Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Stage.js (CVE-2024-53386)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 27/06/2025
    Stage.js hasta 0.8.10 permite el DOM Clobbering (con el consiguiente XSS para entradas no confiables que contienen HTML pero no contienen directamente JavaScript), porque la búsqueda de document.currentScript puede ser ocultada por elementos HTML inyectados por el atacante.
  • Vulnerabilidad en BentoML (CVE-2025-27520)
    Severidad: CRÍTICA
    Fecha de publicación: 04/04/2025
    Fecha de última actualización: 27/06/2025
    BentoML es una librería de Python para crear sistemas de servidores en línea optimizados para aplicaciones de IA e inferencia de modelos. Se ha identificado una vulnerabilidad de Ejecución Remota de Código (RCE) causada por una deserialización insegura en la última versión (v1.4.2) de BentoML. Esta vulnerabilidad permite a cualquier usuario no autenticado ejecutar código arbitrario en el servidor. Existe un segmento de código inseguro en serde.py. Esta vulnerabilidad se corrigió en la versión 1.4.3.
  • Vulnerabilidad en YouDianCMS 9.5.21 (CVE-2025-3531)
    Severidad: MEDIA
    Fecha de publicación: 13/04/2025
    Fecha de última actualización: 27/06/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en YouDianCMS 9.5.21. Esta afecta a una parte desconocida del archivo /App/Tpl/Admin/Default/Log/index.html. La manipulación del argumento UserName/LogType provoca ataques de cross site scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en YouDianCMS 9.5.21 (CVE-2025-3532)
    Severidad: MEDIA
    Fecha de publicación: 13/04/2025
    Fecha de última actualización: 27/06/2025
    Se encontró una vulnerabilidad clasificada como problemática en YouDianCMS 9.5.21. Esta vulnerabilidad afecta al código desconocido del archivo /App/Tpl/Member/Default/Order/index.html.Attackers. La manipulación del argumento OrderNumber provoca cross site scripting. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en YouDianCMS 9.5.21 (CVE-2025-3533)
    Severidad: MEDIA
    Fecha de publicación: 13/04/2025
    Fecha de última actualización: 27/06/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en YouDianCMS 9.5.21. Este problema afecta a un procesamiento desconocido del archivo /App/Tpl/Admin/Default/Channel/index.html.Attackers. La manipulación del argumento Parent provoca cross site scripting. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.