Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en iTop DualSafe Password Manager & Digital Vault (CVE-2024-24272)
    Severidad: ALTA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 10/06/2025
    Un problema en iTop DualSafe Password Manager & Digital Vault anterior a 1.4.24 permite a un atacante local obtener información confidencial a través de credenciales filtradas como texto plano en un archivo de registro al que puede acceder el usuario local sin conocer el secreto maestro.
  • Vulnerabilidad en CRMEB_Java (CVE-2024-28714)
    Severidad: ALTA
    Fecha de publicación: 28/03/2024
    Fecha de última actualización: 10/06/2025
    Vulnerabilidad de inyección SQL en el sistema de comercio electrónico CRMEB_Java v.1.3.4 permite a un atacante ejecutar código arbitrario a través del parámetro groupid.
  • Vulnerabilidad en Hubbub Lite de WordPress (CVE-2024-1526)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 10/06/2025
    El complemento Hubbub Lite de WordPress anterior a 1.33.1 no garantiza que el usuario tenga acceso a una publicación protegida con contraseña antes de mostrar su contenido en una metaetiqueta.
  • Vulnerabilidad en 71cms v1.0.0 (CVE-2024-25187)
    Severidad: ALTA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 10/06/2025
    La vulnerabilidad de Server Side Request Forgery (SSRF) en 71cms v1.0.0 permite a atacantes remotos no autenticados obtener información confidencial a través de getweather.html.
  • Vulnerabilidad en Mbed TLS (CVE-2024-28755)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 10/06/2025
    Se descubrió un problema en Mbed TLS 3.5.x anterior a 3.6.0. Cuando se restableció un contexto SSL con la API mbedtls_ssl_session_reset(), la versión máxima de TLS a negociar no se restauró a la configurada. Un atacante pudo evitar que un servidor Mbed TLS estableciera cualquier conexión TLS 1.3, lo que podría provocar una denegación de servicio o una degradación forzada de la versión de TLS 1.3 a TLS 1.2.
  • Vulnerabilidad en emlog versión Pro 2.3 (CVE-2024-31013)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 10/06/2025
    Vulnerabilidad de Cross Site Scripting (XSS) en emlog versión Pro 2.3, permite a atacantes remotos ejecutar código arbitrario a través de un payload manipulado en la parte inferior de la página de inicio en el parámetro footer_info.
  • Vulnerabilidad en swfdump en swftools 0.9.2 (CVE-2024-28458)
    Severidad: ALTA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 10/06/2025
    La vulnerabilidad de desreferencia de puntero nulo en swfdump en swftools 0.9.2 permite a los atacantes bloquear la aplicación mediante la función compileSWFActionCode en action/actioncompiler.c.
  • Vulnerabilidad en Apache Kafka (CVE-2024-27309)
    Severidad: ALTA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 10/06/2025
    Mientras se migra un clúster de Apache Kafka del modo ZooKeeper al modo KRaft, en algunos casos las ACL no se aplicarán correctamente. Se necesitan dos condiciones previas para desencadenar el error: 1. El administrador decide eliminar una ACL. 2. El recurso asociado con la ACL eliminada continúa teniendo dos o más ACL asociadas después de la eliminación. Cuando se cumplen esas dos condiciones previas, Kafka tratará el recurso como si tuviera solo una ACL asociada después de la eliminación, en lugar de las dos o más que serían correctas. La condición incorrecta se elimina eliminando todos los intermediarios en modo ZK o agregando una nueva ACL al recurso afectado. Una vez que se completa la migración, no hay pérdida de metadatos (todas las ACL permanecen). El impacto total depende de las ACL en uso. Si solo se configuraran ALLOW ACL durante la migración, el impacto se limitaría al impacto en la disponibilidad. Si se configuraron DENY ACL, el impacto podría incluir un impacto en la confidencialidad e integridad según las ACL configuradas, ya que DENY ACL podrían ignorarse debido a esta vulnerabilidad durante el período de migración.
  • Vulnerabilidad en Typora v.1.6.7 (CVE-2024-31783)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 10/06/2025
    La vulnerabilidad de Cross-Site Scripting (XSS) en Typora v.1.6.7 y anteriores permite a un atacante local obtener información confidencial a través de un script manipulado durante la creación del archivo de rebajas.
  • Vulnerabilidad en Typora (CVE-2024-31784)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 10/06/2025
    Un problema en Typora v.1.8.10 y anteriores permite a un atacante local obtener información confidencial y ejecutar código arbitrario a través de un payload manipulado para el componente src.
  • Vulnerabilidad en LiteSpeed Technologies LiteSpeed Cache (CVE-2023-40000)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 10/06/2025
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en LiteSpeed Technologies LiteSpeed Cache permite almacenar XSS. Este problema afecta a LiteSpeed Cache: desde n/a hasta 5.7.
  • Vulnerabilidad en NanoMQ 0.21.7 (CVE-2024-31040)
    Severidad: BAJA
    Fecha de publicación: 17/04/2024
    Fecha de última actualización: 10/06/2025
    Vulnerabilidad de desbordamiento de búfer en la función get_var_integer en mqtt_parser.c en NanoMQ 0.21.7 permite a atacantes remotos provocar una denegación de servicio a través de una serie de hexstreams especialmente manipulados.
  • Vulnerabilidad en NanoMQ 0.21.7 (CVE-2024-31041)
    Severidad: ALTA
    Fecha de publicación: 17/04/2024
    Fecha de última actualización: 10/06/2025
    Vulnerabilidad de desreferencia de puntero nulo en la función topic_filtern en mqtt_parser.c en NanoMQ 0.21.7 permite a atacantes provocar una denegación de servicio.
  • Vulnerabilidad en Pytorch (CVE-2024-31583)
    Severidad: ALTA
    Fecha de publicación: 17/04/2024
    Fecha de última actualización: 10/06/2025
    Se descubrió que Pytorch anterior a la versión v2.2.0 contenía una vulnerabilidad de use-after-free en torch/csrc/jit/mobile/interpreter.cpp.
  • Vulnerabilidad en f-logic datacube3 v.1.0 (CVE-2024-31750)
    Severidad: CRÍTICA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 10/06/2025
    Vulnerabilidad de inyección SQL en f-logic datacube3 v.1.0 permite a un atacante remoto obtener información confidencial a través del parámetro req_id.
  • Vulnerabilidad en NanoMQ v.0.21.7 (CVE-2024-31036)
    Severidad: MEDIA
    Fecha de publicación: 22/04/2024
    Fecha de última actualización: 10/06/2025
    Una vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico en la función read_byte en NanoMQ v.0.21.7 permite a los atacantes provocar una denegación de servicio mediante la transmisión de hexstreams manipulados.
  • Vulnerabilidad en MM-email2image de WordPress (CVE-2024-3075)
    Severidad: ALTA
    Fecha de publicación: 26/04/2024
    Fecha de última actualización: 10/06/2025
    El complemento MM-email2image de WordPress hasta la versión 0.2.5 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a una página/publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting Almacenado.