Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Command Center Server (CVE-2024-21815)
    Severidad: CRÍTICA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 10/02/2025
    Las credenciales insuficientemente protegidas (CWE-522) para integraciones de DVR de terceros al Command Center Server son accesibles para usuarios autenticados pero sin privilegios. Este problema afecta a: Gallagher Command Center 9.00 anterior a vEL9.00.1774 (MR2), 8.90 anterior a vEL8.90.1751 (MR3), 8.80 anterior a vEL8.80.1526 (MR4), 8.70 anterior a vEL8.70.2526 (MR6), todas las versiones de 8.60 y anteriores.
  • Vulnerabilidad en Command Centre Server (CVE-2024-21838)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 10/02/2025
    La neutralización inadecuada de elementos especiales en la salida (CWE-74) utilizados por la función de generación de correo electrónico de Command Centre Server podría provocar la inyección de código HTML en los correos electrónicos generados por Command Center. Este problema afecta a: Gallagher Command Center 9.00 anterior a vEL9.00.1774 (MR2), 8.90 anterior a vEL8.90.1751 (MR3), 8.80 anterior a vEL8.80.1526 (MR4), 8.70 anterior a vEL8.70.2526 (MR6), todas las versiones de 8.60 y anteriores.
  • Vulnerabilidad en IpcTxSndSetLoopbackCtrl en libsec-ril (CVE-2023-52432)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 10/02/2025
    La validación de entrada incorrecta en IpcTxSndSetLoopbackCtrl en libsec-ril antes de SMR Sep-2023 Release 1 permite a atacantes locales escribir memoria fuera de los límites.
  • Vulnerabilidad en AppLock (CVE-2024-20830)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 10/02/2025
    El permiso predeterminado incorrecto en AppLock anterior a SMR MAr-2024 Release 1 permite a atacantes locales configurar los ajustes de AppLock.
  • Vulnerabilidad en Little Kernel (CVE-2024-20831)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 10/02/2025
    El desbordamiento de pila en Little Kernel en el gestor de arranque anterior a SMR Mar-2024 Release 1 permite a atacantes privilegiados ejecutar código arbitrario.
  • Vulnerabilidad en Little Kernel (CVE-2024-20832)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 10/02/2025
    El desbordamiento del montón en Little Kernel en el gestor de arranque anterior a SMR Mar-2024 Release 1 permite a un atacante privilegiado ejecutar código arbitrario.
  • Vulnerabilidad en WlanTest (CVE-2024-20834)
    Severidad: BAJA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 10/02/2025
    La vulnerabilidad de exposición de información confidencial en WlanTest anterior a SMR Mar-2024 Release 1 permite a atacantes locales acceder a la dirección MAC sin el permiso adecuado.
  • Vulnerabilidad en CustomFrequencyManagerService (CVE-2024-20835)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad de control de acceso inadecuado en CustomFrequencyManagerService anterior a SMR Mar-2024 Release 1 permite a atacantes locales ejecutar comportamientos privilegiados.
  • Vulnerabilidad en ssmis_get_frm en libsubextractor.so (CVE-2024-20836)
    Severidad: BAJA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de lectura fuera de los límites en ssmis_get_frm en libsubextractor.so antes de SMR Mar-2024 Release 1 permite a atacantes locales leer memoria fuera de los límites.
  • Vulnerabilidad en pub_crypto_recv_msg (CVE-2024-20833)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de use after free en pub_crypto_recv_msg antes de SMR Mar-2024 Release 1 debido a la condición de ejecución permite a atacantes locales con privilegios del sistema causar daños en la memoria.
  • Vulnerabilidad en SourceCodester Internship Portal Management System 1.0 (CVE-2024-3252)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Internship Portal Management System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo admin/check_admin.php. La manipulación del argumento nombre de usuario/contraseña conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259101.
