Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Cisco AsyncOS para Cisco Secure Email and Web Manager y Secure Email Gateway (CVE-2024-20258)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2024
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la interfaz de administración basada en web del software Cisco AsyncOS para Cisco Secure Email and Web Manager y Secure Email Gateway podría permitir que un atacante remoto no autenticado realice un ataque XSS contra un usuario de la interfaz. Esta vulnerabilidad se debe a una validación insuficiente de la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de una interfaz afectada para que haga clic en un enlace manipulado. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador.
  • Vulnerabilidad en Cisco Secure Email Gateway (CVE-2024-20401)
    Severidad: CRÍTICA
    Fecha de publicación: 17/07/2024
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en las funciones de escaneo de contenido y filtrado de mensajes de Cisco Secure Email Gateway podría permitir que un atacante remoto no autenticado sobrescriba archivos arbitrarios en el sistema operativo subyacente. Esta vulnerabilidad se debe al manejo inadecuado de los archivos adjuntos de correo electrónico cuando el análisis de archivos y los filtros de contenido están habilitados. Un atacante podría aprovechar esta vulnerabilidad enviando un correo electrónico que contenga un archivo adjunto manipulado a través de un dispositivo afectado. Un exploit exitoso podría permitir al atacante reemplazar cualquier archivo en el sistema de archivos subyacente. Luego, el atacante podría realizar cualquiera de las siguientes acciones: agregar usuarios con privilegios de root, modificar la configuración del dispositivo, ejecutar código arbitrario o provocar una condición de denegación de servicio (DoS) permanente en el dispositivo afectado. Nota: Se requiere intervención manual para recuperarse de la condición DoS. Se recomienda a los clientes que se comuniquen con el Centro de asistencia técnica de Cisco (TAC) para ayudar a recuperar un dispositivo en esta condición.
  • Vulnerabilidad en Elegant Themes Icons (CVE-2024-37100)
    Severidad: MEDIA
    Fecha de publicación: 22/07/2024
    Fecha de última actualización: 31/07/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Mayur Somani, threeroutes media Elegant Themes Icons permite XSS almacenado. Este problema afecta a Elegant Themes Icons: desde n/a hasta 1.3.
  • Vulnerabilidad en Cisco Evolved Programmable Network Manager y Cisco Prime Infrastructure (CVE-2024-20514)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco Evolved Programmable Network Manager (EPNM) y Cisco Prime Infrastructure podría permitir que un atacante remoto autenticado y con pocos privilegios realice un ataque de cross-site scripting (XSS) almacenado contra un usuario de la interfaz. Esta vulnerabilidad existe porque la interfaz de administración basada en web no valida correctamente la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad inyectando código malicioso en una página específica de la interfaz. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para aprovechar esta vulnerabilidad, el atacante debe tener al menos una cuenta con pocos privilegios en un dispositivo afectado.
  • Vulnerabilidad en Cisco Data Center Network Manager (CVE-2020-3539)
    Severidad: MEDIA
    Fecha de publicación: 18/11/2024
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM) podría permitir que un atacante remoto autenticado vea, modifique y elimine datos sin la autorización correspondiente. La vulnerabilidad se debe a un error al limitar el acceso a los recursos destinados a usuarios con privilegios de administrador. Un atacante podría aprovechar esta vulnerabilidad convenciendo a un usuario de que haga clic en una URL maliciosa. Una explotación exitosa podría permitir que un atacante con pocos privilegios enumere, vea, cree, edite y elimine plantillas de la misma manera que un usuario con privilegios de administrador. Cisco ha publicado actualizaciones de software que solucionan esta vulnerabilidad. No existen workarounds que solucionen esta vulnerabilidad.
  • Vulnerabilidad en Cisco AsyncOS para Cisco Email Security Appliance (CVE-2020-3548)
    Severidad: MEDIA
    Fecha de publicación: 18/11/2024
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la implementación del protocolo Transport Layer Security (TLS) del software Cisco AsyncOS para Cisco Email Security Appliance (ESA) podría permitir que un atacante remoto no autenticado provoque un alto uso de la CPU en un dispositivo afectado, lo que da como resultado una condición de denegación de servicio (DoS). La vulnerabilidad se debe a un procesamiento ineficiente del tráfico TLS entrante. Un atacante podría aprovechar esta vulnerabilidad enviando una serie de paquetes TLS manipulados a un dispositivo afectado. Una explotación exitosa podría permitir al atacante activar un estado prolongado de alto uso de la CPU. El dispositivo afectado seguiría funcionando, pero el tiempo de respuesta y el rendimiento general podrían verse degradados. No existen workarounds que aborden esta vulnerabilidad.
  • Vulnerabilidad en ETIC Telecom Remote Access Server (CVE-2024-26157)
    Severidad: MEDIA
    Fecha de publicación: 17/01/2025
    Fecha de última actualización: 31/07/2025
    Todas las versiones de ETIC Telecom Remote Access Server (RAS) anteriores a la 4.5.0 son vulnerables a ataques de Cross Site Scripting (XSS) Reflejado en el método get view bajo el parámetro view. El servidor web ETIC RAS ??utiliza páginas dinámicas que obtienen su información del lado del cliente y reflejan la información en su respuesta al cliente.
  • Vulnerabilidad en Cloudflare WARP (CVE-2025-0651)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 31/07/2025
    La vulnerabilidad de administración de privilegios incorrecta en Cloudflare WARP en Windows permite la manipulación de archivos. El usuario con privilegios de sistema bajos puede crear un conjunto de enlaces simbólicos dentro de la carpeta C:\ProgramData\Cloudflare\warp-diag-partials. Después de activar la opción "Restablecer todas las configuraciones", el servicio WARP eliminará los archivos a los que apuntaba el enlace simbólico. Dado que el servicio WARP opera con privilegios de System, esto podría provocar la eliminación de archivos propiedad del usuario de System. Este problema afecta a WARP: antes de 2024.12.492.0.
