Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en MediaTek, Inc. (CVE-2024-20020)
    Severidad: MEDIA
    Fecha de publicación: 04/03/2024
    Fecha de última actualización: 30/01/2025
    En OPTEE, existe una posible escritura fuera de los límites debido a una verificación de los límites incorrecta. Esto podría conducir a la divulgación de información local con privilegios de ejecución de System necesarios. La interacción del usuario no es necesaria para la explotación. ID de parche: ALPS08522504; ID del problema: ALPS08522504.
  • Vulnerabilidad en MediaTek, Inc. (CVE-2024-20022)
    Severidad: MEDIA
    Fecha de publicación: 04/03/2024
    Fecha de última actualización: 30/01/2025
    En lk, existe una posible escalada de privilegios debido a una verificación de los límites faltantes. Esto podría conducir a una escalada local de privilegios con permisos de ejecución de System necesarios. La interacción del usuario no es necesaria para la explotación. ID de parche: ALPS08528255; ID del problema: ALPS08528255.
  • Vulnerabilidad en Netentsec NS-ASG Application Security Gateway 6.3 (CVE-2024-2645)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 30/01/2025
    Una vulnerabilidad ha sido encontrada en Netentsec NS-ASG Application Security Gateway 6.3 y clasificada como problemática. Esto afecta a una parte desconocida del archivo /vpnweb/resetpwd/resetpwd.php. La manipulación del argumento UserId conduce a una neutralización inadecuada de los datos dentro de las expresiones xpath. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257283. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Netentsec NS-ASG Application Security Gateway 6.3 (CVE-2024-2646)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 30/01/2025
    Una vulnerabilidad fue encontrada en Netentsec NS-ASG Application Security Gateway 6.3 y clasificada como crítica. Esta vulnerabilidad afecta a código desconocido del archivo /vpnweb/index.php?para=index. La manipulación del argumento check_VirtualSiteId conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257284. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Netentsec NS-ASG Application Security Gateway 6.3 (CVE-2024-2648)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 30/01/2025
    Una vulnerabilidad fue encontrada en Netentsec NS-ASG Application Security Gateway 6.3 y clasificada como problemática. Una función desconocida del archivo /nac/naccheck.php es afectada por esta vulnerabilidad. La manipulación del argumento nombre de usuario conduce a una neutralización inadecuada de los datos dentro de las expresiones xpath. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-257286 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Netentsec NS-ASG Application Security Gateway 6.3 (CVE-2024-2649)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 30/01/2025
    Una vulnerabilidad ha sido encontrada en Netentsec NS-ASG Application Security Gateway 6.3 y clasificada como crítica. Una función desconocida del archivo /protocol/iscdevicestatus/deleteonlineuser.php es afectada por esta vulnerabilidad. La manipulación del argumento contenido del mensaje conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-257287. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting de WordPress (CVE-2024-0608)
    Severidad: ALTA
    Fecha de publicación: 29/03/2024
    Fecha de última actualización: 30/01/2025
    El complemento WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting de WordPress es vulnerable a la inyección SQL basada en unión a través del parámetro 'email' en todas las versiones hasta la 1.12.9 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL. Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting de WordPress (CVE-2024-0609)
    Severidad: ALTA
    Fecha de publicación: 29/03/2024
    Fecha de última actualización: 30/01/2025
    WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting de WordPress es vulnerable a cross-site scripting almacenado a través del parámetro 'api_key' en todas las versiones hasta la 1.12.9 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting de WordPress (CVE-2024-0913)
    Severidad: ALTA
    Fecha de publicación: 29/03/2024
    Fecha de última actualización: 30/01/2025
    WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting de WordPress es vulnerable a la inyección SQL basada en tiempo a través del endpoint API REST erp/v1/accounting/v1/transactions/sales en todas las versiones hasta la 1.12.9 incluida debido a un escape insuficiente para los parámetros user supplied status y customer_id y falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con privilegios de administrador o administrador de contabilidad y superiores agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting de WordPress (CVE-2024-0956)
    Severidad: ALTA
    Fecha de publicación: 29/03/2024
    Fecha de última actualización: 30/01/2025