  • Vulnerabilidad en SourceCodester Internship Portal Management System 1.0 (CVE-2024-3253)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Internship Portal Management System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo admin/add_admin.php. La manipulación del argumento nombre/nombre de usuario/contraseña conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259102 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Internship Portal Management System 1.0 (CVE-2024-3254)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Internship Portal Management System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo admin/edit_admin.php. La manipulación del argumento admin_id conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259103.
  • Vulnerabilidad en SourceCodester Internship Portal Management System 1.0 (CVE-2024-3255)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Internship Portal Management System 1.0 y clasificada como crítica. Una función desconocida del archivo admin/edit_admin_query.php es afectada por esta vulnerabilidad. La manipulación del argumento nombre de usuario/contraseña/nombre/admin_id conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259104.
  • Vulnerabilidad en SourceCodester Internship Portal Management System 1.o (CVE-2024-3256)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 10/02/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Internship Portal Management System 1.0 y se ha clasificado como crítica. Una función desconocida del archivo admin/edit_activity.php es afectada por esta vulnerabilidad. La manipulación del argumento id_actividad conduce a la inyección SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259105.
  • Vulnerabilidad en SourceCodester Internship Portal Management System 1.o (CVE-2024-3257)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 10/02/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Internship Portal Management System 1.0 y ha sido clasificada como crítica. Una función desconocida del archivo admin/edit_activity_query.php es afectada por esta vulnerabilidad. La manipulación del argumento título/descripción/inicio/fin conduce a la inyección SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259106 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Internship Portal Management System 1.o (CVE-2024-3258)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 10/02/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Internship Portal Management System 1.0. Ha sido clasificada como crítica. Esto afecta a una parte desconocida del archivo admin/add_activity.php. La manipulación del argumento título/descripción/inicio/fin conduce a la inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259107.
  • Vulnerabilidad en SourceCodester Internship Portal Management System 1.0 (CVE-2024-3259)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 10/02/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Internship Portal Management System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta al código desconocido del archivo admin/delete_activity.php. La manipulación del argumento id_actividad conduce a la inyección SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259108.
  • Vulnerabilidad en SourceCodester Online Library System 1.0 (CVE-2024-3359)
    Severidad: ALTA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 10/02/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Online Library System 1.0 y se ha clasificado como crítica. Este problema afecta un procesamiento desconocido del archivo admin/login.php. La manipulación del argumento user_email conduce a la inyección SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259463.
  • Vulnerabilidad en SourceCodester Online Library System 1.0 (CVE-2024-3360)
    Severidad: ALTA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 10/02/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Online Library System 1.0 y se ha clasificado como crítica. Una función desconocida del archivo admin/books/index.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259464.
  • Vulnerabilidad en SourceCodester Online Library System 1.0 (CVE-2024-3361)
    Severidad: ALTA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 10/02/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Online Library System 1.0 y se ha clasificado como crítica. Una función desconocida del archivo admin/books/deweydecimal.php es afectada por esta vulnerabilidad. La manipulación de la categoría de argumento conduce a la inyección SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259465.
  • Vulnerabilidad en SourceCodester Online Library System 1.0 (CVE-2024-3362)
    Severidad: ALTA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 10/02/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Online Library System 1.0 y se ha clasificado como crítica. Una función desconocida del archivo admin/books/controller.php es afectada por esta vulnerabilidad. La manipulación del argumento IBSN conduce a la inyección SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259466 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Online Library System 1.0 (CVE-2024-3364)
    Severidad: BAJA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Online Library System 1.0. Ha sido declarada problemática. Esta vulnerabilidad afecta a un código desconocido del archivo admin/books/index.php. La manipulación del argumento id conduce a cross-site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259468.
  • Vulnerabilidad en SourceCodester Online Library System 1.0 (CVE-2024-3365)
    Severidad: BAJA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Online Library System 1.0. Ha sido calificada como problemática. Este problema afecta un procesamiento desconocido del archivo admin/users/controller.php. La manipulación del argumento nombre_usuario conduce a cross-site scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259469.
