Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en IBM Concert Software (CVE-2024-41785)
    Severidad: MEDIA
    Fecha de publicación: 15/11/2024
    Fecha de última actualización: 18/07/2025
    IBM Concert Software 1.0.0 a 1.0.1 es vulnerable a ataques de cross site scripting. Esta vulnerabilidad permite a un atacante no autenticado insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales dentro de una sesión de confianza.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-43189)
    Severidad: MEDIA
    Fecha de publicación: 15/11/2024
    Fecha de última actualización: 18/07/2025
    IBM Concert Software 1.0.0 a 1.0.1 podría permitir que un atacante remoto obtenga información confidencial, debido a la falla en la habilitación correcta de HTTP Strict Transport Security. Un atacante podría aprovechar esta vulnerabilidad para obtener información confidencial mediante técnicas de intermediario.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-37070)
    Severidad: MEDIA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 18/07/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2 y 1.0.2.1 podría permitir que un usuario autenticado obtenga información confidencial que podría contribuir a futuros ataques contra el sistema.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52359)
    Severidad: MEDIA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 18/07/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2 y 1.0.2.1 podría permitir que un usuario autenticado realice acciones no autorizadas que deberían estar reservadas al administrador debido a controles de acceso inadecuados.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52360)
    Severidad: ALTA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 18/07/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2 y 1.0.2.1 es vulnerable a la inyección SQL. Un atacante remoto podría enviar instrucciones SQL especialmente manipuladas, que podrían permitirle ver, agregar, modificar o eliminar información en la base de datos back-end.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52366)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 18/07/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2, 1.0.2.1 y 1.0.3 podría permitir que un atacante remoto obtenga información confidencial, debido a que no se ha habilitado correctamente la seguridad de transporte estricta HTTP. Un atacante podría aprovechar esta vulnerabilidad para obtener información confidencial mediante técnicas de intermediario.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52367)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 18/07/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2, 1.0.2.1 y 1.0.3 podría revelar información confidencial del sistema a un actor no autorizado que podría utilizarse en futuros ataques contra el sistema.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52891)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 18/07/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2, 1.0.2.1 y 1.0.3 podría permitir que un usuario autenticado inyecte información maliciosa u obtenga información de archivos de registro debido a una neutralización incorrecta de los registros.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52893)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 18/07/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2, 1.0.2.1 y 1.0.3 podría permitir que un atacante remoto obtenga información confidencial cuando se devuelve un mensaje de error técnico detallado en el navegador. Esta información podría utilizarse en futuros ataques contra el sistema.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-41757)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 18/07/2025
    IBM Concert Software 1.0.0 y 1.0.1 podría permitir que un atacante remoto obtenga información confidencial, debido a la falla en la habilitación correcta de HTTP Strict Transport Security. Un atacante podría aprovechar esta vulnerabilidad para obtener información confidencial mediante técnicas de intermediario.
  • Vulnerabilidad en TRENDnet TEW-818DRU 1.0.14.6 (CVE-2025-2958)
    Severidad: ALTA
    Fecha de publicación: 30/03/2025
    Fecha de última actualización: 18/07/2025
    Se encontró una vulnerabilidad en TRENDnet TEW-818DRU 1.0.14.6. Se ha declarado problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /usr/sbin/httpd del componente HTTP Request Handler. La manipulación provoca una denegación de servicio. El ataque debe realizarse dentro de la red local. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Fortinet FortiOS (CVE-2024-32122)
    Severidad: BAJA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 18/07/2025
    El almacenamiento de contraseñas en un formato recuperable en las versiones 7.2.0 a 7.2.1 de Fortinet FortiOS permite a los atacantes divulgar información mediante la modificación de la IP del servidor LDAP para apuntar a un servidor malicioso.
  • Vulnerabilidad en IBM Sterling Control Center (CVE-2023-42007)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2025
    Fecha de última actualización: 18/07/2025
    IBM Sterling Control Center 6.2.1, 6.3.1 y 6.4.0 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista y pudiendo llegar a revelar credenciales dentro de una sesión confiable.
  • Vulnerabilidad en IBM Sterling Control Center (CVE-2023-43035)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2025
    Fecha de última actualización: 18/07/2025
    IBM Sterling Control Center 6.2.1, 6.3.1 y 6.4.0 permiten almacenar localmente páginas web para que otro usuario del sistema pueda leerlas.
  • Vulnerabilidad en IBM Sterling Connect:Direct Web Services (CVE-2024-45651)
    Severidad: MEDIA
    Fecha de publicación: 18/04/2025
    Fecha de última actualización: 18/07/2025
    IBM Sterling Connect:Direct Web Services 6.1.0, 6.2.0 y 6.3.0 no invalidan la sesión después del cierre del navegador, lo que podría permitir que un usuario autenticado se haga pasar por otro usuario en el sistema.