    El complemento WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress es vulnerable a la inyección SQL basada en tiempo a través del parámetro id a través de la ruta REST erp/v1/accounting/v1/vendors/1/products/ en todas las versiones hasta la 1.12.9 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con privilegios de administrador o administrador de contabilidad, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en Unlimited Elements For Elementor de WordPress (CVE-2024-0367)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2024
    Fecha de última actualización: 30/01/2025
    El complemento Unlimited Elements For Elementor para WordPress es vulnerable a cross-site scripting almacenado a través del campo de enlace de un widget instalado (por ejemplo, 'Enlace de botón') en todas las versiones hasta la 1.5.96 incluida debido a una sanitización de entrada insuficiente y salida que se escapa en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Ultimate Addons for Beaver Builder – Lite de WordPress (CVE-2024-2140)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2024
    Fecha de última actualización: 30/01/2025
    El complemento Ultimate Addons for Beaver Builder – Lite para WordPress es vulnerable a cross-site scripting almacenado a través del widget de iconos avanzados en todas las versiones hasta la 1.5.7 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Ultimate Addons for Beaver Builder – Lite de WordPress (CVE-2024-2141)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2024
    Fecha de última actualización: 30/01/2025
    El complemento Ultimate Addons for Beaver Builder – Lite para WordPress es vulnerable a cross-site scripting almacenado a través del widget de botón en todas las versiones hasta la 1.5.7 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Ultimate Addons for Beaver Builder – Lite de WordPress (CVE-2024-2142)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2024
    Fecha de última actualización: 30/01/2025
    El complemento Ultimate Addons for Beaver Builder – Lite para WordPress es vulnerable a cross-site scripting almacenado a través del widget de tabla de información en todas las versiones hasta la 1.5.7 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Ultimate Addons for Beaver Builder – Lite de WordPress (CVE-2024-2143)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2024
    Fecha de última actualización: 30/01/2025
    El complemento Ultimate Addons for Beaver Builder – Lite para WordPress es vulnerable a cross-site scripting almacenado a través del widget de encabezado en todas las versiones hasta la 1.5.7 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Ultimate Addons para Beaver Builder – Lite de WordPress (CVE-2024-2144)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2024
    Fecha de última actualización: 30/01/2025
    El complemento Ultimate Addons para Beaver Builder – Lite para WordPress es vulnerable a cross-site scripting almacenado a través del widget Separador de imágenes en todas las versiones hasta la 1.5.7 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress (CVE-2024-0952)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 30/01/2025
    El complemento WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress es vulnerable a la inyección SQL basada en tiempo a través del parámetro id en todas las versiones hasta la 1.12.9 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con privilegios de administrador o administrador de contabilidad o superiores, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en SourceCodester Kortex Lite Advocate Office Management System 1.0 (CVE-2024-3621)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 30/01/2025
    Se encontró una vulnerabilidad en SourceCodester Kortex Lite Advocate Office Management System 1.0. Ha sido clasificada como crítica. Esto afecta a una parte desconocida del archivo /control/register_case.php. La manipulación del argumento title/case_no/client_name/court/case_type/case_stage/legel_acts/description/filling_date/hearing_date/opposite_lawyer/total_fees/unpaid conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-260277.
  • Vulnerabilidad en WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress (CVE-2024-1173)
    Severidad: ALTA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento WP ERP | Complete HR solution with recruitment & job listings | WooCommerce CRM & Accounting para WordPress es vulnerable a la inyección SQL basada en tiempo a través del parámetro id en todas las versiones hasta la 1.13.1 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con acceso de administrador o administrador de contabilidad, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en Delta Electronics DIAEnergie (CVE-2024-34031)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 30/01/2025
    Delta Electronics DIAEnergie es afectada por una vulnerabilidad de inyección SQL que existe en el script Handler_CFG.ashx. Un atacante autenticado puede aprovechar este problema para comprometer potencialmente el sistema en el que está implementado DIAEnergie.
