Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en una página HTML en Blink XSLT en Google Chrome (CVE-2021-30560)
    Severidad: ALTA
    Fecha de publicación: 03/08/2021
    Fecha de última actualización: 05/05/2025
    Un uso de memoria previamente liberada en Blink XSLT en Google Chrome versiones anteriores a 91.0.4472.164, permitía a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML diseñada
  • Vulnerabilidad en MediaTek, Inc. (CVE-2023-32871)
    Severidad: MEDIA
    Fecha de publicación: 06/05/2024
    Fecha de última actualización: 05/05/2025
    En DA, existe una posible omisión de permiso debido a una verificación de estado incorrecta. Esto podría conducir a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación. ID de parche: ALPS08355514; ID del problema: ALPS08355514.
  • Vulnerabilidad en libmodbus (CVE-2024-34244)
    Severidad: ALTA
    Fecha de publicación: 08/05/2024
    Fecha de última actualización: 05/05/2025
    libmodbus v3.1.10 es vulnerable al desbordamiento del búfer a través de la función modbus_write_bits. Este problema puede desencadenarse cuando la función se alimenta con entradas especialmente manipuladas, lo que conduce a una lectura fuera de los límites y puede causar potencialmente un bloqueo u otros comportamientos no deseados.
  • Vulnerabilidad en TOTOLINK LR350 (CVE-2024-35099)
    Severidad: CRÍTICA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 05/05/2025
    Se descubrió que TOTOLINK LR350 V9.3.5u.6698_B20230810 contenía un desbordamiento de pila a través del parámetro de contraseña en la función loginAuth.
  • Vulnerabilidad en reCAPTCHA Jetpack WordPress (CVE-2024-3940)
    Severidad: ALTA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 05/05/2025
    El complemento reCAPTCHA Jetpack WordPress hasta la versión 0.2.2 no tiene activada la verificación CSRF al actualizar su configuración, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los cambie mediante un ataque CSRF.
  • Vulnerabilidad en reCAPTCHA Jetpack WordPress (CVE-2024-3941)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 05/05/2025
    El complemento reCAPTCHA Jetpack WordPress hasta la versión 0.2.2 no tiene verificación CSRF en algunos lugares y le falta sanitización y escape, lo que podría permitir a los atacantes hacer que el administrador conectado agregue payloads XSS almacenado a través de un ataque CSRF.
  • Vulnerabilidad en VikBooking Hotel Booking Engine & PMS WordPress (CVE-2024-2441)
    Severidad: ALTA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 05/05/2025
    El complemento VikBooking Hotel Booking Engine & PMS WordPress anterior a 1.6.8 permite el acceso directo a los menús, lo que permite a un usuario autenticado con privilegios de suscriptor o superiores omitir la autorización y acceder a la configuración del complemento VikBooking Hotel Booking Engine & PMS WordPress anterior a 1.6.8. no debería permitírselo.
  • Vulnerabilidad en VikBooking Hotel Booking Engine & PMS WordPress (CVE-2024-2749)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 05/05/2025
    El complemento VikBooking Hotel Booking Engine & PMS WordPress anterior a 1.6.8 no restringe adecuadamente el acceso a su configuración, lo que permite a cualquier usuario que pueda acceder a un menú manipular solicitudes y realizar acciones no autorizadas como editar, cambiar el nombre o eliminar (categorías para ejemplo) a pesar de que la configuración inicial prohíbe dicho acceso. Esta vulnerabilidad se asemeja a un control de acceso roto, lo que permite a usuarios no autorizados modificar el complemento crítico de VikBooking Hotel Booking Engine y PMS WordPress antes de las configuraciones 1.6.8.
  • Vulnerabilidad en Themify Themify Ultra (CVE-2023-46145)
    Severidad: ALTA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 05/05/2025
    La vulnerabilidad de gestión de privilegios incorrecta en Themify Themify Ultra permite la escalada de privilegios. Este problema afecta a Themify Ultra: desde n/a hasta 7.3.5.
  • Vulnerabilidad en Fluent Bit (CVE-2024-4323)
    Severidad: CRÍTICA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 05/05/2025
    Una vulnerabilidad de corrupción de memoria en las versiones 2.0.7 a 3.0.3 de Fluent Bit. Este problema radica en el análisis de las solicitudes de seguimiento por parte del servidor http integrado y puede dar lugar a condiciones de denegación de servicio, divulgación de información o ejecución remota de código.
  • Vulnerabilidad en Cesanta mjs 2.20.0 (CVE-2024-35386)
    Severidad: ALTA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 05/05/2025
    Un problema en Cesanta mjs 2.20.0 permite que un atacante remoto provoque una denegación de servicio a través de la función mjs_do_gc en el archivo mjs.c.