Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la función parse_param de la función wordexp de la biblioteca GNU C (CVE-2021-35942)
    Severidad: CRÍTICA
    Fecha de publicación: 22/07/2021
    Fecha de última actualización: 01/05/2025
    La función wordexp de la biblioteca GNU C (también se conoce como glibc) versiones hasta 2.33, puede bloquearse o leer memoria arbitraria en la función parse_param (en el archivo posix/wordexp.c) cuando se llama con un patrón diseñado que no es confiable, resultando en una denegación de servicio o divulgación de información. Esto ocurre porque atoi fue usado pero debería haber sido usado strtoul para asegurar cálculos correctos
  • Vulnerabilidad en la función de compatibilidad obsoleta clnt_create en el módulo sunrpc de la Biblioteca C de GNU (CVE-2022-23219)
    Severidad: CRÍTICA
    Fecha de publicación: 14/01/2022
    Fecha de última actualización: 01/05/2025
    La función de compatibilidad obsoleta clnt_create en el módulo sunrpc de la Biblioteca C de GNU (también se conoce como glibc) versiones hasta 2.34, copia su argumento de nombre de host en la pila sin comprobar su longitud, que puede resultar en un desbordamiento de búfer, resultando potencialmente en una denegación de servicio o (si una aplicación no está construida con un protector de pila habilitado) la ejecución de código arbitrario
  • Vulnerabilidad en la función de compatibilidad obsoleta svcunix_create en el módulo sunrpc de la Biblioteca C de GNU (CVE-2022-23218)
    Severidad: CRÍTICA
    Fecha de publicación: 14/01/2022
    Fecha de última actualización: 01/05/2025
    La función de compatibilidad obsoleta svcunix_create en el módulo sunrpc de la Biblioteca C de GNU (también conocida como glibc) hasta la versión 2.34 copia su argumento de ruta en la pila sin comprobar su longitud, lo que puede resultar en un desbordamiento del búfer, resultando potencialmente en una denegación de servicio o (si una aplicación no está construida con un protector de pila habilitado) la ejecución de código arbitrario
  • Vulnerabilidad en Apache Airflow (CVE-2024-27906)
    Severidad: MEDIA
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 01/05/2025
    Apache Airflow, versiones anteriores a la 2.8.2, tiene una vulnerabilidad que permite a los usuarios autenticados ver el código DAG e importar errores de DAG que no tienen permiso para ver a través de la API y la UI. Se recomienda a los usuarios de Apache Airflow actualizar a la versión 2.8.2 o posterior para mitigar el riesgo asociado con esta vulnerabilidad.
  • Vulnerabilidad en Apache Commons (CVE-2024-29131)
    Severidad: ALTA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 01/05/2025
    Vulnerabilidad de escritura fuera de los límites en la configuración de Apache Commons. Este problema afecta a la configuración de Apache Commons: desde 2.0 antes de 2.10.1. Se recomienda a los usuarios actualizar a la versión 2.10.1, que soluciona el problema.
  • Vulnerabilidad en Apache Commons (CVE-2024-29133)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 01/05/2025
    Vulnerabilidad de escritura fuera de los límites en la configuración de Apache Commons. Este problema afecta a la configuración de Apache Commons: desde 2.0 antes de 2.10.1. Se recomienda a los usuarios actualizar a la versión 2.10.1, que soluciona el problema.
  • Vulnerabilidad en Ivanti Endpoint Manager (CVE-2024-34781)
    Severidad: ALTA
    Fecha de publicación: 13/11/2024
    Fecha de última actualización: 01/05/2025
    La inyección de SQL en Ivanti Endpoint Manager antes de la actualización de seguridad de noviembre de 2024 o la actualización de seguridad de noviembre de 2022 SU6 permite que un atacante remoto autenticado con privilegios de administrador logre la ejecución remota de código.
  • Vulnerabilidad en SLIMS (CVE-2025-26200)
    Severidad: ALTA
    Fecha de publicación: 24/02/2025
    Fecha de última actualización: 01/05/2025
    La inyección SQL en SLIMS v.9.6.1 permite a un atacante remoto escalar privilegios a través del parámetro month en el componente visitor_report_day.php.