  • Vulnerabilidad en Delta Electronics DIAEnergie (CVE-2024-34032)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 30/01/2025
    Delta Electronics DIAEnergie es afectada por una vulnerabilidad de inyección SQL que existe en el endpoint GetDIACloudList. Un atacante autenticado puede aprovechar este problema para comprometer potencialmente el sistema en el que está implementado DIAEnergie.
  • Vulnerabilidad en Delta Electronics DIAEnergie (CVE-2024-34033)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 30/01/2025
    Delta Electronics DIAEnergie tiene una validación de entrada insuficiente, lo que permite realizar un ataque de path traversal y escribir fuera del directorio previsto. Si se especifica un nombre de archivo que ya existe en el sistema de archivos, se sobrescribirá el archivo original.
  • Vulnerabilidad en PaperCut NG (CVE-2023-39469)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 30/01/2025
    Vulnerabilidad de ejecución remota de código de inyección de código de búsqueda de usuario externo de PaperCut NG. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de PaperCut NG. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la funcionalidad de búsqueda de usuarios externos. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar código Java. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-21013.
  • Vulnerabilidad en PaperCut NG/MF (CVE-2024-4712)
    Severidad: ALTA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 30/01/2025
    Existe una vulnerabilidad de creación de archivos arbitraria en PaperCut NG/MF que solo afecta a los servidores Windows con Web Print habilitado. Esta vulnerabilidad requiere inicio de sesión local/acceso a la consola del servidor PaperCut NG/MF (por ejemplo: miembro de un grupo de administración de dominio).
  • Vulnerabilidad en Elementor Header & Footer Builder para WordPress (CVE-2024-4634)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento Elementor Header & Footer Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la función 'hfe_svg_mime_types' en versiones hasta la 1.6.28 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Master Addons – Free Widgets, Hover Effects, Toggle, Conditions, Animations for Elementor para WordPress (CVE-2024-4580)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento Master Addons – Free Widgets, Hover Effects, Toggle, Conditions, Animations for Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de varios parámetros en versiones hasta la 2.0.6.0 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en FactoryTalk® View SE Datalog de Rockwell Automation (CVE-2024-4609)
    Severidad: ALTA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 30/01/2025
    Existe una vulnerabilidad en la función FactoryTalk® View SE Datalog de Rockwell Automation que podría permitir que un actor malicioso inyecte una declaración SQL maliciosa si la base de datos SQL no tiene autenticación implementada o si se robaron credenciales legítimas. Si se explota, el ataque podría dar como resultado la exposición de información, revelando información confidencial. Además, un actor malicioso podría modificar y eliminar los datos de una base de datos remota. Un ataque sólo afectaría el tiempo de diseño de la HMI, no el tiempo de ejecución.
  • Vulnerabilidad en Dell BIOS (CVE-2024-22429)
    Severidad: ALTA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 30/01/2025
    Dell BIOS contiene una vulnerabilidad de validación de entrada incorrecta. Un usuario malicioso local autenticado con privilegios de administrador podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de código arbitrario.
  • Vulnerabilidad en El complemento Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress (CVE-2024-4891)
    Severidad: MEDIA
    Fecha de publicación: 18/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento Essential Blocks – Page Builder Gutenberg Blocks, Patterns & Templates para WordPress es vulnerable a cross site scripting almacenado a través del parámetro 'tagName' en versiones hasta la 4.5.12 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Delta Electronics DIAScreen (CVE-2024-39354)
    Severidad: ALTA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 30/01/2025
    Si un atacante engaña a un usuario válido para que ejecute Delta Electronics DIAScreen con un archivo que contiene código malicioso, se puede explotar un desbordamiento de búfer basado en pila en CEtherIPTagItem, lo que permite al atacante ejecutar de forma remota código arbitrario.