  • Vulnerabilidad en SourceCodester Human Resource Information System 1.0 (CVE-2024-3413)
    Severidad: ALTA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Human Resource Information System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo inicialize/login_process.php. La manipulación del argumento hr_email/hr_password conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259582 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SolarWinds Serv-U (CVE-2024-28073)
    Severidad: ALTA
    Fecha de publicación: 17/04/2024
    Fecha de última actualización: 10/02/2025
    Se descubrió que SolarWinds Serv-U era susceptible a una vulnerabilidad de Directory Traversal Remote Code. Esta vulnerabilidad requiere una cuenta con privilegios elevados para poder explotarse.
  • Vulnerabilidad en SolarWinds (CVE-2024-28076)
    Severidad: ALTA
    Fecha de publicación: 18/04/2024
    Fecha de última actualización: 10/02/2025
    La plataforma SolarWinds era susceptible a una vulnerabilidad de redireccionamiento abierto arbitrario. Un atacante potencial puede redirigir a un dominio diferente cuando utiliza un parámetro de URL con una entrada relativa en el formato correcto.
  • Vulnerabilidad en SolarWinds (CVE-2024-29001)
    Severidad: ALTA
    Fecha de publicación: 18/04/2024
    Fecha de última actualización: 10/02/2025
    Se identificó una vulnerabilidad de inyección SWQL de la plataforma SolarWinds en la interfaz de usuario. Esta vulnerabilidad requiere autenticación e interacción del usuario para poder explotarse.
  • Vulnerabilidad en SolarWinds (CVE-2024-29003)
    Severidad: ALTA
    Fecha de publicación: 18/04/2024
    Fecha de última actualización: 10/02/2025
    La plataforma SolarWinds era susceptible a una vulnerabilidad XSS que afecta la sección de mapas de la interfaz de usuario. Esta vulnerabilidad requiere autenticación y requiere interacción del usuario.
  • Vulnerabilidad en ProfileGrid – User Profiles, Memberships, Groups and Communities para WordPress (CVE-2024-3606)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 10/02/2025
    El complemento ProfileGrid – User Profiles, Memberships, Groups and Communities para WordPress es vulnerable a la eliminación no autorizada de datos debido a una falta de verificación de capacidad en la función pm_upload_cover_image en todas las versiones hasta la 5.8.3 incluida. Esto hace posible que atacantes autenticados, con acceso de suscriptor o superior, eliminen archivos adjuntos.
  • Vulnerabilidad en Samsung (CVE-2024-20859)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad de control de acceso inadecuado en FactoryCamera antes de la versión 1 de SMR de mayo de 2024 permite a atacantes locales tomar fotografías sin privilegios.
  • Vulnerabilidad en Samsung (CVE-2024-20861)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de use after free en SveService anterior a SMR, versión 1 de mayo de 2024, permite a atacantes locales con privilegios provocar daños en la memoria.
  • Vulnerabilidad en Samsung (CVE-2024-20862)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 10/02/2025
    La escritura fuera de los límites en SveService antes de SMR, mayo de 2024, versión 1, permite a atacantes locales con privilegios ejecutar código arbitrario.
  • Vulnerabilidad en Samsung (CVE-2024-20863)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de escritura fuera de los límites en SNAP en HAL antes de SMR, versión 1 de mayo de 2024, permite a atacantes locales con privilegios ejecutar código arbitrario.
  • Vulnerabilidad en Samsung (CVE-2024-20865)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 10/02/2025
    La omisión de autenticación en el gestor de arranque anterior a SMR May-2024 Release 1 permite a atacantes físicos mostrar imágenes arbitrarias.
  • Vulnerabilidad en Samsung (CVE-2024-20866)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de omisión de autenticación en el asistente de configuración anterior a SMR, versión 1 de mayo de 2024, permite a los atacantes físicos omitir el paso de activación.