  • Vulnerabilidad en OpenShift Service Mesh (CVE-2025-0752)
    Severidad: MEDIA
    Fecha de publicación: 28/01/2025
    Fecha de última actualización: 31/07/2025
    Se encontró una falla en OpenShift Service Mesh 2.6.3 y 2.5.6. Es posible que se produzcan ataques de evasión de limitadores de velocidad, de control de acceso, de agotamiento de CPU y memoria y de repetición debido al encabezado HTTP desinfección incorrecto en Envoy.
  • Vulnerabilidad en Google Inc. (CVE-2024-10026)
    Severidad: MEDIA
    Fecha de publicación: 30/01/2025
    Fecha de última actualización: 31/07/2025
    Un algoritmo hash débil y tamaños pequeños de semillas/secretos en gVisor de Google permitieron a un atacante remoto calcular una dirección IP local y un identificador por arranque que podría ayudar a rastrear un dispositivo en ciertas circunstancias.
  • Vulnerabilidad en Zoom Video Communications, Inc. (CVE-2025-0143)
    Severidad: MEDIA
    Fecha de publicación: 30/01/2025
    Fecha de última actualización: 31/07/2025
    Fuera de los límites escrito en la aplicación Zoom Workplace para Linux anterior a la versión 6.2.5 puede permitir que un usuario no autorizado realice una denegación de servicio a través del acceso a la red.
  • Vulnerabilidad en Cisco AsyncOS Software para Cisco Secure Email and Web Manager y Secure Email Gateway (CVE-2025-20180)
    Severidad: MEDIA
    Fecha de publicación: 05/02/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco AsyncOS Software para Cisco Secure Email and Web Manager y Secure Email Gateway podría permitir que un atacante remoto autenticado realice un ataque de cross-site scripting (XSS) almacenado contra un usuario de la interfaz. Esta vulnerabilidad se debe a una validación insuficiente de la entrada del usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de una interfaz afectada para que haga clic en un vínculo manipulado. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales válidas para una cuenta de usuario con al menos el rol de Operador.
  • Vulnerabilidad en Dell RecoverPoint for Virtual Machines 6.0.X (CVE-2025-21105)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 31/07/2025
    Dell RecoverPoint for Virtual Machines 6.0.X contiene una vulnerabilidad de ejecución de comandos. Un usuario malintencionado con pocos privilegios y acceso local podría aprovechar esta vulnerabilidad ejecutando el binario específico y realizando cualquier acción administrativa permitida por este, lo que provocaría el apagado del servidor y la modificación de la configuración, lo que daría lugar a un acceso no autorizado a datos.
  • Vulnerabilidad en Dell Recover Point for Virtual Machines 6.0.X (CVE-2025-21106)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 31/07/2025
    Dell Recover Point for Virtual Machines 6.0.X contiene una vulnerabilidad de permisos débiles en el sistema de archivos. Un atacante local con pocos privilegios podría aprovechar esta vulnerabilidad, lo que afectaría únicamente a los recursos no confidenciales del sistema.
  • Vulnerabilidad en BeyondTrust (CVE-2025-0889)
    Severidad: ALTA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 31/07/2025
    Antes de la versión 25.2, un atacante autenticado local puede elevar privilegios en un sistema con Privilege Management para Windows instalado, a través de la manipulación de objetos COM en determinadas circunstancias en las que una política EPM permite la elevación automática de privilegios de un proceso de usuario.
  • Vulnerabilidad en Cisco APIC (CVE-2025-20116)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la interfaz web de Cisco APIC podría permitir que un atacante remoto autenticado realice un ataque XSS almacenado en un sistema afectado. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas. Esta vulnerabilidad se debe a una validación de entrada incorrecta en la interfaz web. Un atacante autenticado podría aprovechar esta vulnerabilidad inyectando código malicioso en páginas específicas de la interfaz web. Una explotación exitosa podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz web o acceder a información confidencial basada en el navegador.
  • Vulnerabilidad en Cisco APIC (CVE-2025-20117)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la CLI de Cisco APIC podría permitir que un atacante local autenticado ejecute comandos arbitrarios como superusuario en el sistema operativo subyacente de un dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas. Esta vulnerabilidad se debe a una validación insuficiente de los argumentos que se pasan a comandos CLI específicos. Un atacante podría explotar esta vulnerabilidad al incluir una entrada manipulada como argumento de un comando CLI afectado. Una explotación exitosa podría permitir que el atacante ejecute comandos arbitrarios en el sistema operativo subyacente con los privilegios de superusuario.
  • Vulnerabilidad en Cisco APIC (CVE-2025-20118)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la implementación de los procesos internos del sistema de Cisco APIC podría permitir que un atacante local autenticado acceda a información confidencial en un dispositivo afectado. Para explotar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas. Esta vulnerabilidad se debe a un enmascaramiento insuficiente de la información confidencial que se muestra a través de los comandos de la interfaz de línea de comandos del sistema. Un atacante podría explotar esta vulnerabilidad mediante el uso de técnicas de reconocimiento en la interfaz de línea de comandos del dispositivo. Una explotación exitosa podría permitir al atacante acceder a información confidencial en un dispositivo afectado que podría usarse para ataques adicionales.
  • Vulnerabilidad en Cisco APIC (CVE-2025-20119)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la gestión de permisos de archivos del sistema de Cisco APIC podría permitir que un atacante local autenticado sobrescribiera archivos críticos del sistema, lo que podría causar una condición de denegación de servicio (DoS). Para explotar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas. Esta vulnerabilidad se debe a una condición de ejecución con la gestión de archivos del sistema. Un atacante podría explotar esta vulnerabilidad al realizar operaciones específicas en el sistema de archivos. Una explotación exitosa podría permitir al atacante sobrescribir archivos del sistema, lo que podría hacer que el dispositivo esté en un estado inconsistente y causar una condición de denegación de servicio.