  • Vulnerabilidad en Delta Electronics DIAScreen (CVE-2024-39605)
    Severidad: ALTA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 30/01/2025
    Si un atacante engaña a un usuario válido para que ejecute Delta Electronics DIAScreen con un archivo que contiene código malicioso, se puede explotar un desbordamiento de búfer basado en pila en BACnetParameter, lo que permite al atacante ejecutar de forma remota código arbitrario.
  • Vulnerabilidad en Delta Electronics DIAScreen (CVE-2024-47131)
    Severidad: ALTA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 30/01/2025
    Si un atacante engaña a un usuario válido para que ejecute Delta Electronics DIAScreen con un archivo que contiene código malicioso, se puede explotar un desbordamiento de búfer basado en pila en BACnetObjectInfo, lo que permite al atacante ejecutar de forma remota código arbitrario.
  • Vulnerabilidad en PaperCut NG/MF (CVE-2024-9672)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 30/01/2025
    Existe una vulnerabilidad de Cross Site Scripting (XSS) reflejado en PaperCut NG/MF. Este problema se puede aprovechar para ejecutar payloads de JavaScript manipuladas especialmente en el navegador. El usuario debe hacer clic en un enlace malicioso para que se produzca este problema.
  • Vulnerabilidad en macOS Ventura, macOS Sonoma y macOS Sequoia (CVE-2024-44172)
    Severidad: BAJA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de privacidad mejorando la redacción de datos privados en las entradas de registro. Este problema se solucionó en macOS Ventura 13.7.3, macOS Sonoma 14.7.3 y macOS Sequoia 15. Es posible que una aplicación pueda acceder a los contactos.
  • Vulnerabilidad en macOS Ventura, iPadOS, iOS, macOS Sonoma y macOS Sequoia (CVE-2024-54488)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de lógica mejorando la gestión de archivos. Este problema se solucionó en macOS Ventura 13.7.2, iOS 18.2 y iPadOS 18.2, iPadOS 17.7.3, macOS Sonoma 14.7.2 y macOS Sequoia 15.2. Las fotos del Álbum de fotos ocultas se pueden ver sin autenticación.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24152)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con una gestión de memoria mejorada. Este problema se solucionó en macOS Sequoia 15.3. Una aplicación puede provocar una terminación inesperada de sistema o dañar la memoria del kernel.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24153)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de desbordamiento de búfer mejorando la gestión de la memoria. Este problema se solucionó en macOS Sequoia 15.3. Una aplicación con privilegios de superusuario puede ejecutar código arbitrario con privilegios de kernel.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24156)
    Severidad: ALTA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un desbordamiento de números enteros mediante una validación de entrada mejorada. Este problema se solucionó en macOS Ventura 13.7.3, macOS Sequoia 15.3 y macOS Sonoma 14.7.3. Es posible que una aplicación pueda elevar privilegios.
  • Vulnerabilidad en macOS Sonoma, visionOS, iOS, iPadOS, macOS Sequoia, watchOS y tvOS (CVE-2025-24161)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en iPadOS 17.7.4, macOS Sonoma 14.7.3, visionOS 2.3, iOS 18.3 y iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. El análisis de un archivo puede provocar el cierre inesperado de la aplicación.
  • Vulnerabilidad en macOS Sequoia y Safari (CVE-2025-24169)
    Severidad: ALTA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de registro con una redacción de datos mejorada. Este problema se solucionó en macOS Sequoia 15.3 y Safari 18.3. Una aplicación maliciosa podría eludir la autenticación de la extensión del navegador.
  • Vulnerabilidad en macOS Sequoia, iOS y iPadOS (CVE-2025-24177)
    Severidad: ALTA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de desreferencia de puntero nulo con una validación de entrada mejorada. Este problema se solucionó en macOS Sequoia 15.3, iOS 18.3 y iPadOS 18.3. Un atacante remoto podría provocar una denegación de servicio.