Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en transformeroptimus/superagi (CVE-2024-10267)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 18/07/2025
    Existe una vulnerabilidad de divulgación de información en la última versión de transformeroptimus/superagi. Un atacante puede filtrar información confidencial del usuario, como nombres, correos electrónicos y contraseñas, al intentar registrar una nueva cuenta con un correo electrónico ya utilizado. El servidor devuelve toda la información asociada a la cuenta existente. El endpoint vulnerable se encuentra en la función de registro de usuarios.
  • Vulnerabilidad en transformeroptimus/superagi (CVE-2024-12048)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 18/07/2025
    Existe una vulnerabilidad IDOR (Referencia Directa a Objetos Insegura) en transformeroptimus/superagi versión v0.0.14. La aplicación no verifica correctamente la autorización de varios endpoints de API, lo que permite a los atacantes ver, editar y eliminar la información de otros usuarios sin la debida autorización. Los endpoints afectados incluyen, entre otros, /get/project/{project_id}, /get/schedule_data/{agent_id}, /delete/{agent_id}, /get/organisation/{organisation_id} y /get/user/{user_id}.
  • Vulnerabilidad en open-webui/open-webui (CVE-2024-12534)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 18/07/2025
    En la versión v0.3.32 de open-webui/open-webui, la aplicación permite a los usuarios enviar payloads de gran tamaño en los campos de correo electrónico y contraseña durante el inicio de sesión debido a la falta de validación de la longitud de caracteres en estas entradas. Esta vulnerabilidad puede provocar una denegación de servicio (DoS) cuando un usuario envía cadenas excesivamente largas, agotando recursos del servidor como CPU, memoria y espacio en disco, e inhabilitando el servicio para usuarios legítimos. Esto hace que el servidor sea susceptible a ataques de agotamiento de recursos sin necesidad de autenticación.
  • Vulnerabilidad en aimhubio/aim (CVE-2024-12777)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 18/07/2025
    Una vulnerabilidad en aimhubio/aim versión 3.25.0 permite una denegación de servicio mediante el uso indebido de sshfs-client. El servidor de seguimiento, que es de un solo subproceso, puede dejar de responder al solicitarle que se conecte a un socket que no responde mediante sshfs. La falta de una configuración de tiempo de espera adicional en sshfs-client provoca que el servidor se cuelgue durante un tiempo considerable, impidiéndole responder a otras solicitudes.
  • Vulnerabilidad en aimhubio/aim (CVE-2024-12778)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 18/07/2025
    Una vulnerabilidad en aimhubio/aim versión 3.25.0 permite un ataque de denegación de servicio (DoS). El problema surge cuando se recupera simultáneamente un gran número de métricas rastreadas desde la API web de Aim, lo que provoca que el servidor web deje de responder. La causa principal es la falta de un límite en el número de métricas que se pueden solicitar por llamada, junto con la naturaleza monohilo del servidor, lo que provoca un consumo excesivo de recursos y su bloqueo.
  • Vulnerabilidad en open-webui/open-webui v0.3.8 (CVE-2024-7036)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 18/07/2025
    Una vulnerabilidad en open-webui/open-webui v0.3.8 permite a un atacante no autenticado registrarse con un texto excesivamente grande en el campo "nombre", lo que provoca que el panel de administración deje de responder. Esto impide a los administradores realizar acciones esenciales de gestión de usuarios, como eliminar, editar o añadir usuarios. Esta vulnerabilidad también puede ser explotada por usuarios autenticados con privilegios bajos, lo que provoca el mismo estado de inactividad en el panel de administración.
  • Vulnerabilidad en open-webui/open-webui (CVE-2024-7039)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 18/07/2025
    En la versión v0.3.8 de open-webui/open-webui, existe una vulnerabilidad de gestión de privilegios incorrecta. La aplicación permite a un atacante, actuando como administrador, eliminar a otros administradores mediante el endpoint de la API `http://0.0.0.0:8080/api/v1/users/{uuid_administrator}`. Esta acción está restringida por la interfaz de usuario, pero puede realizarse mediante llamadas directas a la API.