  • Vulnerabilidad en IBM Cognos Analytics Mobile (CVE-2025-0895)
    Severidad: BAJA
    Fecha de publicación: 02/03/2025
    Fecha de última actualización: 31/07/2025
    IBM Cognos Analytics Mobile 1.1 para Android podría permitir a un usuario con acceso físico al dispositivo obtener información confidencial de los mensajes de registro del código de depuración.
  • Vulnerabilidad en grub (CVE-2025-0689)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 31/07/2025
    Al leer datos del disco, el módulo de sistema de archivos UDF de grub utiliza los metadatos de longitud de datos controlados por el usuario para asignar sus búferes internos. En ciertos escenarios, al iterar a través de los sectores del disco, asume que el tamaño de lectura del disco siempre es menor que el tamaño de búfer asignado, lo que no está garantizado. Una imagen de sistema de archivos manipulado puede provocar un desbordamiento de búfer basado en el montón que da como resultado la corrupción de datos críticos, lo que genera el riesgo de ejecución de código arbitrario que pasa por alto las protecciones de arranque seguro.
  • Vulnerabilidad en grub (CVE-2025-1125)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 31/07/2025
    Al leer datos de un sistema de archivos hfs, el módulo hfs filesystem de grub utiliza parámetros controlados por el usuario de los metadatos del sistema de archivos para calcular el tamaño de los búferes internos, sin embargo, no comprueba correctamente si hay desbordamientos de números enteros. Un sistema de archivos manipulado con fines malintencionados puede provocar que algunos de esos cálculos de tamaño de búfer se desborden, lo que hace que realice una operación grub_malloc() con un tamaño menor al esperado. Como resultado, la función hfsplus_open_compressed_real() escribirá más allá de la longitud del búfer interno. Esta falla puede aprovecharse para corromper los datos críticos internos de grub y puede resultar en la ejecución de código arbitrario que elude las protecciones de arranque seguro.
  • Vulnerabilidad en Cisco AsyncOS para Cisco Content Security Management Appliance (CVE-2020-3122)
    Severidad: MEDIA
    Fecha de publicación: 04/03/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco AsyncOS para Cisco Content Security Management Appliance (SMA) podría permitir que un atacante remoto no autenticado obtenga información confidencial de la red.
  • Vulnerabilidad en Cisco IOS XR (CVE-2025-20138)
    Severidad: ALTA
    Fecha de publicación: 12/03/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la CLI del software Cisco IOS XR podría permitir que un atacante local autenticado ejecute comandos arbitrarios como superusuario en el sistema operativo subyacente de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de los argumentos de usuario que se pasan a comandos CLI específicos. Un atacante con una cuenta con pocos privilegios podría explotar esta vulnerabilidad utilizando comandos manipulados en el símbolo del sistema. Una explotación exitosa podría permitirle elevar los privilegios a superusuario y ejecutar comandos arbitrarios.
  • Vulnerabilidad en GLPI (CVE-2025-21619)
    Severidad: ALTA
    Fecha de publicación: 18/03/2025
    Fecha de última actualización: 31/07/2025
    GLPI es un paquete de software gratuito para la gestión de activos y TI. Un usuario administrador puede realizar una inyección SQL a través de los formularios de configuración de reglas. Esta vulnerabilidad se corrigió en la versión 10.0.18.
  • Vulnerabilidad en GLPI (CVE-2025-24799)
    Severidad: ALTA
    Fecha de publicación: 18/03/2025
    Fecha de última actualización: 31/07/2025
    GLPI es un paquete de software gratuito para la gestión de activos y TI. Un usuario no autenticado puede realizar una inyección SQL a través del endpoint de inventario. Esta vulnerabilidad se corrigió en la versión 10.0.18.
  • Vulnerabilidad en Progress LoadMaster (CVE-2025-1758)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2025
    Fecha de última actualización: 31/07/2025
    La vulnerabilidad de validación de entrada incorrecta en Progress LoadMaster permite: Desbordamiento de búfer este problema afecta a: * LoadMaster: 7.2.40.0 y superiores * ECS: Todas las versiones * Multi-Tenancy: 7.1.35.4 y superiores
  • Vulnerabilidad en lm-sys/fastchat (CVE-2024-10912)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 31/07/2025
    Existe una vulnerabilidad de denegación de servicio (DoS) en la función de carga de archivos de lm-sys/fastchat versión 0.2.36. Esta vulnerabilidad se debe a una gestión inadecuada de datos de formulario con un nombre de archivo demasiado grande en la solicitud de carga de archivos. Un atacante puede explotar esto enviando un payload con un nombre de archivo excesivamente grande, lo que provoca la saturación del servidor y lo inhabilita para usuarios legítimos.
  • Vulnerabilidad en binary-husky/gpt_academic (CVE-2024-12388)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en binary-husky/gpt_academic versión 310122f permite un ataque de denegación de servicio por expresión regular (ReDoS). La aplicación utiliza una expresión regular para analizar la entrada del usuario, lo que puede tardar un tiempo polinomial en coincidir con ciertas entradas manipuladas. Esto permite a un atacante enviar una pequeña carga maliciosa al servidor, lo que provoca que deje de responder y no pueda gestionar las solicitudes de otros usuarios.
  • Vulnerabilidad en binary-husky/gpt_academic (CVE-2024-12389)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 31/07/2025
    Existe una vulnerabilidad de path traversal en binary-husky/gpt_academic versión git 310122f. La aplicación permite la extracción de archivos 7z proporcionados por el usuario sin la validación adecuada. El paquete Python py7zr utilizado para la extracción no garantiza que los archivos permanezcan en el directorio de extracción previsto. Un atacante puede explotar esta vulnerabilidad para realizar escrituras arbitrarias en archivos, lo que puede provocar la ejecución remota de código.