  • Vulnerabilidad en IBM Sterling Connect:Direct Web Services (CVE-2024-49808)
    Severidad: MEDIA
    Fecha de publicación: 18/04/2025
    Fecha de última actualización: 18/07/2025
    IBM Sterling Connect:Direct Web Services 6.1.0, 6.2.0 y 6.3.0 podrían permitir que un usuario autenticado falsifique la identidad de otro usuario debido a una autorización incorrecta, lo que podría permitir al usuario eludir las restricciones de acceso.
  • Vulnerabilidad en IBM WebSphere Application Server (CVE-2025-27907)
    Severidad: MEDIA
    Fecha de publicación: 22/04/2025
    Fecha de última actualización: 18/07/2025
    IBM WebSphere Application Server 8.5 y 9.0 es vulnerable a server-side request forgery (SSRF). Esto podría permitir que un atacante autenticado envíe solicitudes no autorizadas desde el sistema, lo que podría provocar la enumeración de la red o facilitar otros ataques.
  • Vulnerabilidad en libpspp-core.a en GNU PSPP (CVE-2025-47229)
    Severidad: BAJA
    Fecha de publicación: 03/05/2025
    Fecha de última actualización: 18/07/2025
    libpspp-core.a en GNU PSPP hasta 2.0.1 permite a los atacantes provocar una denegación de servicio (error de afirmación var_set_leave_quiet y salida de la aplicación) a través de datos de entrada manipulados, como datos que activan una llamada desde el código src/data/dictionary.c al código src/data/variable.c.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20965)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 18/07/2025
    El manejo inadecuado de permisos insuficientes en la activación de Bixby anterior a la versión 2.3.74.8 permite que atacantes locales accedan a datos confidenciales.
  • Vulnerabilidad en Apache ActiveMQ (CVE-2025-27533)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 18/07/2025
    Vulnerabilidad de asignación de memoria con valor de tamaño excesivo en Apache ActiveMQ. Durante la desmarshalling de comandos OpenWire, el valor de tamaño de los búferes no se validó correctamente, lo que podría provocar una asignación excesiva de memoria y ser explotado para causar una denegación de servicio (DoS) al agotar la memoria del proceso. Esto afecta a aplicaciones y servicios que dependen de la disponibilidad del broker ActiveMQ cuando no utilizan conexiones TLS mutuas. Este problema afecta a Apache ActiveMQ: desde la versión 6.0.0 hasta la 6.1.6, desde la versión 5.18.0 hasta la 5.18.7, desde la versión 5.17.0 hasta la 5.17.7 y hasta la 5.16.8. ActiveMQ 5.19.0 no se ve afectado. Se recomienda a los usuarios actualizar a la versión 6.1.6+, 5.19.0+, 5.18.7+, 5.17.7 o 5.16.8, o a la que solucione el problema. Los usuarios existentes pueden implementar TLS mutuo para mitigar el riesgo en los corredores afectados.
  • Vulnerabilidad en IBM WebSphere Application Server (CVE-2025-33104)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2025
    Fecha de última actualización: 18/07/2025
    IBM WebSphere Application Server 8.5 y 9.0 es vulnerable a ataques de cross-site scripting. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales en una sesión de confianza.
  • Vulnerabilidad en Emlog (CVE-2025-47784)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 18/07/2025
    Emlog es un sistema de creación de sitios web de código abierto. Las versiones 2.5.13 y anteriores presentan una vulnerabilidad de deserialización. Un usuario que crea un apodo cuidadosamente diseñado puede provocar que `str_replace` reemplace el valor de `name_orig` por uno vacío, lo que provoca un error en la deserialización y devuelve `false`. El commit 9643250802188b791419e3c2188577073256a8a2 corrige el problema.
  • Vulnerabilidad en Gibbon (CVE-2025-26211)
    Severidad: BAJA
    Fecha de publicación: 27/05/2025
    Fecha de última actualización: 18/07/2025
    Gibbon anterior a 29.0.00 permite CSRF.
