Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Pivotal Spring AMQP (CVE-2018-11087)
    Severidad: MEDIA
    Fecha de publicación: 14/09/2018
    Fecha de última actualización: 27/03/2025
    Pivotal Spring AMQP, en versiones 1.x anteriores a la 1.7.10 y versiones 2.x anteriores a la 2.0.6, expone una vulnerabilidad Man-in-the-Middle (MitM) debido a la falta de validación de nombres de host. Un usuario malicioso que pueda interceptar tráfico sería capaz de ver los datos en tránsito.
  • Vulnerabilidad en la función yr_set_configuration en el archivo yara/libyara/libyara.c en VirusTotal YARA (CVE-2021-45429)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2022
    Fecha de última actualización: 27/03/2025
    Se presenta una vulnerabilidad de Desbordamiento del Búfer en VirusTotal YARA en el git commit: 605b2edf07ed8eb9a2c61ba22eb2e7c362f47ba7 por medio de la función yr_set_configuration en el archivo yara/libyara/libyara.c, que podría causar una Denegación de Servicio
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-26294)
    Severidad: ALTA
    Fecha de publicación: 27/02/2024
    Fecha de última actualización: 27/03/2025
    Las vulnerabilidades en la interfaz de administración basada en web de ClearPass Policy Manager permiten a usuarios remotos autenticados ejecutar comandos arbitrarios en el host subyacente. Un exploit exitoso podría permitir a un atacante ejecutar comandos arbitrarios como root en el sistema operativo subyacente, lo que podría comprometer completamente el sistema.
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-26295)
    Severidad: ALTA
    Fecha de publicación: 27/02/2024
    Fecha de última actualización: 27/03/2025
    Las vulnerabilidades en la interfaz de administración basada en web de ClearPass Policy Manager permiten a usuarios remotos autenticados ejecutar comandos arbitrarios en el host subyacente. Un exploit exitoso podría permitir a un atacante ejecutar comandos arbitrarios como root en el sistema operativo subyacente, lo que podría comprometer completamente el sistema.
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-26296)
    Severidad: ALTA
    Fecha de publicación: 27/02/2024
    Fecha de última actualización: 27/03/2025
    Las vulnerabilidades en la interfaz de administración basada en web de ClearPass Policy Manager permiten a usuarios remotos autenticados ejecutar comandos arbitrarios en el host subyacente. Un exploit exitoso podría permitir a un atacante ejecutar comandos arbitrarios como root en el sistema operativo subyacente, lo que podría comprometer completamente el sistema.
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-26297)
    Severidad: ALTA
    Fecha de publicación: 27/02/2024
    Fecha de última actualización: 27/03/2025
    Las vulnerabilidades en la interfaz de administración basada en web de ClearPass Policy Manager permiten a usuarios remotos autenticados ejecutar comandos arbitrarios en el host subyacente. Un exploit exitoso podría permitir a un atacante ejecutar comandos arbitrarios como root en el sistema operativo subyacente, lo que podría comprometer completamente el sistema.
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-26298)
    Severidad: ALTA
    Fecha de publicación: 27/02/2024
    Fecha de última actualización: 27/03/2025
    Las vulnerabilidades en la interfaz de administración basada en web de ClearPass Policy Manager permiten a usuarios remotos autenticados ejecutar comandos arbitrarios en el host subyacente. Un exploit exitoso podría permitir a un atacante ejecutar comandos arbitrarios como root en el sistema operativo subyacente, lo que podría comprometer completamente el sistema.
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-26299)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2024
    Fecha de última actualización: 27/03/2025
    Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager podría permitir que un atacante remoto autenticado lleve a cabo un ataque de cross-site scripting (XSS) almacenado contra un usuario administrativo de la interfaz. Un exploit exitoso permite a un atacante ejecutar código de script arbitrario en el navegador de la víctima en el contexto de la interfaz afectada.
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-26300)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2024
    Fecha de última actualización: 27/03/2025
    Una vulnerabilidad en la interfaz de invitado de ClearPass Policy Manager podría permitir que un atacante remoto autenticado lleve a cabo un ataque de cross-site scripting (XSS) almacenado contra un usuario administrativo de la interfaz. Un exploit exitoso permite a un atacante ejecutar código de script arbitrario en el navegador de la víctima en el contexto de la interfaz afectada.
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-26302)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2024
    Fecha de última actualización: 27/03/2025
    Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager podría permitir que un atacante remoto autenticado con privilegios bajos acceda a información confidencial. Un exploit exitoso permite a un atacante recuperar información que podría usarse para obtener acceso adicional a los servicios de red compatibles con ClearPass Policy Manager.