  • Vulnerabilidad en binary-husky/gpt_academic (CVE-2024-12390)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en binary-husky/gpt_academic, versión git 310122f, permite la ejecución remota de código. La aplicación permite la extracción de archivos RAR proporcionados por el usuario sin la validación adecuada. El módulo rarfile de Python, que admite enlaces simbólicos, puede explotarse para realizar escrituras arbitrarias en archivos. Esto puede provocar la ejecución remota de código al escribir en archivos sensibles como claves SSH, archivos crontab o el propio código de la aplicación.
  • Vulnerabilidad en binary-husky/gpt_academic (CVE-2024-12391)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en binary-husky/gpt_academic, a partir de la confirmación 310122f, permite un ataque de denegación de servicio mediante expresiones regulares (ReDoS). La función '?????????????????????' permite la ejecución de expresiones regulares proporcionadas por el usuario. Ciertas expresiones regulares pueden provocar que el motor de Python RE tarde exponencialmente en ejecutarse, lo que provoca una denegación de servicio (DoS). Un atacante que controle tanto la expresión regular como la cadena de búsqueda puede explotar esta vulnerabilidad para bloquear el servidor durante un tiempo arbitrario.
  • Vulnerabilidad en binary-husky/gpt_academic (CVE-2024-12392)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 31/07/2025
    Existe una vulnerabilidad de Server-Side Request Forgery (SSRF) en binary-husky/gpt_academic, versión git 310122f. La aplicación permite descargar artículos de arxiv.org, pero la validación de URL es incompleta. Un atacante puede explotar esta vulnerabilidad para que la aplicación acceda a cualquier URL, incluidos los servicios internos, y lea la respuesta. Esto puede utilizarse para acceder a datos a los que solo se puede acceder desde el servidor, como las credenciales de metadatos de AWS, y puede escalar exploits locales a ataques de red.
  • Vulnerabilidad en netease-youdao/qanything (CVE-2024-12864)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 31/07/2025
    Se descubrió una vulnerabilidad de denegación de servicio (DoS) en la función de carga de archivos de netease-youdao/qanything versión v2.0.0. La vulnerabilidad se debe a la gestión incorrecta de datos de formulario con un nombre de archivo grande en la solicitud de carga de archivos. Un atacante puede explotar esta vulnerabilidad enviando un nombre de archivo grande, lo que provoca la saturación del servidor y lo inhabilita para usuarios legítimos. Este ataque no requiere autenticación, lo que lo hace altamente escalable y aumenta el riesgo de explotación.
  • Vulnerabilidad en Quay (CVE-2025-4374)
    Severidad: MEDIA
    Fecha de publicación: 06/05/2025
    Fecha de última actualización: 31/07/2025
    Se detectó una falla en Quay. Cuando una organización actúa como caché proxy y un usuario o robot extrae una imagen que aún no se ha replicado, se le otorgan permisos de administrador en el repositorio recién creado.
  • Vulnerabilidad en vLLM (CVE-2025-30165)
    Severidad: ALTA
    Fecha de publicación: 06/05/2025
    Fecha de última actualización: 31/07/2025
    vLLM es un motor de inferencia y servicio para modelos de lenguaje extensos. En una implementación de vLLM multinodo con el motor V0, vLLM utiliza ZeroMQ para la comunicación multinodo. Los hosts secundarios de vLLM abren un socket "SUB" de ZeroMQ y se conectan a un socket "XPUB" en el host principal de vLLM. Cuando se reciben datos en este socket "SUB", se deserializan con "pickle". Esto es peligroso, ya que puede utilizarse para ejecutar código en una máquina remota. Dado que la vulnerabilidad existe en un cliente que se conecta al host principal de vLLM, sirve como punto de escalada. Si el host principal de vLLM se ve comprometido, esta vulnerabilidad podría utilizarse para comprometer el resto de los hosts de la implementación de vLLM. Los atacantes también podrían utilizar otros medios para explotar la vulnerabilidad sin necesidad de acceder al host principal de vLLM. Un ejemplo sería el uso de envenenamiento de caché ARP para redirigir el tráfico a un endpoint malicioso utilizado para entregar un payload con código arbitrario que se ejecuta en la máquina objetivo. Tenga en cuenta que este problema solo afecta al motor V0, que ha estado desactivado por defecto desde la versión v0.8.0. Además, el problema solo se aplica a implementaciones que utilizan paralelismo tensorial en varios hosts, lo cual no esperamos que sea un patrón de implementación común. Dado que V0 ha estado desactivado por defecto desde la versión v0.8.0 y la solución es bastante invasiva, los responsables de vLLM han decidido no corregir este problema. En su lugar, recomiendan a los usuarios que se aseguren de que su entorno esté en una red segura en caso de que se utilice este patrón. El motor V1 no se ve afectado por este problema.
  • Vulnerabilidad en Quarkus (CVE-2024-12225)
    Severidad: CRÍTICA
    Fecha de publicación: 06/05/2025
    Fecha de última actualización: 31/07/2025
    Se detectó una vulnerabilidad en Quarkus en el módulo quarkus-security-webauthn. El módulo Quarkus WebAuthn publica endpoints REST predeterminados para el registro e inicio de sesión de los usuarios, a la vez que permite a los desarrolladores proporcionar endpoints REST personalizados. Cuando los desarrolladores proporcionan endpoints REST personalizados, los endpoints predeterminados permanecen accesibles, lo que podría permitir a los atacantes obtener una cookie de inicio de sesión que no tiene un usuario correspondiente en la aplicación Quarkus o, dependiendo de cómo esté escrita la aplicación, podría corresponder a un usuario existente sin relación con el atacante actual, lo que permite a cualquiera iniciar sesión como un usuario existente con solo conocer su nombre de usuario.