  • Vulnerabilidad en SolarWinds Access Rights Manager (CVE-2024-23473)
    Severidad: ALTA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 10/02/2025
    Se descubrió que SolarWinds Access Rights Manager contenía una vulnerabilidad de omisión de autenticación de credenciales codificada. Si se explota, esta vulnerabilidad permite el acceso a la consola de administración de RabbitMQ. Agradecemos a Trend Micro Zero Day Initiative (ZDI) por su asociación continua para coordinar con SolarWinds la divulgación responsable de esta y otras vulnerabilidades potenciales.
  • Vulnerabilidad en SolarWinds Access Rights Manager (CVE-2024-28075)
    Severidad: CRÍTICA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 10/02/2025
    SolarWinds Access Rights Manager era susceptible a una vulnerabilidad de ejecución remota de código. Esta vulnerabilidad permite que un usuario autenticado abuse del servicio SolarWinds, lo que resulta en la ejecución remota de código. Agradecemos a Trend Micro Zero Day Initiative (ZDI) por su asociación continua para coordinar con SolarWinds la divulgación responsable de esta y otras vulnerabilidades potenciales.
  • Vulnerabilidad en SolarWinds (CVE-2024-29000)
    Severidad: ALTA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 10/02/2025
    Se determinó que la plataforma SolarWinds estaba afectada por una vulnerabilidad de cross site scripting reflejado que afectaba a la consola web. Se requiere un usuario con altos privilegios y la interacción del usuario para aprovechar esta vulnerabilidad.
  • Vulnerabilidad en Samsung Mobile (CVE-2024-20873)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad de validación de entrada incorrecta en el controlador caminfo anterior a SMR Jun-2024 Release 1 permite a atacantes locales con privilegios escribir memoria fuera de los límites.
  • Vulnerabilidad en Samsung Mobile (CVE-2024-20874)
    Severidad: ALTA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad de control de acceso inadecuado en SmartManagerCN anterior a SMR Jun-2024 Release 1 permite a atacantes locales iniciar actividades privilegiadas.
  • Vulnerabilidad en Samsung Mobile (CVE-2024-20875)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad de verificación de llamadas incorrecta en SemClipboard antes de la versión 1 de SMR de junio de 2024 permite a atacantes locales acceder a archivos arbitrarios.
  • Vulnerabilidad en Samsung Mobile (CVE-2024-20876)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    La validación de entrada incorrecta en libsheifdecadapter.so antes de SMR Jun-2024 Release 1 permite a atacantes locales provocar daños en la memoria.
  • Vulnerabilidad en Samsung Mobile (CVE-2024-20877)
    Severidad: ALTA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de escritura fuera de los límites en el montón al analizar el encabezado de la imagen de cuadrícula en libsavscmn.so antes de SMR Jun-2024 Release 1 permite a atacantes locales ejecutar código arbitrario.
  • Vulnerabilidad en Samsung Mobile (CVE-2024-20878)
    Severidad: ALTA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de escritura fuera de los límites en el montón al analizar la imagen de cuadrícula en libsavscmn.so antes de SMR, junio de 2024, versión 1, permite a atacantes locales ejecutar código arbitrario.
  • Vulnerabilidad en Samsung Mobile (CVE-2024-20879)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de validación de entrada incorrecta en libsavscmn.so anterior a SMR Jun-2024 Release 1 permite a atacantes locales escribir memoria fuera de los límites.
  • Vulnerabilidad en Samsung Mobile (CVE-2024-20880)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de desbordamiento de búfer basado en pila en el gestor de arranque anterior a SMR Jun-2024 Release 1 permite a atacantes físicos sobrescribir la memoria.
  • Vulnerabilidad en chnactiv TA (CVE-2024-20881)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad de validación de entrada incorrecta en chnactiv TA antes de SMR Jun-2024 Release 1 permite a atacantes locales con privilegios conducir a una posible ejecución de código arbitrario.
  • Vulnerabilidad en Samsung Mobile (CVE-2024-20882)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de lectura fuera de los límites en el gestor de arranque anterior a SMR de junio de 2024, versión 1, permite a atacantes físicos acceder a datos arbitrarios.