  • Vulnerabilidad en Phpgurukul User Registration & Login y User Management System 1.0 (CVE-2024-25202)
    Severidad: MEDIA
    Fecha de publicación: 28/02/2024
    Fecha de última actualización: 27/03/2025
    Vulnerabilidad de cross-site scripting en Phpgurukul User Registration & Login y User Management System 1.0 permite a los atacantes ejecutar código arbitrario a través de la barra de búsqueda.
  • Vulnerabilidad en PHPGurukul Zoo Management System 1.0 (CVE-2024-25350)
    Severidad: CRÍTICA
    Fecha de publicación: 28/02/2024
    Fecha de última actualización: 27/03/2025
    Vulnerabilidad de inyección SQL en /zms/admin/edit-ticket.php en PHPGurukul Zoo Management System 1.0 a través de los parámetros tickettype y tprice.
  • Vulnerabilidad en PHPGurukul Zoo Management System 1.0 (CVE-2024-25351)
    Severidad: BAJA
    Fecha de publicación: 28/02/2024
    Fecha de última actualización: 27/03/2025
    Vulnerabilidad de inyección SQL en /zms/admin/changeimage.php en PHPGurukul Zoo Management System 1.0 permite a atacantes ejecutar comandos SQL arbitrarios a través del parámetro editid.
  • Vulnerabilidad en Deskfiler v1.2.3 (CVE-2024-25291)
    Severidad: CRÍTICA
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 27/03/2025
    Deskfiler v1.2.3 permite a los atacantes ejecutar código arbitrario cargando un complemento manipulado.
  • Vulnerabilidad en FitNesse (CVE-2024-23604)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 27/03/2025
    Existe una vulnerabilidad de cross-site scripting en todas las versiones de FitNesse, lo que puede permitir que un atacante remoto no autenticado ejecute un script arbitrario en el navegador web del usuario que utiliza el producto y accede a un enlace con múltiples parámetros especialmente manipulados.
  • Vulnerabilidad en Campcodes Online Marriage Registration System v.1.0 (CVE-2024-28456)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2024
    Fecha de última actualización: 27/03/2025
    Una vulnerabilidad de cross-site scripting en Campcodes Online Marriage Registration System v.1.0 permite a un atacante remoto ejecutar código arbitrario a través de los campos de texto en el formulario de solicitud de registro de matrimonio.
  • Vulnerabilidad en PAM JIT en Devolutions Server (CVE-2024-2915)
    Severidad: ALTA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 27/03/2025
    El control de acceso inadecuado en la elevación de PAM JIT en Devolutions Server 2024.1.6 y versiones anteriores permite que un atacante con acceso a la función de elevación de PAM JIT se eleve a grupos no autorizados mediante una solicitud especialmente manipulada.
  • Vulnerabilidad en Wholesale Team WholesaleX (CVE-2024-30233)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 27/03/2025
    Exposición de información confidencial a una vulnerabilidad de actor no autorizado en Wholesale Team WholesaleX. Este problema afecta a WholesaleX: desde n/a hasta 1.3.1.
  • Vulnerabilidad en Wholesale Team WholesaleX (CVE-2024-30234)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 27/03/2025
    Vulnerabilidad de autorización faltante en Wholesale Team WholesaleX. Este problema afecta a WholesaleX: desde n/a hasta 1.3.1.
  • Vulnerabilidad en sourcecodester Petrol pump management software v1.0 (CVE-2024-28558)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 27/03/2025
    Vulnerabilidad de inyección SQL en sourcecodester Petrol pump management software v1.0, permite a atacantes remotos ejecutar código arbitrario, escalar privilegios y obtener información confidencial a través de un payload manipulado en admin/app/web_crud.php.
  • Vulnerabilidad en kernel de Linux (CVE-2024-26822)
    Severidad: MEDIA
    Fecha de publicación: 17/04/2024
    Fecha de última actualización: 27/03/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: smb: cliente: configure el id, uid y cruid correctos para montajes automáticos multiusuario Cuando no se especifican uid, gid y cruid, debemos configurarlos dinámicamente en el contexto del sistema de archivos utilizado para el montaje automático, de lo contrario terminarán reutilizando los valores del montaje principal.