  • Vulnerabilidad en Google (CVE-2025-0649)
    Severidad: ALTA
    Fecha de publicación: 06/05/2025
    Fecha de última actualización: 31/07/2025
    La cadena de entrada JSON incorrecta en las versiones de servicio de Tensorflow de Google hasta la 2.18.0 permite una recursión potencialmente ilimitada que puede provocar un bloqueo del servidor.
  • Vulnerabilidad en Cisco Catalyst SD-WAN Manager (CVE-2025-20122)
    Severidad: ALTA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la CLI de Cisco Catalyst SD-WAN Manager, anteriormente Cisco SD-WAN vManage, podría permitir que un atacante local autenticado obtenga privilegios de usuario root en el sistema operativo subyacente. Esta vulnerabilidad se debe a una validación de entrada insuficiente. Un atacante autenticado con privilegios de solo lectura en el sistema SD-WAN Manager podría explotar esta vulnerabilidad enviando una solicitud manipulada a la CLI de SD-WAN Manager. Una explotación exitosa podría permitir al atacante obtener privilegios root en el sistema operativo subyacente.
  • Vulnerabilidad en Cisco Catalyst SD-WAN Manager (CVE-2025-20147)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 31/07/2025
    Una vulnerabilidad en la interfaz de administración web de Cisco Catalyst SD-WAN Manager, anteriormente Cisco SD-WAN vManage, podría permitir que un atacante remoto autenticado realice un ataque de Cross-Site Scripting (XSS) almacenado en un sistema afectado. Esta vulnerabilidad se debe a una depiuración inadecuada de la entrada del usuario en la interfaz de administración web. Un atacante podría explotar esta vulnerabilidad enviando un script malicioso a través de la interfaz. Una explotación exitosa podría permitir al atacante realizar un ataque XSS almacenado en el sistema afectado.
  • Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-53023)
    Severidad: MEDIA
    Fecha de publicación: 15/07/2025
    Fecha de última actualización: 31/07/2025
    Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication). Las versiones compatibles afectadas son 8.0.0-8.0.42. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Lobby Universe Lobby (CVE-2025-8257)
    Severidad: MEDIA
    Fecha de publicación: 28/07/2025
    Fecha de última actualización: 31/07/2025
    Se detectó una vulnerabilidad clasificada como problemática en la aplicación Lobby Universe Lobby hasta la versión 2.8.0 en Android. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo AndroidManifest.xml del componente com.maverick.lobby. Esta manipulación provoca la exportación incorrecta de componentes de la aplicación Android. El ataque debe abordarse localmente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en yarnpkg Yarn (CVE-2025-8262)
    Severidad: MEDIA
    Fecha de publicación: 28/07/2025
    Fecha de última actualización: 31/07/2025
    Se encontró una vulnerabilidad en yarnpkg Yarn hasta la versión 1.22.22. Se ha clasificado como problemática. La función "exploitHostedGitFragment" del archivo src/resolvers/exotics/hosted-git-resolver.js está afectada. La manipulación genera una complejidad ineficiente en las expresiones regulares. El ataque podría iniciarse en remoto. El parche se identifica como 97731871e674bf93bcbf29e9d3258da8685f3076. Se recomienda aplicar un parche para solucionar este problema.
  • Vulnerabilidad en Prettier (CVE-2025-8263)
    Severidad: MEDIA
    Fecha de publicación: 28/07/2025
    Fecha de última actualización: 31/07/2025
    Se encontró una vulnerabilidad en Prettier hasta la versión 3.6.2. Se ha declarado problemática. Esta vulnerabilidad afecta a la función parseNestedCSS del archivo src/language-css/parser-postcss.js. La manipulación del nodo de argumento genera una complejidad ineficiente en las expresiones regulares. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado
  • Vulnerabilidad en JetBrains TeamCity (CVE-2025-54528)
    Severidad: MEDIA
    Fecha de publicación: 28/07/2025
    Fecha de última actualización: 31/07/2025
    En JetBrains TeamCity antes de 2025.07 era posible un CSRF en el flujo de conexión de la aplicación GitHub
  • Vulnerabilidad en JetBrains TeamCity (CVE-2025-54529)
    Severidad: BAJA
    Fecha de publicación: 28/07/2025
    Fecha de última actualización: 31/07/2025
    En JetBrains TeamCity antes de 2025.07 era posible un CSRF en la integración de inicio de sesión OAuth externo
  • Vulnerabilidad en JetBrains TeamCity (CVE-2025-54530)
    Severidad: ALTA
    Fecha de publicación: 28/07/2025
    Fecha de última actualización: 31/07/2025
    En JetBrains TeamCity antes de 2025.07 la escalada de privilegios era posible debido a permisos de directorio incorrectos
  • Vulnerabilidad en JetBrains TeamCity (CVE-2025-54531)
    Severidad: ALTA
    Fecha de publicación: 28/07/2025
    Fecha de última actualización: 31/07/2025
    En JetBrains TeamCity antes de 2025.07, path traversal era posible mediante la descompresión del complemento en Windows.
  • Vulnerabilidad en JetBrains TeamCity (CVE-2025-54536)
    Severidad: MEDIA
    Fecha de publicación: 28/07/2025
    Fecha de última actualización: 31/07/2025
    En JetBrains TeamCity antes de 2025.07 era posible ejecutar un CSRF en el endpoint de GraphQL
  • Vulnerabilidad en macOS Sequoia, macOS Ventura y macOS Sonoma (CVE-2025-24119)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó mejorando la gestión de estados. Está corregido en macOS Sequoia 15.3, macOS Ventura 13.7.7 y macOS Sonoma 14.7.7. Una aplicación podría ejecutar código arbitrario fuera de su entorno de pruebas o con ciertos privilegios elevados.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24188)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en macOS Sequoia 15.6. Procesar contenido web manipulado con fines maliciosos puede provocar un bloqueo inesperado de Safari.
