Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en vantage6 (CVE-2024-24770)
    Severidad: MEDIA
    Fecha de publicación: 14/03/2024
    Fecha de última actualización: 30/07/2025
    vantage6 es un framework de código abierto creado para habilitar, administrar e implementar tecnologías que mejoran la privacidad, como el aprendizaje federado y la computación multipartita. Al igual que GHSA-45gq-q4xh-cp53, es posible encontrar qué nombres de usuario existen en vantage6 llamando a las rutas API `/recover/lost` y `/2fa/lost`. Estas rutas envían correos electrónicos a los usuarios si han perdido su contraseña o token MFA. Este problema se solucionó en el commit "aecfd6d0e" y se espera que se incluya en versiones posteriores. Se recomienda a los usuarios que actualicen tan pronto como esté disponible una nueva versión. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en OpenStack Designate (CVE-2023-6725)
    Severidad: MEDIA
    Fecha de publicación: 15/03/2024
    Fecha de última actualización: 30/07/2025
    Se encontró una falla de control de acceso en el componente OpenStack Designate donde la información de configuración privada, incluidas las claves de acceso a BIND, no se hizo legible en todo el mundo de manera incorrecta. Un atacante malicioso con acceso a cualquier contenedor podría aprovechar esta falla para acceder a información confidencial.
  • Vulnerabilidad en Gradio (CVE-2024-1727)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 30/07/2025
    Para evitar que sitios web maliciosos de terceros realicen solicitudes a aplicaciones de Gradio que se ejecutan localmente, este PR endurece las reglas CORS en torno a las aplicaciones de Gradio. En particular, verifica si el encabezado del host es localhost (o uno de sus alias) y, de ser así, requiere que el encabezado de origen (si está presente) también sea localhost (o uno de sus alias).
  • Vulnerabilidad en XMLOutputParser en LangChain (CVE-2024-1455)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 30/07/2025
    XMLOutputParser en LangChain utiliza el módulo etree del analizador XML en la biblioteca estándar de Python que tiene algunas vulnerabilidades XML; consulte: https://docs.python.org/3/library/xml.html Esto afecta principalmente a los usuarios que combinan un LLM (o agente) con `XMLOutputParser` y exponen el componente a través de un endpoint en un servicio web. Esto permitiría que una parte malintencionada intentara manipular el LLM para producir un payload malicioso para el analizador que comprometería la disponibilidad del servicio. Un ataque exitoso se basa en: 1. Uso de XMLOutputParser 2. Pasar entradas maliciosas al XMLOutputParser, ya sea directamente o intentando manipular un LLM para que lo haga en nombre del usuario 3. Exponer el componente a través de un servicio web
  • Vulnerabilidad en Trend Micro Security 17.x (CVE-2024-32849)
    Severidad: ALTA
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 30/07/2025
    Trend Micro Security 17.x (Consumidor) es afectado por una vulnerabilidad de escalada de privilegios que podría permitir a un atacante local eliminar involuntariamente archivos privilegiados de Trend Micro, incluido el suyo propio.
  • Vulnerabilidad en ArcGIS Enterprise (CVE-2025-2538)
    Severidad: CRÍTICA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 30/07/2025
    Un tipo específico de implementación de ArcGIS Enterprise es afectado por una vulnerabilidad de explotación de recuperación de contraseña en Portal, que podría permitir a un atacante restablecer la contraseña en la cuenta de administrador integrada.
  • Vulnerabilidad en Esri Portal para ArcGIS (CVE-2025-4967)
    Severidad: CRÍTICA
    Fecha de publicación: 29/05/2025
    Fecha de última actualización: 30/07/2025
    Esri Portal para ArcGIS 11.4 y versiones anteriores permiten que un atacante remoto no autenticado evite las protecciones SSRF del Portal.