  • Vulnerabilidad en Firefox (CVE-2024-5687)
    Severidad: MEDIA
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 27/03/2025
    Si se realiza una secuencia específica de acciones al abrir una nueva pestaña, es posible que el principal desencadenante asociado con la nueva pestaña haya sido incorrecto. El principal de activación se utiliza para calcular muchos valores, incluidos los encabezados `Referer` y `Sec-*`, lo que significa que existe la posibilidad de que se realicen controles de seguridad incorrectos dentro del navegador, además de información incorrecta o engañosa enviada a sitios web remotos. *Este error sólo afecta a Firefox para Android. Otras versiones de Firefox no se ven afectadas.* Esta vulnerabilidad afecta a Firefox < 127.
  • Vulnerabilidad en Firefox y Firefox ESR (CVE-2024-5692)
    Severidad: MEDIA
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 27/03/2025
    En Windows, al utilizar la función "Guardar como", un atacante podría haber engañado al navegador para que guardara el archivo con una extensión no permitida como ".url" al incluir un carácter no válido en la extensión. *Nota:* Este problema solo afectaba a los sistemas operativos Windows. Otros sistemas operativos no se ven afectados. Esta vulnerabilidad afecta a Firefox < 127 y Firefox ESR < 115.12.
  • Vulnerabilidad en Firefox y Firefox ESR (CVE-2024-5693)
    Severidad: MEDIA
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 27/03/2025
    Offscreen Canvas no realizó un seguimiento adecuado de la contaminación de origen cruzado, que podría usarse para acceder a datos de imágenes de otro sitio en violación de la política del mismo origen. Esta vulnerabilidad afecta a Firefox < 127 y Firefox ESR < 115.12.
  • Vulnerabilidad en Firefox y Firefox ESR (CVE-2024-5696)
    Severidad: ALTA
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 27/03/2025
    Al manipular el texto en una etiqueta `<input>`, un atacante podría haber dañado la memoria y provocar un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox < 127 y Firefox ESR < 115.12.
  • Vulnerabilidad en Combodo iTop (CVE-2024-51995)
    Severidad: ALTA
    Fecha de publicación: 07/11/2024
    Fecha de última actualización: 27/03/2025
    Combodo iTop es una herramienta de gestión de servicios de TI basada en la web. Un atacante puede solicitar cualquier «ruta» que queramos siempre que especifiquemos una «operación» que esté permitida. Este problema se ha solucionado en la versión 3.2.0 aplicando el mismo patrón de control de acceso que en «UI.php» a la página «ajax.render.php», que no permite enviar «rutas» arbitrarias. Se recomienda a todos los usuarios que actualicen la versión. No existen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en PHPGurukul Online Marriage Registration System v1.0 (CVE-2024-50989)
    Severidad: CRÍTICA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 27/03/2025
    Una vulnerabilidad de inyección SQL en /omrs/admin/search.php en PHPGurukul Online Marriage Registration System v1.0 permite a un atacante ejecutar comandos SQL arbitrarios a través del parámetro "searchdata".
  • Vulnerabilidad en PHPGurukul Online Marriage Registration System v1.0 (CVE-2024-50990)
    Severidad: MEDIA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 27/03/2025
    Se encontró una vulnerabilidad de tipo Cross Site Scriptng (XSS) reflejado en /omrs/user/search.php en PHPGurukul Online Marriage Registration System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST "searchdata".
  • Vulnerabilidad en PHPGurukul Online Marriage Registration System 1.0 (CVE-2024-51054)
    Severidad: MEDIA
    Fecha de publicación: 11/11/2024
    Fecha de última actualización: 27/03/2025
    Se encontró una vulnerabilidad de Cross Site Scriptng (XSS) en /omrs/admin/search.php en PHPGurukul Online Marriage Registration System 1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST "searchdata".
  • Vulnerabilidad en Cyber Cafe Management System v.1.0 (CVE-2023-38920)
    Severidad: MEDIA
    Fecha de publicación: 13/11/2024
    Fecha de última actualización: 27/03/2025
    La vulnerabilidad de Cross-Site Scripting en Cyber Cafe Management System v.1.0 permite a un atacante local ejecutar código arbitrario a través de una secuencia de comandos diseñada específicamente para el parámetro adminname.
  • Vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3. (CVE-2024-50843)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 27/03/2025
    Se encontró un problema de listado de directorios en PHPGurukul User Registration & Login and User Management System 3.2, que permite a atacantes remotos acceder a archivos y directorios confidenciales a través de /loginsystem/assets.