  • Vulnerabilidad en tvOS, iOS, iPadOS, macOS Sequoia, watchOS, visionOS y macOS Ventura (CVE-2025-24224)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en tvOS 18.5, iOS 18.5 y iPadOS 18.5, iPadOS 17.7.9, macOS Sequoia 15.5, watchOS 11.5, visionOS 2.5 y macOS Ventura 13.7.7. Un atacante remoto podría provocar el cierre inesperado del sistema.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-31229)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en iOS 18.6 y iPadOS 18.6. VoiceOver permite leer el código de acceso en voz alta.
  • Vulnerabilidad en macOS Sonoma, macOS Ventura y macOS Sequoia (CVE-2025-31243)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sonoma 14.7.7, macOS Ventura 13.7.7 y macOS Sequoia 15.6. Es posible que una aplicación obtenga privilegios de root.
  • Vulnerabilidad en macOS Sequoia, iOS, iPadOS, tvOS, watchOS y visionOS (CVE-2025-31273)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en macOS Sequoia 15.6, iOS 18.6 y iPadOS 18.6, tvOS 18.6, watchOS 11.6 y visionOS 2.6. El procesamiento de contenido web manipulado con fines malintencionados puede provocar daños en la memoria.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-31275)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15.6. Un proceso aislado puede ejecutar cualquier aplicación instalada.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-31276)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó mejorando la gestión de estados. Este problema se solucionó en iOS 18.6, iPadOS 18.6 y iPadOS 17.7.9. El contenido remoto se puede cargar incluso con la opción 'Load Remote Images' desactivada.
  • Vulnerabilidad en watchOS, visionOS, iOS, iPadOS, macOS Sequoia y tvOS (CVE-2025-31277)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en watchOS 11.6, visionOS 2.6, iOS 18.6 y iPadOS 18.6, macOS Sequoia 15.6 y tvOS 18.6. El procesamiento de contenido web manipulado con fines malintencionados puede provocar daños en la memoria.
  • Vulnerabilidad en iPadOS, watchOS, visionOS, iOS, macOS Sequoia y tvOS (CVE-2025-31278)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en iPadOS 17.7.9, watchOS 11.6, visionOS 2.6, iOS 18.6 y iPadOS 18.6, macOS Sequoia 15.6 y tvOS 18.6. El procesamiento de contenido web manipulado con fines malintencionados puede provocar daños en la memoria.
  • Vulnerabilidad en macOS Sequoia, iPadOS, macOS Sonoma y macOS Ventura (CVE-2025-31279)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en macOS Sequoia 15.6, iPadOS 17.7.9, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Es posible que una aplicación pueda tomar la huella digital del usuario.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-31280)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de corrupción de memoria mejorando la validación. Este problema se solucionó en macOS Sequoia 15.6. Procesar un archivo manipulado con fines maliciosos puede provocar corrupción en el montón.
  • Vulnerabilidad en visionOS, tvOS, macOS Sequoia, iOS y iPadOS (CVE-2025-31281)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de validación de entrada mejorando el manejo de memoria. Este problema se solucionó en visionOS 2.6, tvOS 18.6, macOS Sequoia 15.6, iOS 18.6 y iPadOS 18.6. El procesamiento de un archivo manipulado con fines malintencionados puede provocar el cierre inesperado de la aplicación.
  • Vulnerabilidad en macOS Sequoia, macOS Ventura y macOS Sonoma (CVE-2025-43184)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó añadiendo una solicitud adicional de consentimiento del usuario. Este problema está corregido en macOS Sonoma 14.7.7, macOS Ventura 13.7.7 y macOS Sequoia 15.4. Un acceso directo podría omitir la configuración sensible de la aplicación Accesos directos.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-43185)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de degradación con restricciones adicionales para la firma de código. Este problema se solucionó en macOS Sequoia 15.6. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en watchOS, iOS, iPadOS, tvOS, macOS Sequoia, macOS Sonoma, visionOS y macOS Ventura (CVE-2025-43186)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en watchOS 11.6, iOS 18.6 y iPadOS 18.6, tvOS 18.6, macOS Sequoia 15.6, macOS Sonoma 14.7.7, visionOS 2.6 y macOS Ventura 13.7.7. Analizar un archivo puede provocar el cierre inesperado de la aplicación.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-43188)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15.6. Una aplicación maliciosa podría obtener privilegios de root.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-43189)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó mejorando la gestión de la memoria. Está corregido en macOS Sequoia 15.6 y macOS Sonoma 14.7.7. Una aplicación maliciosa podría leer la memoria del kernel.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43191)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de gestión de rutas mejorando la validación. Este problema se solucionó en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Una aplicación podría provocar una denegación de servicio.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-43192)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de configuración con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15.6 y macOS Sonoma 14.7.7. La inscripción de usuarios basada en cuentas aún puede ser posible con el modo de bloqueo activado.
  • Vulnerabilidad en macOS Sequoia, macOS Ventura y macOS Sonoma (CVE-2025-43193)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en macOS Sequoia 15.6, macOS Ventura 13.7.7 y macOS Sonoma 14.7.7. Una aplicación podría causar una denegación de servicio.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43194)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Una aplicación podría modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43195)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Existía un problema en la gestión de las variables de entorno. Este problema se solucionó mejorando la validación. Este problema está corregido en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43196)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de gestión de rutas mejorando la validación. Este problema se solucionó en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Es posible que una aplicación obtenga privilegios de root.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43197)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó con comprobaciones adicionales de derechos. Este problema está corregido en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-43198)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó eliminando el código vulnerable. Este problema está corregido en macOS Sequoia 15.6 y macOS Sonoma 14.7.7. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43199)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de permisos eliminando el código vulnerable. Este problema está corregido en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Una aplicación maliciosa podría obtener privilegios de root.
