Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Mattermost Server (CVE-2024-28949)
    Severidad: MEDIA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 12/12/2024
    Las versiones de Mattermost Server 9.5.x anteriores a 9.5.2, 9.4.x anteriores a 9.4.4, 9.3.x anteriores a 9.3.3, 8.1.x anteriores a 8.1.11 no limitan el número de preferencias de usuario que permiten a un atacante enviar un gran número de preferencias del usuario que pueden causar denegación de servicio.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-4539)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 13/12/2024
    Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 15.4 anterior a la 16.9.7, desde la 16.10 anterior a la 16.10.5 y desde la 16.11 anterior a la 16.11.2, donde se podría abusar de la API para filtrar ramas y etiquetas. conducir a la denegación del servicio.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-2651)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 12/12/2024
    Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones anteriores a 16.9.7, todas las versiones desde 16.10 anteriores a 16.10.5, todas las versiones desde 16.11 anteriores a 16.11.2. Era posible que un atacante provocara una denegación de servicio utilizando contenido de rebajas creado con fines malintencionados.
  • Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2022-23815)
    Severidad: ALTA
    Fecha de publicación: 13/08/2024
    Fecha de última actualización: 12/12/2024
    Una verificación de los límites inadecuada en el firmware APCB puede permitir que un atacante realice una escritura fuera de los límites, corrompiendo la entrada APCB y potencialmente llevando a la ejecución de código arbitrario.
  • Vulnerabilidad en Adobe Commerce (CVE-2024-45119)
    Severidad: MEDIA
    Fecha de publicación: 10/10/2024
    Fecha de última actualización: 12/12/2024
    Las versiones 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de Server-Side Request Forgery (SSRF) que podría provocar la lectura arbitraria del sistema de archivos. Un atacante autenticado con pocos privilegios puede obligar a la aplicación a realizar solicitudes arbitrarias mediante la inyección de URL arbitrarias y tener un impacto bajo tanto en la confidencialidad como en la integridad. La explotación de este problema no requiere la interacción del usuario y se modifica el alcance.
  • Vulnerabilidad en Adobe Commerce (CVE-2024-45120)
    Severidad: BAJA
    Fecha de publicación: 10/10/2024
    Fecha de última actualización: 12/12/2024
    Las versiones 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de condición de ejecución de tiempo de verificación y tiempo de uso (TOCTOU) que podría provocar la omisión de una característica de seguridad. Un atacante podría aprovechar esta vulnerabilidad para alterar una condición entre la verificación y el uso de un recurso, lo que tendría un impacto bajo en la integridad. La explotación de este problema requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Commerce (CVE-2024-45149)
    Severidad: BAJA
    Fecha de publicación: 10/10/2024
    Fecha de última actualización: 12/12/2024
    Las versiones 2.4.7-p2, 2.4.6-p7, 2.4.5-p9, 2.4.4-p10 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar la omisión de una función de seguridad. Un atacante con pocos privilegios podría aprovechar esta vulnerabilidad para omitir las medidas de seguridad y tener un impacto bajo en la confidencialidad. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-8970)
    Severidad: ALTA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 13/12/2024
    Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 11.6 anterior a la 17.2.9, desde la 17.3 anterior a la 17.3.5 y desde la 17.4 anterior a la 17.4.2, que permite a un atacante activar una canalización como otro usuario en determinadas circunstancias.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-8180)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 13/12/2024
    Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 17.3 hasta la 17.3.7, desde la 17.4 hasta la 17.4.4 y desde la 17.5 hasta la 17.5.2. Una codificación de salida incorrecta podría provocar un error XSS si no se habilita CSP.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-7404)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 12/12/2024
    Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 17.2 anterior a la 17.3.7, desde la 17.4 anterior a la 17.4.4 y desde la 17.5 anterior a la 17.5.2, lo que podría haber permitido que un atacante obtuviera acceso completo a la API como víctima a través del flujo OAuth del dispositivo.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-8648)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 12/12/2024
    Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 16 hasta la 17.3.7, la 17.4 hasta la 17.4.4 y la 17.5 hasta la 17.5.2. La vulnerabilidad podría permitir que un atacante inyecte código JavaScript malicioso en los paneles de Analytics a través de una URL especialmente manipulada.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-9633)
    Severidad: BAJA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 12/12/2024
    Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones a partir de la 16.3 hasta la 17.3.7, a todas las versiones a partir de la 17.4 hasta la 17.4.4 y a todas las versiones a partir de la 17.5 hasta la 17.5.2. Este problema permite a un atacante crear un grupo con un nombre que coincida con un dominio de Pages único existente, lo que puede provocar ataques de confusión de dominios.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-11668)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 12/12/2024
    Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 16.11 hasta la 17.4.5, desde la 17.5 hasta la 17.5.3 y desde la 17.6 hasta la 17.6.1. Las conexiones de larga duración podrían eludir los controles de autenticación, lo que permitiría el acceso no autorizado a los resultados de streaming.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-11669)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 12/12/2024
    Se descubrió un problema en GitLab CE/EE que afectaba a todas las versiones desde la 16.9.8 hasta la 17.4.5, desde la 17.5 hasta la 17.5.3 y desde la 17.6 hasta la 17.6.1. Ciertos endpoints de API podrían permitir el acceso no autorizado a datos confidenciales debido a la aplicación demasiado amplia de los alcances de los tokens.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-11828)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 12/12/2024
    Se descubrió una condición de denegación de servicio (DoS) en GitLab CE/EE que afectaba a todas las versiones desde la 13.2.4 hasta la 17.4.5, desde la 17.5 hasta la 17.5.3 y desde la 17.6 hasta la 17.6.1. Al aprovechar esta vulnerabilidad, un atacante podría crear una condición de denegación de servicio mediante el envío de llamadas a la API manipuladas. Se trataba de una regresión de un parche anterior.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-8177)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 13/12/2024
    Se descubrió un problema en GitLab CE/EE que afecta a todas las versiones desde la 15.6 anterior a la 17.4.5, desde la 17.5 anterior a la 17.5.3, desde la 17.6 anterior a la 17.6.1, que podría causar denegación de servicio mediante la integración de un registro de puerto malicioso.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-8237)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 13/12/2024
    Se ha descubierto un problema de denegación de servicio (DoS) en GitLab CE/EE que afecta a todas las versiones anteriores a la 12.6 y anteriores a la 17.4.5, a la 17.5 y anteriores a la 17.5.3 y a la 17.6 y anteriores a la 17.6.1. Un atacante podría provocar una denegación de servicio con un archivo cargo.toml manipulado por un usuario.
  • Vulnerabilidad en GitLab EE (CVE-2024-10240)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 13/12/2024
    Se ha descubierto un problema en GitLab EE que afecta a todas las versiones desde la 17.3 hasta la 17.3.7, todas las versiones desde la 17.4 hasta la 17.4.4 y todas las versiones desde la 17.5 hasta la 17.5.2 en el que un usuario no autenticado puede leer información sobre un MR en un proyecto privado, bajo determinadas circunstancias.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52853)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 13/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52854)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 13/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.