  • Vulnerabilidad en PHPGURUKUL Vehicle Parking Management System v1.13 (CVE-2024-53365)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 27/03/2025
    Se identificó una vulnerabilidad de cross-site scripting (XSS) almacenado en PHPGURUKUL Vehicle Parking Management System v1.13 en /users/profile.php. Esta vulnerabilidad permite a los usuarios autenticados inyectar secuencias de comandos XSS maliciosas en el campo de nombre del perfil.
  • Vulnerabilidad en PHPGurukul COVID 19 Testing Management System v1.0 (CVE-2024-53604)
    Severidad: CRÍTICA
    Fecha de publicación: 27/11/2024
    Fecha de última actualización: 27/03/2025
    Se encontró una vulnerabilidad de inyección SQL en /covid-tms/check_availability.php en PHPGurukul COVID 19 Testing Management System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST mobnumber.
  • Vulnerabilidad en PHPGurukul COVID 19 Testing Management System v1.0 (CVE-2024-53603)
    Severidad: ALTA
    Fecha de publicación: 27/11/2024
    Fecha de última actualización: 27/03/2025
    Se encontró una vulnerabilidad de inyección SQL en /covid-tms/password-recovery.php en PHPGurukul COVID 19 Testing Management System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST contactno.
  • Vulnerabilidad en PHPGurukul Doctor Appointment Management System 1.0 (CVE-2025-2383)
    Severidad: MEDIA
    Fecha de publicación: 17/03/2025
    Fecha de última actualización: 27/03/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en PHPGurukul Doctor Appointment Management System 1.0. Este problema afecta a una funcionalidad desconocida del archivo /doctor/search.php. La manipulación del argumento "searchdata" provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Local Services Search Engine Management System 1.0 (CVE-2025-2386)
    Severidad: MEDIA
    Fecha de publicación: 17/03/2025
    Fecha de última actualización: 27/03/2025
    Se encontró una vulnerabilidad en PHPGurukul Local Services Search Engine Management System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /serviceman-search.php. La manipulación de la ubicación del argumento provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Vanna de Dify Tools (CVE-2025-0185)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 27/03/2025
    Una vulnerabilidad en el módulo Vanna de Dify Tools del repositorio langgenius/dify permite la inyección de consultas de Pandas en la última versión. La vulnerabilidad se produce en la función `vn.get_training_plan_generic(df_information_schema)`, que no depura correctamente las entradas del usuario antes de ejecutar consultas con la librería de Pandas. Esto podría provocar la ejecución remota de código (RCE) si se explota.
  • Vulnerabilidad en Mattermost (CVE-2025-25274)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2025
    Fecha de última actualización: 27/03/2025
    Las versiones de Mattermost 10.4.x <= 10.4.2, 10.3.x <= 10.3.3, 9.11.x <= 9.11.8 no logran restringir la ejecución de comandos en canales archivados, lo que permite que los usuarios autenticados ejecuten comandos en canales archivados.
  • Vulnerabilidad en Mattermost (CVE-2025-27715)
    Severidad: BAJA
    Fecha de publicación: 21/03/2025
    Fecha de última actualización: 27/03/2025
    Las versiones 9.11.x <= 9.11.8 de Mattermost no solicitan aprobación explícita antes de agregar un administrador de equipo a un canal privado, lo que provoca que los administradores de equipo se unan a canales privados a través de enlaces permanentes manipulados sin su consentimiento explícito.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2674)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 27/03/2025
    Se encontró una vulnerabilidad crítica en PHPGurukul Bank Locker Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /aboutus.php. La manipulación del argumento pagetitle provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2681)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 27/03/2025
    Se encontró una vulnerabilidad en PHPGurukul Bank Locker Management System 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /edit-locker.php?ltid=6. La manipulación del argumento lockersize provoca una inyección SQL. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2682)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 25/03/2025
    Se ha detectado una vulnerabilidad crítica en PHPGurukul Bank Locker Management System 1.0. Esta afecta a una parte desconocida del archivo /edit-subadmin.php?said=3. La manipulación del argumento "mobilenumber" provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Bank Locker Management System 1.0 (CVE-2025-2683)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 27/03/2025
    Se encontró una vulnerabilidad clasificada como crítica en PHPGurukul Bank Locker Management System 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /profile.php. La manipulación del argumento "mobilenumber" provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul eLearning System 1.0 (CVE-2025-2687)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 27/03/2025
    Se ha detectado una vulnerabilidad crítica en PHPGurukul eLearning System 1.0. Se ve afectada una función desconocida del archivo /user/index.php del componente Image Handler. Esta manipulación permite la carga sin restricciones. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.