Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en spa-cartcms 1.9.0.6 (CVE-2024-6128)
    Severidad: MEDIA
    Fecha de publicación: 18/06/2024
    Fecha de última actualización: 20/09/2024
    Una vulnerabilidad fue encontrada en spa-cartcms 1.9.0.6 y clasificada como problemática. Este problema afecta un procesamiento desconocido del archivo /checkout de la página de pago del componente. La manipulación del argumento cantidad con la entrada -10 conduce a la aplicación del flujo de trabajo conductual. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-268895.
  • Vulnerabilidad en Spectra (CVE-2023-36676)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 20/09/2024
    Vulnerabilidad de autorización faltante en Brainstorm Force Spectra. Este problema afecta a Spectra: desde n/a hasta 2.6.6.
  • Vulnerabilidad en Convert Pro (CVE-2023-36684)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 20/09/2024
    Vulnerabilidad de autorización faltante en Brainstorm Force Convert Pro. Este problema afecta a Convert Pro: desde n/a hasta 1.7.5.
  • Vulnerabilidad en Xinhu RockOA 2.6.3 (CVE-2024-6939)
    Severidad: MEDIA
    Fecha de publicación: 21/07/2024
    Fecha de última actualización: 20/09/2024
    Una vulnerabilidad fue encontrada en Xinhu RockOA 2.6.3 y clasificada como problemática. La función okla del archivo /webmain/public/upload/tpl_upload.html es afectada por esta vulnerabilidad. La manipulación del argumento callback conduce a Cross Site Scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-271994 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en ThinkSAAS 3.7.0 (CVE-2024-6941)
    Severidad: MEDIA
    Fecha de publicación: 21/07/2024
    Fecha de última actualización: 20/09/2024
    Una vulnerabilidad fue encontrada en ThinkSAAS 3.7.0 y clasificada como problemática. Este problema afecta un procesamiento desconocido del archivo app/system/action/do.php. La manipulación del argumento site_title/site_subtitle/site_key/site_desc/site_url/site_email/site_icp conduce a Cross Site Scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-272063.
  • Vulnerabilidad en ThinkSAAS 3.7.0 (CVE-2024-6942)
    Severidad: MEDIA
    Fecha de publicación: 21/07/2024
    Fecha de última actualización: 20/09/2024
    Una vulnerabilidad fue encontrada en ThinkSAAS 3.7.0 y clasificada como problemática. Una función desconocida del archivo app/system/action/anti.php del componente Admin Panel Security Center es afectada por esta vulnerabilidad. La manipulación del argumento ip/email/phone conduce a Cross Site Scripting. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-272064.
  • Vulnerabilidad en ZhongBangKeJi CRMEB (CVE-2024-6943)
    Severidad: MEDIA
    Fecha de publicación: 21/07/2024
    Fecha de última actualización: 20/09/2024
    Una vulnerabilidad ha sido encontrada en ZhongBangKeJi CRMEB hasta 5.4.0 y clasificada como crítica. La función downloadImage del archivo app/services/product/product/CopyTaobaoServices.php es afectada por esta vulnerabilidad. La manipulación conduce a la deserialización. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-272065. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en ZhongBangKeJi CRMEB (CVE-2024-6944)
    Severidad: MEDIA
    Fecha de publicación: 21/07/2024
    Fecha de última actualización: 20/09/2024
    Una vulnerabilidad fue encontrada en ZhongBangKeJi CRMEB hasta 5.4.0 y clasificada como crítica. La función get_image_base64 del archivo PublicController.php es afectada por esta vulnerabilidad. La manipulación del argumento file conduce a la deserialización. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-272066 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Omnivise T3000 (CVE-2024-38877)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/08/2024
    Fecha de última actualización: 20/09/2024
    Se ha identificado una vulnerabilidad en Omnivise T3000 Application Server (Todas las versiones), Omnivise T3000 Domain Controller (Todas las versiones), Omnivise T3000 Network Intrusion Detection System (NIDS) (Todas las versiones), Omnivise T3000 Product Data Management (PDM) (Todas las versiones), Omnivise T3000 Security Server (Todas las versiones), Omnivise T3000 Terminal Server (Todas las versiones), Omnivise T3000 Thin Client (Todas las versiones), Omnivise T3000 Whitelisting Server (Todas las versiones). Los dispositivos afectados almacenan las credenciales iniciales del sistema sin la protección suficiente. Un atacante con acceso remoto al shell o acceso físico podría recuperar las credenciales, lo que provocaría una pérdida de confidencialidad, lo que permitiría al atacante moverse lateralmente dentro de la red afectada.
  • Vulnerabilidad en Omnivise T3000 Application Server (CVE-2024-38879)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/08/2024
    Fecha de última actualización: 20/09/2024
    Se ha identificado una vulnerabilidad en Omnivise T3000 Application Server (todas las versiones). El sistema afectado expone el puerto de una aplicación interna en la interfaz de la red pública, lo que permite a un atacante omitir la autenticación y acceder directamente a la aplicación expuesta.