  • Vulnerabilidad en macOS Sequoia, macOS Ventura y macOS Sonoma (CVE-2025-43206)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de análisis en el manejo de rutas de directorio mejorando la validación de rutas. Este problema se solucionó en macOS Sequoia 15.6, macOS Ventura 13.7.7 y macOS Sonoma 14.7.7. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en macOS Sequoia, iPadOS, iOS, tvOS, macOS Sonoma, watchOS, visionOS y macOS Ventura (CVE-2025-43209)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de acceso fuera de límites mejorando la comprobación de límites. Este problema está corregido en macOS Sequoia 15.6, iPadOS 17.7.9, iOS 18.6 y iPadOS 18.6, tvOS 18.6, macOS Sonoma 14.7.7, watchOS 11.6, visionOS 2.6 y macOS Ventura 13.7.7. El procesamiento de contenido web manipulado con fines malintencionados puede provocar un bloqueo inesperado de Safari.
  • Vulnerabilidad en macOS Sequoia, iOS, iPadOS, tvOS, watchOS y visionOS (CVE-2025-43211)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en macOS Sequoia 15.6, iPadOS 17.7.9, iOS 18.6 y iPadOS 18.6, tvOS 18.6, watchOS 11.6 y visionOS 2.6. El procesamiento de contenido web puede provocar una denegación de servicio.
  • Vulnerabilidad en macOS Sequoia, iOS, iPadOS, tvOS, watchOS y visionOS (CVE-2025-43212)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en macOS Sequoia 15.6, iOS 18.6 y iPadOS 18.6, tvOS 18.6, watchOS 11.6 y visionOS 2.6. El procesamiento de contenido web manipulado con fines malintencionados puede provocar un bloqueo inesperado de Safari.
  • Vulnerabilidad en macOS Sequoia, iOS, iPadOS, tvOS, watchOS y visionOS (CVE-2025-43213)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en macOS Sequoia 15.6, iOS 18.6 y iPadOS 18.6, tvOS 18.6, watchOS 11.6 y visionOS 2.6. El procesamiento de contenido web manipulado con fines malintencionados puede provocar un bloqueo inesperado de Safari.
  • Vulnerabilidad en watchOS, iOS, iPadOS, tvOS, macOS Sequoia y visionOS (CVE-2025-43214)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en watchOS 11.6, iOS 18.6 y iPadOS 18.6, tvOS 18.6, macOS Sequoia 15.6 y visionOS 2.6. El procesamiento de contenido web manipulado con fines malintencionados puede provocar un bloqueo inesperado de Safari.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-43215)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando las comprobaciones. Este problema se solucionó en macOS Sequoia 15.6. Procesar una imagen manipulada con fines maliciosos puede provocar la divulgación de la memoria del proceso.
  • Vulnerabilidad en watchOS, iOS, iPadOS, tvOS, macOS Sequoia y visionOS (CVE-2025-43216)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de use-after-free mediante una mejor gestión de la memoria. Este problema se solucionó en watchOS 11.6, iOS 18.6 y iPadOS 18.6, iPadOS 17.7.9, tvOS 18.6, macOS Sequoia 15.6 y visionOS 2.6. El procesamiento de contenido web manipulado con fines malintencionados puede provocar un bloqueo inesperado de Safari.
  • Vulnerabilidad en iPadOS, iOS y iPadOS (CVE-2025-43217)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó añadiendo lógica adicional. Este problema está corregido en iPadOS 17.7.9, iOS 18.6 y iPadOS 18.6. Es posible que los indicadores de privacidad para el acceso al micrófono o la cámara no se muestren correctamente.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-43218)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó una lectura fuera de límites mejorando la validación de entrada. Este problema se solucionó en macOS Sequoia 15.6. Procesar un archivo USD manipulado con fines maliciosos puede revelar el contenido de la memoria.
  • Vulnerabilidad en iPadOS, macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43220)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó mejorando la validación de enlaces simbólicos. Este problema está corregido en iPadOS 17.7.9, macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en macOS Sequoia, iOS, iPadOS, visionOS y tvOS (CVE-2025-43221)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de acceso fuera de límites mejorando la comprobación de límites. Este problema se solucionó en macOS Sequoia 15.6, iOS 18.6, iPadOS 18.6, visionOS 2.6 y tvOS 18.6. Procesar un archivo multimedia manipulado con fines maliciosos puede provocar el cierre inesperado de la aplicación o la corrupción de la memoria del proceso.
  • Vulnerabilidad en macOS Sequoia, iPadOS, macOS Ventura y macOS Sonoma (CVE-2025-43222)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de use-after-free eliminando el código vulnerable. Este problema está corregido en macOS Sequoia 15.6, iPadOS 17.7.9, macOS Ventura 13.7.7 y macOS Sonoma 14.7.7. Un atacante podría provocar el cierre inesperado de la aplicación.
  • Vulnerabilidad en macOS Ventura, iOS, iPadOS, macOS Sonoma, watchOS, macOS Sequoia, tvOS y visionOS (CVE-2025-43223)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de denegación de servicio mejorando la validación de entrada. Este problema está corregido en macOS Ventura 13.7.7, iPadOS 17.7.9, iOS 18.6 y iPadOS 18.6, macOS Sonoma 14.7.7, watchOS 11.6, macOS Sequoia 15.6, tvOS 18.6 y visionOS 2.6. Un usuario sin privilegios puede modificar la configuración de red restringida.