  • Vulnerabilidad en RegisterBatteryStatsCallback en BatteryStatsService (CVE-2024-20883)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    El uso incorrecto de la vulnerabilidad de API privilegiada en RegisterBatteryStatsCallback en BatteryStatsService antes de SMR Jun-2024 Release 1 permite a atacantes locales usar API privilegiada.
  • Vulnerabilidad en getSemBatteryUsageStats en BatteryStatsService (CVE-2024-20884)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    El uso incorrecto de la vulnerabilidad de API privilegiada en getSemBatteryUsageStats en BatteryStatsService antes de SMR Jun-2024 Release 1 permite a atacantes locales usar API privilegiada.
  • Vulnerabilidad en Samsung Dialer (CVE-2024-20885)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad de protección de componentes incorrecta en Samsung Dialer anterior a SMR, versión 1 de mayo de 2024, permite a atacantes locales realizar una llamada sin el permiso adecuado.
  • Vulnerabilidad en Hugging Face Transformers MobileViTV2 (CVE-2024-11392)
    Severidad: ALTA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de ejecución remota de código de deserialización de datos no confiables en Hugging Face Transformers MobileViTV2. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Hugging Face Transformers. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de archivos de configuración. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en la deserialización de datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Era ZDI-CAN-24322.
  • Vulnerabilidad en Hugging Face Transformers MaskFormer Model (CVE-2024-11393)
    Severidad: ALTA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de ejecución remota de código de deserialización de datos no confiables en Hugging Face Transformers MaskFormer Model. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Hugging Face Transformers. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe dentro del análisis de archivos de modelo. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en la deserialización de datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Era ZDI-CAN-25191.
  • Vulnerabilidad en Hugging Face Transformers Trax Model (CVE-2024-11394)
    Severidad: ALTA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de ejecución remota de código de datos no confiables en Hugging Face Transformers Trax Model. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Hugging Face Transformers. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de archivos de modelo. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar la deserialización de datos no confiables. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Era ZDI-CAN-25012.
  • Vulnerabilidad en libswmfextractor.so (CVE-2024-49410)
    Severidad: MEDIA
    Fecha de publicación: 03/12/2024
    Fecha de última actualización: 10/02/2025
    La escritura fuera de los límites en libswmfextractor.so anterior a SMR Dec-2024 Release 1 permite que atacantes locales ejecuten código arbitrario.
  • Vulnerabilidad en ThemeCenter (CVE-2024-49411)
    Severidad: MEDIA
    Fecha de publicación: 03/12/2024
    Fecha de última actualización: 10/02/2025
    La travesía de ruta en ThemeCenter antes de SMR Dec-2024 Release 1 permite a atacantes físicos copiar archivos apk en una ruta arbitraria con el privilegio de ThemeCenter.
  • Vulnerabilidad en SmartSwitch (CVE-2024-49413)
    Severidad: ALTA
    Fecha de publicación: 03/12/2024
    Fecha de última actualización: 10/02/2025
    La verificación incorrecta de la firma criptográfica en SmartSwitch antes de la versión 1 de SMR de diciembre de 2024 permite que los atacantes locales instalen aplicaciones maliciosas.
  • Vulnerabilidad en Dex Mode (CVE-2024-49414)
    Severidad: BAJA
    Fecha de publicación: 03/12/2024
    Fecha de última actualización: 10/02/2025
    La omisión de autenticación mediante una ruta alternativa en el Dex Mode antes de la versión 1 de SMR de diciembre de 2024 permite a los atacantes físicos acceder temporalmente a la lista de aplicaciones recientes.
  • Vulnerabilidad en libsaped.so (CVE-2024-49415)
    Severidad: ALTA
    Fecha de publicación: 03/12/2024
    Fecha de última actualización: 10/02/2025
    La escritura fuera de los límites en libsaped.so anterior a SMR Dec-2024 Release 1 permite a atacantes remotos ejecutar código arbitrario.