  • Vulnerabilidad en run-llama/llama_index (CVE-2025-1793)
    Severidad: CRÍTICA
    Fecha de publicación: 05/06/2025
    Fecha de última actualización: 30/07/2025
    Varias integraciones de almacén vectorial en run-llama/llama_index (versión v0.12.21) presentan vulnerabilidades de inyección SQL. Estas vulnerabilidades permiten a un atacante leer y escribir datos mediante SQL, lo que podría provocar el acceso no autorizado a los datos de otros usuarios, dependiendo del uso de la librería llama-index en una aplicación web.
  • Vulnerabilidad en JsonPickleSerializer (CVE-2025-3108)
    Severidad: ALTA
    Fecha de publicación: 06/07/2025
    Fecha de última actualización: 30/07/2025
    Existe una vulnerabilidad crítica de deserialización en el componente JsonPickleSerializer de la librería run-llama/llama_index, que afecta a las versiones v0.12.27 a v0.12.40. Esta vulnerabilidad permite la ejecución remota de código debido a un mecanismo de respaldo inseguro al módulo pickle de Python. JsonPickleSerializer prioriza la deserialización mediante pickle.loads(), que puede ejecutar código arbitrario al procesar datos no confiables. Los atacantes pueden explotar esto manipulando payloads maliciosos para comprometer completamente el sistema. La causa principal incluye un mecanismo de respaldo inseguro, falta de validación o salvaguardas, un diseño engañoso y la violación de las directrices de seguridad de Python.
  • Vulnerabilidad en ArxivReader (CVE-2025-3044)
    Severidad: MEDIA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 30/07/2025
    Una vulnerabilidad en la clase ArxivReader del repositorio run-llama/llama_index, versiones hasta la v0.12.22.post1, permite colisiones de hash MD5 al generar nombres de archivo para artículos descargados. Esto puede provocar la pérdida de datos, ya que artículos con títulos idénticos pero contenido diferente pueden sobrescribirse, impidiendo que algunos artículos se procesen para el entrenamiento de modelos de IA. El problema se ha resuelto en la versión 0.12.28.
  • Vulnerabilidad en run-llama/llama_index (CVE-2025-3046)
    Severidad: ALTA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 30/07/2025
    Una vulnerabilidad en la clase `ObsidianReader` del repositorio run-llama/llama_index, versiones 0.12.23 a 0.12.28, permite la lectura arbitraria de archivos mediante enlaces simbólicos. `ObsidianReader` no resuelve los enlaces simbólicos a sus rutas reales ni valida si las rutas resueltas se encuentran dentro del directorio deseado. Esta falla permite a los atacantes colocar enlaces simbólicos que apuntan a archivos fuera del directorio de la bóveda, que se procesan como archivos Markdown válidos, lo que podría exponer información confidencial.
  • Vulnerabilidad en huntr.dev (CVE-2025-3225)
    Severidad: ALTA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 30/07/2025
    Existe una vulnerabilidad de expansión de entidades XML, también conocida como ataque de "billion laughs", en el analizador de mapas de sitio del repositorio run-llama/llama_index, que afecta específicamente a la versión v0.12.21. Esta vulnerabilidad permite a un atacante proporcionar un XML de mapa de sitio malicioso, lo que provoca una denegación de servicio (DoS) al agotar la memoria del sistema y, potencialmente, provocar un bloqueo del mismo. El problema se ha resuelto en la versión v0.12.29.
  • Vulnerabilidad en JSONReader (CVE-2025-5472)
    Severidad: MEDIA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 30/07/2025
    JSONReader en run-llama/llama_index, versión 0.12.28, es vulnerable a un desbordamiento de pila debido al análisis recursivo incontrolado de JSON. Esta vulnerabilidad permite a los atacantes activar una denegación de servicio (DoS) al enviar estructuras JSON profundamente anidadas, lo que genera un error de recursión (RecursionError) y bloquea las aplicaciones. La causa principal es el diseño inseguro del recorrido recursivo y la falta de validación de profundidad, lo que hace que el JSONReader sea susceptible a un desbordamiento de pila al procesar JSON profundamente anidado. Esto afecta la disponibilidad de los servicios, haciéndolos poco fiables e interrumpiendo los flujos de trabajo. El problema se ha resuelto en la versión 0.12.38.
