Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Insyde InsydeH2O (CVE-2024-52880)
    Severidad: ALTA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 29/07/2025
    Se detectó un problema en Insyde InsydeH2O en las versiones del kernel 5.2 anterior a la 05.29.50, 5.3 anterior a la 05.38.50, 5.4 anterior a la 05.46.50, 5.5 anterior a la 05.54.50, 5.6 anterior a la 05.61.50 y 5.7 anterior a la 05.70.50. En el controlador VariableRuntimeDxe, SecureBootHandler utiliza DataSize y VariableNameSize para determinar si los datos o el nombre están en el búfer, pero estos son proporcionados por el emisor y, por lo tanto, no son confiables.
  • Vulnerabilidad en Google Cloud Classic Application Load Balancer (CVE-2025-4600)
    Severidad: ALTA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 29/07/2025
    Existía una vulnerabilidad de contrabando de solicitudes en Google Cloud Classic Application Load Balancer debido a la gestión incorrecta de solicitudes HTTP con codificación fragmentada. Esto permitía a los atacantes manipular solicitudes que los servidores backend podían malinterpretar. El problema se solucionó deshabilitando los datos dispersos después de un fragmento y ya no es explotable. No se requiere ninguna acción, ya que el servicio del balanceador de carga de aplicaciones clásico después del 26/04/2025 no es vulnerable.