Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en h2oai/h2o-3 (CVE-2024-5979)
    Severidad: ALTA
    Fecha de publicación: 27/06/2024
    Fecha de última actualización: 15/07/2025
    En h2oai/h2o-3 versión 3.46.0, el comando `run_tool` en el componente `rapids` permite llamar a la función `main` de cualquier clase bajo el espacio de nombres `water.tools`. Una de esas clases, `MojoConvertTool`, bloquea el servidor cuando se invoca con un argumento no válido, provocando una denegación de servicio.
  • Vulnerabilidad en gaizhenbiao/chuanhuchatgpt (CVE-2024-6090)
    Severidad: ALTA
    Fecha de publicación: 27/06/2024
    Fecha de última actualización: 15/07/2025
    Existe una vulnerabilidad de path traversal en gaizhenbiao/chuanhuchatgpt versión 20240410, que permite a cualquier usuario eliminar los historiales de chat de otros usuarios. Esta vulnerabilidad también se puede aprovechar para eliminar cualquier archivo que termine en ".json" en el sistema de destino, lo que provoca una denegación de servicio ya que los usuarios no pueden autenticarse.
  • Vulnerabilidad en stitionai/devika (CVE-2024-5712)
    Severidad: ALTA
    Fecha de publicación: 28/06/2024
    Fecha de última actualización: 15/07/2025
    Cross-Site Request Forgery (CSRF) en stitionai/devika
  • Vulnerabilidad en mudler/LocalAI (CVE-2024-5616)
    Severidad: MEDIA
    Fecha de publicación: 06/07/2024
    Fecha de última actualización: 15/07/2025
    Existe una vulnerabilidad de Cross Site Request Forgery (CSRF) en las versiones de mudler/LocalAI hasta la 2.15.0 incluida, que permite a los atacantes engañar a las víctimas para que eliminen los modelos instalados. Al crear una página HTML maliciosa, un atacante puede provocar la eliminación de un modelo, como 'gpt-4-vision-preview', sin el consentimiento de la víctima. La vulnerabilidad se debe a mecanismos de protección CSRF insuficientes en la funcionalidad de eliminación del modelo.
  • Vulnerabilidad en stitionai/devika de GitHub (CVE-2024-5549)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 15/07/2025
    Error de validación de origen en el repositorio de GitHub stitionai/devika antes de -.
  • Vulnerabilidad en gaizhenbiao/chuanhuchatgpt (CVE-2024-6036)
    Severidad: CRÍTICA
    Fecha de publicación: 10/07/2024
    Fecha de última actualización: 15/07/2025
    Una vulnerabilidad en gaizhenbiao/chuanhuchatgpt versión 20240410 permite a cualquier usuario reiniciar el servidor a voluntad enviando una solicitud específica al endpoint `/queue/join?` con `"fn_index":66`. Esta capacidad de reinicio del servidor sin restricciones puede alterar gravemente la disponibilidad del servicio, provocar pérdida o corrupción de datos y potencialmente comprometer la integridad del sistema.
  • Vulnerabilidad en gaizhenbiao/chuanhuchatgpt (CVE-2024-6037)
    Severidad: CRÍTICA
    Fecha de publicación: 10/07/2024
    Fecha de última actualización: 15/07/2025
    Una vulnerabilidad en gaizhenbiao/chuanhuchatgpt versión 20240410 permite a un atacante crear carpetas arbitrarias en cualquier ubicación del servidor, incluido el directorio raíz (C: dir). Esto puede conducir a un consumo incontrolado de recursos, lo que resulta en agotamiento de recursos, denegación de servicio (DoS), indisponibilidad del servidor y posible pérdida o corrupción de datos.
  • Vulnerabilidad en zhijiantianya ruoyi-vue-pro 2.4.1 (CVE-2025-2707)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 15/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en zhijiantianya ruoyi-vue-pro 2.4.1. Este problema afecta a una funcionalidad desconocida del archivo /app-api/infra/file/upload del componente Interfaz de la Tienda Front-End. La manipulación de la ruta del argumento provoca un path traversal. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en zhijiantianya ruoyi-vue-pro 2.4.1 (CVE-2025-2742)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 15/07/2025
    Se encontró una vulnerabilidad clasificada como crítica en zhijiantianya ruoyi-vue-pro 2.4.1. Esta vulnerabilidad afecta al código desconocido del archivo /admin-api/mp/material/upload-permanent del componente Material Upload Interface. La manipulación del argumento "File" provoca un path traversal. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2025-5450)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 15/07/2025
    El control de acceso inadecuado en el componente de administración de certificados de Ivanti Connect Secure anterior a la versión 22.7R2.8 y de Ivanti Policy Secure anterior a la versión 22.7R1.5 permite que un administrador autenticado remoto con derechos de solo lectura modifique configuraciones que deberían estar restringidas.
  • Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2025-5451)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 15/07/2025
    Un desbordamiento de búfer basado en pila en Ivanti Connect Secure anterior a la versión 22.7R2.8 e Ivanti Policy Secure anterior a la versión 22.7R1.5 permite que un atacante remoto autenticado con derechos de administrador active una denegación de servicio.
  • Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2025-5463)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 15/07/2025
    La inserción de información confidencial en un archivo de registro en Ivanti Connect Secure anterior a la versión 22.7R2.8 e Ivanti Policy Secure anterior a la versión 22.7R1.5 permite que un atacante local autenticado obtenga esa información.
  • Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2025-0292)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 15/07/2025
    SSRF en Ivanti Connect Secure anterior a la versión 22.7R2.8 y Ivanti Policy Secure anterior a la versión 22.7R1.5 permite que un atacante remoto autenticado con derechos de administrador acceda a los servicios de red internos.
  • Vulnerabilidad en Ivanti Connect Secure (CVE-2025-5464)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 15/07/2025
    La inserción de información confidencial en un archivo de registro en Ivanti Connect Secure anterior a la versión 22.7R2.8 permite que un atacante local autenticado obtenga esa información.