  • Vulnerabilidad en run-llama/llama_index (CVE-2025-6209)
    Severidad: ALTA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 30/07/2025
    Existe una vulnerabilidad de path traversal en las versiones 0.12.27 a 0.12.40 de run-llama/llama_index, específicamente en la función `encode_image` de `generic_utils.py`. Esta vulnerabilidad permite a un atacante manipular la entrada `image_path` para leer archivos arbitrarios en el servidor, incluyendo archivos sensibles del sistema. El problema surge debido a una validación o depuración incorrecta de la ruta del archivo, lo que permite que las secuencias de path traversal accedan a archivos fuera del directorio previsto. La vulnerabilidad se corrigió en la versión 0.12.41.
  • Vulnerabilidad en DocugamiReader (CVE-2025-6211)
    Severidad: MEDIA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 30/07/2025
    Una vulnerabilidad en la clase DocugamiReader del repositorio run-llama/llama_index, hasta la versión 0.12.28, implica el uso de hash MD5 para generar identificadores para fragmentos de documentos. Este enfoque provoca colisiones de hash cuando fragmentos estructuralmente distintos contienen texto idéntico, lo que provoca que un fragmento sobrescriba a otro. Esto puede provocar la pérdida de contenido semántico o legalmente importante del documento, la ruptura de las jerarquías de fragmentos padre-hijo y respuestas inexactas o alucinadas en las salidas de IA. El problema se ha resuelto en la versión 0.3.1.
  • Vulnerabilidad en GPT-SoVITS-WebUI (CVE-2025-49833)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 30/07/2025
    GPT-SoVITS-WebUI es una interfaz web de conversión de voz y texto a voz. En las versiones 20250228v3 y anteriores, existe una vulnerabilidad de inyección de comandos en la función open_slice de webui.py. slice_opt_root y slice-inp-path toman la entrada del usuario, que se pasa a la función open_slice, que la concatena en un comando y lo ejecuta en el servidor, lo que provoca la ejecución arbitraria de comandos. Al momento de la publicación, no se conocen versiones parcheadas.
  • Vulnerabilidad en GPT-SoVITS-WebUI (CVE-2025-49834)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 30/07/2025
    GPT-SoVITS-WebUI es una interfaz web de conversión de voz y texto a voz. En las versiones 20250228v3 y anteriores, existe una vulnerabilidad de inyección de comandos en la función open_denoise de webui.py. denoise_inp_dir y denoise_opt_dir toman la entrada del usuario, que se pasa a la función open_denoise, que la concatena en un comando y lo ejecuta en el servidor, lo que provoca la ejecución arbitraria de comandos. Al momento de la publicación, no se conocen versiones parcheadas.
  • Vulnerabilidad en GPT-SoVITS-WebUI (CVE-2025-49835)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 30/07/2025
    GPT-SoVITS-WebUI es una interfaz web de conversión de voz y texto a voz. En las versiones 20250228v3 y anteriores, existe una vulnerabilidad de inyección de comandos en la función open_asr de webui.py. asr_inp_dir (y otras variables) recibe la entrada del usuario, que se pasa a la función open_asr, que la concatena en un comando y lo ejecuta en el servidor, lo que provoca la ejecución arbitraria de comandos. Al momento de la publicación, no se conocen versiones parcheadas.
  • Vulnerabilidad en GPT-SoVITS-WebUI (CVE-2025-49836)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 30/07/2025
    GPT-SoVITS-WebUI es una interfaz web de conversión de voz y texto a voz. En las versiones 20250228v3 y anteriores, existe una vulnerabilidad de inyección de comandos en la función change_label de webui.py. path_list toma la entrada del usuario, que se pasa a la función change_label, que la concatena en un comando y lo ejecuta en el servidor, lo que provoca la ejecución arbitraria de comandos. Al momento de la publicación, no se conocen versiones parcheadas.
