Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Tungsten Automation Power PDF (CVE-2024-12551)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 18/02/2025
    Vulnerabilidad de ejecución de código remoto en el análisis de archivos JP2 de Tungsten Automation Power PDF fuera de los límites. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Tungsten Automation Power PDF. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JP2. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-25567.
  • Vulnerabilidad en Paessler PRTG Network Monitor (CVE-2024-12833)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 18/02/2025
    Vulnerabilidad de omisión de autenticación mediante Cross-Site Scripting SNMP en Paessler PRTG Network Monitor. Esta vulnerabilidad permite a los atacantes adyacentes a la red omitir la autenticación en las instalaciones afectadas de Paessler PRTG Network Monitor. Se requiere cierta interacción del usuario por parte de un administrador para explotar esta vulnerabilidad. La falla específica existe dentro de la interfaz web de PRTG Network Monitor. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede llevar a la inyección de una secuencia de comandos arbitraria. Un atacante puede aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Era ZDI-CAN-23371.
  • Vulnerabilidad en Logsign Unified SecOps Platform (CVE-2025-1044)
    Severidad: CRÍTICA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 18/02/2025
    Vulnerabilidad de omisión de autenticación en Logsign Unified SecOps Platform. Esta vulnerabilidad permite a atacantes remotos omitir la autenticación en las instalaciones afectadas de Logsign Unified SecOps Platform. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del servicio web, que escucha en el puerto TCP 443 de manera predeterminada. El problema es el resultado de la falta de una implementación adecuada del algoritmo de autenticación. Un atacante puede aprovechar esta vulnerabilidad para omitir la autenticación en el sistema. Era ZDI-CAN-25336.
  • Vulnerabilidad en Mintty Sixel (CVE-2025-1052)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 18/02/2025
    Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montón en el análisis de imágenes de Mintty Sixel. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Mintty. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de imágenes de Sixel. El problema es el resultado de la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Era ZDI-CAN-23382.
  • Vulnerabilidad en Majestic Support – The Leading-Edge Help Desk & Customer Support Plugin para WordPress (CVE-2024-13601)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 18/02/2025
    El complemento Majestic Support – The Leading-Edge Help Desk & Customer Support Plugin para WordPress es vulnerable a la referencia directa a objetos inseguros en todas las versiones hasta 1.0.5 incluida, a través de la función 'exportusereraserequest' debido a la falta de validación en una clave controlada por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, exporten datos de tickets para cualquier usuario.
  • Vulnerabilidad en The Global Gallery - WordPress Responsive Gallery para WordPress (CVE-2024-13814)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 18/02/2025
    El complemento The Global Gallery - WordPress Responsive Gallery para WordPress es vulnerable a la ejecución de códigos cortos arbitrarios en todas las versiones hasta 9.1.5 incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que los atacantes autenticados, con acceso de nivel de suscriptor y superior, ejecuten códigos cortos arbitrarios.
  • Vulnerabilidad en code-projects Police FIR Record Management System 1.0 (CVE-2025-1187)
    Severidad: MEDIA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 18/02/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en code-projects Police FIR Record Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del componente Delete Record Handler. La manipulación provoca un desbordamiento del búfer basado en la pila. Es necesario atacar de forma local. El exploit se ha hecho público y puede utilizarse.