  • Vulnerabilidad en Tenda FH1205 2.0.0.7 (CVE-2025-6112)
    Severidad: ALTA
    Fecha de publicación: 16/06/2025
    Fecha de última actualización: 18/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en Tenda FH1205 2.0.0.7. Este problema afecta a la función fromadvsetlanip del archivo /goform/AdvSetLanip. La manipulación del argumento lanMask provoca un desbordamiento del búfer. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en CodeAstro Food Ordering System 1.0 (CVE-2025-6131)
    Severidad: MEDIA
    Fecha de publicación: 16/06/2025
    Fecha de última actualización: 18/07/2025
    Se encontró una vulnerabilidad clasificada como problemática en CodeAstro Food Ordering System 1.0. La vulnerabilidad afecta a una función desconocida del archivo /admin/store/edit/ del componente POST Request Parameter Handler. La manipulación del argumento "Nombre/Dirección del restaurante" provoca ataques de cross site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en ScriptAndTools Real Estate Management System 1.0 (CVE-2025-6329)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 18/07/2025
    Se encontró una vulnerabilidad en ScriptAndTools Real Estate Management System 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo userdelete.php del componente User Delete Handler. La manipulación del ID del argumento permite eludir la autorización. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en DedeCMS (CVE-2025-6335)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 18/07/2025
    Se detectó una vulnerabilidad en DedeCMS hasta la versión 5.7.2, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /include/dedetag.class.php del componente Template Handler. La manipulación de las notas de los argumentos provoca la inyección de comandos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Comodo Internet Security Premium 12.3.4.8162 (CVE-2025-7096)
    Severidad: ALTA
    Fecha de publicación: 06/07/2025
    Fecha de última actualización: 18/07/2025
    Se detectó una vulnerabilidad clasificada como crítica en Comodo Internet Security Premium 12.3.4.8162. Esta vulnerabilidad afecta al código desconocido del archivo cis_update_x64.xml del componente Manifest File Handler. La manipulación provoca una validación incorrecta del valor de la comprobación de integridad. El ataque puede ejecutarse en remoto. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Comodo Internet Security Premium 12.3.4.8162 (CVE-2025-7097)
    Severidad: ALTA
    Fecha de publicación: 06/07/2025
    Fecha de última actualización: 18/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en Comodo Internet Security Premium 12.3.4.8162. Este problema afecta a un procesamiento desconocido del archivo cis_update_x64.xml del componente Manifest File Handler. La manipulación del argumento binary/params provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Adobe Connect (CVE-2025-27203)
    Severidad: CRÍTICA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/07/2025
    Las versiones 24.0 y anteriores de Adobe Connect se ven afectadas por una vulnerabilidad de deserialización de datos no confiables que podría provocar la ejecución de código arbitrario por parte de un atacante. La explotación de este problema requiere la interacción del usuario y se modifica el alcance.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2025-49533)
    Severidad: CRÍTICA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/07/2025
    Las versiones 6.5.23.0 y anteriores de Adobe Experience Manager (MS) se ven afectadas por una vulnerabilidad de deserialización de datos no confiables que podría provocar la ejecución de código arbitrario por parte de un atacante. La explotación de este problema no requiere la interacción del usuario. El alcance no se modifica.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2025-49534)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/07/2025
    Las versiones 11.4 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) Almacenado que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Es posible que se ejecute JavaScript malicioso en el navegador de la víctima al acceder a la página que contiene el campo vulnerable. Se ha modificado el alcance.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2025-49547)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/07/2025
    Las versiones 11.4 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) Almacenado que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Es posible que se ejecute JavaScript malicioso en el navegador de la víctima al acceder a la página que contiene el campo vulnerable. Se ha modificado el alcance.
  • Vulnerabilidad en D-Link DIR-818LW (CVE-2025-7553)
    Severidad: MEDIA
    Fecha de publicación: 14/07/2025
    Fecha de última actualización: 18/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en el D-Link DIR-818LW hasta el 15/12/2019. Esta vulnerabilidad afecta a una parte desconocida del componente Página de Tiempo del Sistema. La manipulación del argumento Servidor NTP provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
  • Vulnerabilidad en Fortinet FortiOS (CVE-2025-24477)
    Severidad: MEDIA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 18/07/2025
    Un desbordamiento de búfer basado en montón en las versiones 7.6.0 a 7.6.2, 7.4.0 a 7.4.7 y 7.2.4 a 7.2.11 de Fortinet FortiOS permite a un atacante escalar sus privilegios a través de un comando CLI especialmente manipulado.
  • Vulnerabilidad en Emlog (CVE-2025-53923)
    Severidad: ALTA
    Fecha de publicación: 16/07/2025
    Fecha de última actualización: 18/07/2025
    Emlog es un sistema de código abierto para la creación de sitios web. Una vulnerabilidad de cross-site scripting (XSS) en emlog, hasta la versión pro-2.5.17 incluida, permite a atacantes remotos inyectar código web o HTML arbitrario mediante el parámetro de palabra clave. Debido a la falta de depuración, es posible inyectar código HTML/JS en el parámetro de palabra clave. Si se convence a un usuario para que haga clic en un enlace preparado, es posible ejecutar cualquier código JS en el navegador del administrador. Al momento de la publicación, no se conocen versiones parcheadas.
  • Vulnerabilidad en Emlog (CVE-2025-53924)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2025
    Fecha de última actualización: 18/07/2025
    Emlog es un sistema de código abierto para la creación de sitios web. Una vulnerabilidad de cross-site scripting (XSS) en emlog, hasta la versión pro-2.5.17 incluida, permite a atacantes remotos autenticados inyectar código web o HTML arbitrario mediante el parámetro siteurl. Es posible inyectar código malicioso en el parámetro siteurl, lo que resulta en XSS almacenado. Al hacer clic en el enlace, se ejecuta el código malicioso. Al momento de la publicación, no se conocen versiones parcheadas.