Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en XWiki (CVE-2024-45591)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 20/09/2024
    La plataforma XWiki es una plataforma wiki genérica. La API REST expone el historial de cualquier página en XWiki de la que el atacante conozca el nombre. La información expuesta incluye, para cada modificación de la página, la hora de la modificación, el número de versión, el autor de la modificación (tanto el nombre de usuario como el nombre mostrado) y el comentario de la versión. Esta información se expone independientemente de la configuración de los derechos, e incluso cuando la wiki está configurada para ser completamente privada. En una wiki privada, esto se puede comprobar accediendo a /xwiki/rest/wikis/xwiki/spaces/Main/pages/WebHome/history; si muestra el historial de la página principal, la instalación es vulnerable. Esto se ha corregido en XWiki 15.10.9 y XWiki 16.3.0RC1.
  • Vulnerabilidad en auditor-bundle (CVE-2024-45592)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 20/09/2024
    auditor-bundle, anteriormente conocido como DoctrineAuditBundle, integra la librería auditor en cualquier aplicación Symfony 3.4+. Antes de la versión 6.0.0, había una propiedad de entidad sin escape que permitía la inyección de Javascript. Esto es posible porque %source_label% en la macro twig no está escapada. Por lo tanto, las etiquetas de script se pueden insertar y ejecutar. La vulnerabilidad se solucionó en la versión 6.0.0.
  • Vulnerabilidad en Nix (CVE-2024-45593)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 20/09/2024
    Nix es un gestor de paquetes para Linux y otros sistemas Unix. Un error en Nix 2.24 anterior a 2.24.6 permite que un sustituto o un usuario malintencionado cree un NAR que, cuando Nix lo descomprime, hace que Nix escriba en ubicaciones arbitrarias del sistema de archivos a las que el proceso Nix tiene acceso. Esto se hará con permisos de superusuario cuando se utilice el daemon Nix. Este problema se solucionó en Nix 2.24.6.
  • Vulnerabilidad en D-Tale (CVE-2024-45595)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 20/09/2024
    D-Tale es un visualizador de estructuras de datos de Pandas. Los usuarios que alojan D-Tale públicamente pueden ser vulnerables a la ejecución remota de código, lo que permite a los atacantes ejecutar código malicioso en el servidor. Los usuarios deben actualizar a la versión 3.14.1, donde la entrada "Filtro personalizado" está desactivada de forma predeterminada.
  • Vulnerabilidad en vedees wcms (CVE-2024-8875)
    Severidad: MEDIA
    Fecha de publicación: 15/09/2024
    Fecha de última actualización: 20/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en vedees wcms hasta la versión 0.3.2. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /wex/finder.php. La manipulación del argumento p conduce a un path traversal. El ataque se puede ejecutar de forma remota. El exploit se ha divulgado al público y puede utilizarse. Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Nextcloud Desktop Client (CVE-2024-46958)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/09/2024
    Fecha de última actualización: 20/09/2024
    En Nextcloud Desktop Client 3.13.1 a 3.13.3 en Linux, los archivos sincronizados (entre el servidor y el cliente) pueden volverse legibles o modificables por todos. Esto se solucionó en 3.13.4.
  • Vulnerabilidad en WebIQ 2.15.9 (CVE-2024-8752)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/09/2024
    Fecha de última actualización: 20/09/2024
    La versión para Windows de WebIQ 2.15.9 se ve afectada por una vulnerabilidad de directory traversal que permite a atacantes remotos leer cualquier archivo del sistema.