  • Vulnerabilidad en GPT-SoVITS-WebUI (CVE-2025-49837)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 30/07/2025
    GPT-SoVITS-WebUI es una interfaz web de conversión de voz y texto a voz. En las versiones 20250228v3 y anteriores, existe una vulnerabilidad de deserialización insegura en vr.py AudioPre. La variable model_choose recibe la entrada del usuario (por ejemplo, la ruta a un modelo) y la pasa a la función uvr. En uvr, se crea una nueva instancia de la clase AudioPre con el atributo model_path que contiene la entrada del usuario mencionada (aquí denominada localmente como model_name). Tenga en cuenta que en este paso se añade la extensión .pth a la ruta. En la clase AudioPre, la entrada del usuario, aquí denominada model_path, se utiliza para cargar el modelo en esa ruta con torch.load, lo que puede provocar una deserialización insegura. Al momento de la publicación, no se conocen versiones parcheadas.
  • Vulnerabilidad en GPT-SoVITS-WebUI (CVE-2025-49838)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 30/07/2025
    GPT-SoVITS-WebUI es una interfaz web de conversión de voz y texto a voz. En las versiones 20250228v3 y anteriores, existe una vulnerabilidad de deserialización insegura en vr.py AudioPreDeEcho. La variable model_choose recibe la entrada del usuario (por ejemplo, la ruta a un modelo) y la pasa a la función uvr. En uvr, se crea una nueva instancia de la clase AudioPreDeEcho con el atributo model_path que contiene la entrada del usuario mencionada (aquí denominada localmente como model_name). Tenga en cuenta que en este paso se añade la extensión .pth a la ruta. En la clase AudioPreDeEcho, la entrada del usuario, aquí denominada model_path, se utiliza para cargar el modelo en esa ruta con torch.load, lo que puede provocar una deserialización insegura. Al momento de la publicación, no se conocen versiones parcheadas.
  • Vulnerabilidad en GPT-SoVITS-WebUI (CVE-2025-49839)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 30/07/2025
    GPT-SoVITS-WebUI es una interfaz web de conversión de voz y texto a voz. En las versiones 20250228v3 y anteriores, existe una vulnerabilidad de deserialización insegura en bsroformer.py. La variable model_choose recibe la entrada del usuario (por ejemplo, la ruta a un modelo) y la pasa a la función uvr. En uvr, se crea una nueva instancia de la clase Roformer_Loader con el atributo model_path que contiene la entrada del usuario mencionada (denominada localmente como model_name). Tenga en cuenta que en este paso se añade la extensión .ckpt a la ruta. En la clase Roformer_Loader, la entrada del usuario, denominada model_path, se utiliza para cargar el modelo en esa ruta con torch.load, lo que puede provocar una deserialización insegura. Al momento de la publicación, no se conocen versiones parcheadas.
  • Vulnerabilidad en GPT-SoVITS-WebUI (CVE-2025-49840)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 30/07/2025
    GPT-SoVITS-WebUI es una interfaz web de conversión de voz y texto a voz. En las versiones 20250228v3 y anteriores, existe una vulnerabilidad de deserialización insegura en inference_webui.py. La variable GPT_dropdown recibe la entrada del usuario y la pasa a la función change_gpt_weights. En change_gpt_weights, la entrada del usuario (en este caso, gpt_path) se utiliza para cargar un modelo con torch.load, lo que provoca una deserialización insegura. Al momento de la publicación, no se conocen versiones parcheadas.
  • Vulnerabilidad en GPT-SoVITS-WebUI (CVE-2025-49841)
    Severidad: ALTA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 30/07/2025
    GPT-SoVITS-WebUI es una interfaz web de conversión de voz y texto a voz. En las versiones 20250228v3 y anteriores, existe una vulnerabilidad de deserialización insegura en process_ckpt.py. La variable SoVITS_dropdown recibe la entrada del usuario y la pasa a la función load_sovits_new de process_ckpt.py. En load_sovits_new, la entrada del usuario (en este caso, sovits_path) se utiliza para cargar un modelo con torch.load, lo que provoca una deserialización insegura. Al momento de la publicación, no se conocen versiones parcheadas.
