazas ver información confidencial y cambiar configuraciones. La vulnerabilidad existe debido a que tiene una matriz de privilegios incorrecta que permite a los usuarios tener acceso a funciones a las que no deberían tener acceso.
  • Vulnerabilidad en Rockwell Automation (CVE-2024-7961)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2024
    Fecha de última actualización: 19/09/2024
    Existe una vulnerabilidad de path traversal en el producto afectado de Rockwell Automation. Si se explota, el actor de la amenaza podría cargar archivos arbitrarios al servidor, lo que podría provocar la ejecución remota de código.
  • Vulnerabilidad en Lenovo Group Ltd. (CVE-2024-45103)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    Es posible que un usuario LXCA válido y autenticado pueda cancelar la administración de un dispositivo administrado por LXCA a través de la interfaz web de LXCA sin privilegios suficientes.
  • Vulnerabilidad en Lenovo Group Ltd. (CVE-2024-45104)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    Un usuario LXCA válido y autenticado sin privilegios suficientes puede usar el identificador del dispositivo para modificar un dispositivo administrado por LXCA a través de una llamada API web especialmente manipulada.
  • Vulnerabilidad en JFinalCMS (CVE-2024-8782)
    Severidad: MEDIA
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    Se ha detectado una vulnerabilidad en JFinalCMS hasta la versión 1.0. Se ha calificado como crítica. Este problema afecta a la función delete del archivo /admin/template/edit. La manipulación del nombre del argumento provoca un path traversal. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en Zephyr Project (CVE-2024-5754)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    BT: Vulnerabilidad del host del procedimiento de cifrado
  • Vulnerabilidad en Zephyr Project (CVE-2024-6258)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    BT: Faltan comprobaciones de longitud de net_buf en rfcomm_handle_data
  • Vulnerabilidad en OpenTibiaBR MyAAC (CVE-2024-8783)
    Severidad: MEDIA
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en OpenTibiaBR MyAAC hasta la versión 0.8.16. Se ve afectada una función desconocida del archivo system/pages/forum/new_post.php del componente Post Reply Handler. La manipulación del argumento post_topic provoca Cross-site Scripting. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. El parche se identifica como bf6ae3df0d32fa22552bb44ca4f8489a6e78cc1c. Se recomienda aplicar un parche para solucionar este problema.
  • Vulnerabilidad en QDocs Smart School Management System 7.0.0 (CVE-2024-8784)
    Severidad: MEDIA
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    Se encontró una vulnerabilidad clasificada como crítica en QDocs Smart School Management System 7.0.0. Esta vulnerabilidad afecta una funcionalidad desconocida del archivo /user/chat/mynewuser del componente Chat. La manipulación del argumento users[] con la entrada 1'+AND+(SELECT+3220+FROM+(SELECT(SLEEP(5)))ZNun)+AND+'WwBM'%3d'WwBM como parte del parámetro de solicitud POST conduce a una inyección SQL. El ataque se puede lanzar de forma remota. El exploit se ha divulgado al público y puede utilizarse. La actualización a la versión 7.0.1 puede solucionar este problema. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en Best Free Law Office Management Software-v1.0 (CVE-2024-44430)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    La vulnerabilidad de inyección SQL en Best Free Law Office Management Software-v1.0 permite a un atacante ejecutar código arbitrario y obtener información confidencial a través de un payload manipulado para la interfaz kortex_lite/control/register_case.php
  • Vulnerabilidad en Zephyr Project (CVE-2024-5931)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    BT: Entrada de usuario no verificada en bap_broadcast_assistant
  • Vulnerabilidad en Zephyr Project (CVE-2024-6135)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    BT:Classic: Faltan varias comprobaciones de longitud de beneficio
  • Vulnerabilidad en Zephyr Project (CVE-2024-6137)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    BT: Clásico: acceso SDP OOB en get_att_search_list
  • Vulnerabilidad en Zephyr Project (CVE-2024-6259)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 19/09/2024
    BT: HCI: adv_ext_report Descarte incorrecto en adv_ext_report