  • Vulnerabilidad en visionOS, tvOS, macOS Sequoia, iOS y iPadOS (CVE-2025-43224)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de acceso fuera de límites mejorando la comprobación de límites. Este problema se solucionó en visionOS 2.6, tvOS 18.6, macOS Sequoia 15.6, iOS 18.6 y iPadOS 18.6. Procesar un archivo multimedia manipulado con fines maliciosos puede provocar el cierre inesperado de la aplicación o la corrupción de la memoria del proceso.
  • Vulnerabilidad en macOS Sequoia, iPadOS, macOS Ventura y macOS Sonoma (CVE-2025-43225)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de registro mejorando la redacción de datos. Este problema se solucionó en macOS Sequoia 15.6, iPadOS 17.7.9, macOS Ventura 13.7.7 y macOS Sonoma 14.7.7. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en watchOS, iOS, iPadOS, tvOS, macOS Sequoia, macOS Sonoma y visionOS (CVE-2025-43226)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó una lectura fuera de límites mejorando la validación de entrada. Este problema se solucionó en watchOS 11.6, iOS 18.6 y iPadOS 18.6, iPadOS 17.7.9, tvOS 18.6, macOS Sequoia 15.6, macOS Sonoma 14.7.7 y visionOS 2.6. Procesar una imagen manipulada con fines maliciosos puede provocar la divulgación de memoria del proceso.
  • Vulnerabilidad en iOS, iPadO, macOS Sequoia, tvO, watchOS y visionOS (CVE-2025-43227)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó mejorando la gestión de estados. Está corregido en iOS 18.6 y iPadOS 18.6, macOS Sequoia 15.6, tvOS 18.6, watchOS 11.6 y visionOS 2.6. El procesamiento de contenido web manipulado con fines malintencionados puede revelar información confidencial del usuario.
  • Vulnerabilidad en macOS Sequoia, macOS Ventura y macOS Sonoma (CVE-2025-43243)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en macOS Sequoia 15.6, macOS Ventura 13.7.7 y macOS Sonoma 14.7.7. Una aplicación podría modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43244)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó una condición de ejecución mejorando la gestión de estados. Este problema se solucionó en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Una aplicación podría provocar la finalización inesperada del sistema.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43245)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de degradación con restricciones adicionales de firma de código. Este problema se solucionó en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-43246)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Sequoia 15.6 y macOS Sonoma 14.7.7. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43247)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Una aplicación maliciosa con privilegios de root podría modificar el contenido de los archivos del sistema.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-43248)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema lógico mejorando las restricciones. Este problema se solucionó en macOS Sequoia 15.6 y macOS Sonoma 14.7.7. Una aplicación maliciosa podría obtener privilegios de root.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43249)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Es posible que una aplicación obtenga privilegios de root.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43250)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de gestión de rutas mejorando la validación. Este problema se solucionó en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Es posible que una aplicación pueda salir de su entorno de pruebas.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-43251)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de autorización mejorando la gestión de estados. Este problema se solucionó en macOS Sequoia 15.6. Un atacante local podría acceder a los elementos del llavero.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-43252)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó añadiendo una solicitud adicional para el consentimiento del usuario. Este problema se solucionó en macOS Sequoia 15.6. Un sitio web podría acceder a datos confidenciales del usuario al resolver enlaces simbólicos.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-43253)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó mejorando la validación de entrada. Este problema se solucionó en macOS Sequoia 15.6 y macOS Sonoma 14.7.7. Una aplicación maliciosa podría ejecutar archivos binarios arbitrarios en un dispositivo de confianza.
  • Vulnerabilidad en macOS Sequoia, macOS Ventura y macOS Sonoma (CVE-2025-43254)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó una lectura fuera de límites mejorando la validación de entrada. Este problema se solucionó en macOS Sequoia 15.6, macOS Ventura 13.7.7 y macOS Sonoma 14.7.7. El procesamiento de un archivo manipulado con fines malintencionados puede provocar el cierre inesperado de la aplicación.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-43256)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Este problema se solucionó mejorando la gestión de estados. Está corregido en macOS Sequoia 15.6 y macOS Sonoma 14.7.7. Es posible que una aplicación obtenga privilegios de root.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43266)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Es posible que una aplicación pueda salir de su entorno de pruebas.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-43267)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de inyección mejorando la validación. Este problema se solucionó en macOS Sequoia 15.6. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sequoia, macOS Ventura y macOS Sonoma (CVE-2025-43270)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de acceso con restricciones adicionales en el entorno de pruebas. Este problema se solucionó en macOS Sequoia 15.6, macOS Ventura 13.7.7 y macOS Sonoma 14.7.7. Una aplicación podría obtener acceso no autorizado a la red local.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-43273)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de permisos con restricciones adicionales en el entorno de pruebas. Este problema se solucionó en macOS Sequoia 15.6. Un proceso en un entorno de pruebas podría eludir las restricciones del entorno de pruebas.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-43274)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó un problema de privacidad eliminando el código vulnerable. Este problema se solucionó en macOS Sequoia 15.6. Un proceso en un entorno de pruebas podría eludir las restricciones del mismo.
  • Vulnerabilidad en macOS Sequoia, macOS Sonoma y macOS Ventura (CVE-2025-43275)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    Se solucionó una condicion de ejecución con una validación adicional. Este problema se solucionó en macOS Sequoia 15.6, macOS Sonoma 14.7.7 y macOS Ventura 13.7.7. Una aplicación podría salir de su entorno de pruebas.
  • Vulnerabilidad en iOS, iPadOS, watchOS, macOS Sequoia, tvOS y visionOS (CVE-2025-43277)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 31/07/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en iOS 18.6 y iPadOS 18.6, watchOS 11.6, macOS Sequoia 15.6, tvOS 18.6 y visionOS 2.6. Procesar un archivo de audio manipulado con fines maliciosos puede provocar daños en la memoria.