  • Vulnerabilidad en WeGIA (CVE-2025-54077)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 30/07/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado versiones anteriores a la 3.4.6 en el endpoint `personalizacao.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `err`. La versión 3.4.6 corrige el problema.
  • Vulnerabilidad en WeGIA (CVE-2025-54078)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 30/07/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting (XSS) Reflejado en versiones anteriores a la 3.4.6 en el endpoint `personalizacao_imagem.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `err`. La versión 3.4.6 corrige el problema.
  • Vulnerabilidad en WeGIA (CVE-2025-54079)
    Severidad: CRÍTICA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 30/07/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de inyección SQL en versiones anteriores a la 3.4.6 en el endpoint `/html/atendido/Profile_Atendido.php`, en el parámetro `idatendido`. Esta vulnerabilidad permite a un atacante autorizado ejecutar consultas SQL arbitrarias, lo que permite el acceso a información confidencial. La versión 3.4.6 corrige el problema.
  • Vulnerabilidad en Samsung Electronics MagicINFO 9 Server (CVE-2025-54438)
    Severidad: CRÍTICA
    Fecha de publicación: 23/07/2025
    Fecha de última actualización: 30/07/2025
    La vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido ('Path Traversal') en Samsung Electronics MagicINFO 9 Server permite cargar un shell web a un servidor web. Este problema afecta a MagicINFO 9 Server: anterior a 21.1080.0
  • Vulnerabilidad en Samsung Electronics MagicINFO 9 Server (CVE-2025-54439)
    Severidad: ALTA
    Fecha de publicación: 23/07/2025
    Fecha de última actualización: 30/07/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en Samsung Electronics MagicINFO 9 Server permite la inyección de código. Este problema afecta a MagicINFO 9 Server: anterior a 21.1080.0.
  • Vulnerabilidad en Samsung Electronics MagicINFO 9 Server (CVE-2025-54440)
    Severidad: CRÍTICA
    Fecha de publicación: 23/07/2025
    Fecha de última actualización: 30/07/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en Samsung Electronics MagicINFO 9 Server permite la inyección de código. Este problema afecta a MagicINFO 9 Server: anterior a 21.1080.0.
  • Vulnerabilidad en Samsung Electronics MagicINFO 9 Server (CVE-2025-54441)
    Severidad: ALTA
    Fecha de publicación: 23/07/2025
    Fecha de última actualización: 30/07/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en Samsung Electronics MagicINFO 9 Server permite la inyección de código. Este problema afecta a MagicINFO 9 Server: anterior a 21.1080.0.
  • Vulnerabilidad en Samsung Electronics MagicINFO 9 Server (CVE-2025-54442)
    Severidad: CRÍTICA
    Fecha de publicación: 23/07/2025
    Fecha de última actualización: 30/07/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en Samsung Electronics MagicINFO 9 Server permite la inyección de código. Este problema afecta a MagicINFO 9 Server: anterior a 21.1080.0.
  • Vulnerabilidad en Samsung Electronics MagicINFO 9 Server (CVE-2025-54443)
    Severidad: CRÍTICA
    Fecha de publicación: 23/07/2025
    Fecha de última actualización: 30/07/2025
    La vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido ('Path Traversal') en Samsung Electronics MagicINFO 9 Server permite cargar un shell web a un servidor web. Este problema afecta a MagicINFO 9 Server: anterior a 21.1080.0
  • Vulnerabilidad en Samsung Electronics MagicINFO 9 Server (CVE-2025-54444)
    Severidad: CRÍTICA
    Fecha de publicación: 23/07/2025
    Fecha de última actualización: 30/07/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en Samsung Electronics MagicINFO 9 Server permite la inyección de código. Este problema afecta a MagicINFO 9 Server: anterior a 21.1080.0.