Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en GuestInfo en el proceso vmx en VMware ESX, VMware Workstation, VMware Fusion y VMware Cloud Foundation (CVE-2020-3999)
    Severidad: MEDIA
    Fecha de publicación: 21/12/2020
    Fecha de última actualización: 08/08/2025
    VMware ESXi (versiones 7.0 anteriores a ESXi70U1c-17325551), VMware Workstation (versiones 16.x anteriores a 16.0 y versiones 15.x anteriores a 15.5.7), VMware Fusion (versiones 12.x anteriores a 12.0 y versiones 11.x anteriores a 11.5.7) y VMware Cloud Foundation contienen una vulnerabilidad de denegación de servicio debido a una comprobación inapropiada de la entrada en GuestInfo. Un actor malicioso con acceso privilegiado de usuario normal para una máquina virtual puede bloquear el proceso vmx de la máquina virtual y causar una condición de denegación de servicio
  • Vulnerabilidad en TP-Link Omada ER605 DHCPv6 (CVE-2024-1179)
    Severidad: ALTA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de desbordamiento de búfer en la región stack de la memoria en Opciones de cliente TP-Link Omada ER605 DHCPv6. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de los routers TP-Link Omada ER605. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en el manejo de las opciones DHCP. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en la región stack de la memoria de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-22420.
  • Vulnerabilidad en Sante PACS Server Token Endpoint (CVE-2024-1863)
    Severidad: CRÍTICA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de inyección SQL de Sante PACS Server Token Endpoint. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Sante PACS Server. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en el procesamiento de solicitudes HTTP en el puerto 3000. Al analizar el parámetro token, el proceso no valida adecuadamente una cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de NETWORK SERVICE. Era ZDI-CAN-21539.
  • Vulnerabilidad en Foxit PDF Reader (CVE-2024-30340)
    Severidad: BAJA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites de anotación de Foxit PDF Reader. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos de anotación. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-22707.
  • Vulnerabilidad en Foxit PDF Reader (CVE-2024-30342)
    Severidad: ALTA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código anotación de Foxit PDF Reader Use-After-Free. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos de anotación. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22720.
  • Vulnerabilidad en Foxit PDF Reader (CVE-2024-30343)
    Severidad: ALTA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código anotación de Foxit PDF Reader Use-After-Free. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Foxit PDF Reader. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de objetos de anotación. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-22721.
  • Vulnerabilidad en Unified Automation UaGateway (CVE-2023-32170)
    Severidad: MEDIA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de denegación de servicio de validación de entrada incorrecta del servidor UaGateway OPC UA de Unified Automation. Esta vulnerabilidad permite a atacantes remotos crear una condición de denegación de servicio en las instalaciones afectadas de Unified Automation UaGateway. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe elegir aceptar un certificado de cliente. La falla específica existe en el procesamiento de certificados de clientes. El problema se debe a la falta de validación adecuada de los datos del certificado. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio en el sistema. Era ZDI-CAN-20494.
  • Vulnerabilidad en Unified Automation UaGateway (CVE-2023-32171)
    Severidad: MEDIA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de denegación de servicio de desreferencia de puntero nulo del servidor UaGateway OPC UA de Unified Automation. Esta vulnerabilidad permite a atacantes remotos crear una condición de denegación de servicio en las instalaciones afectadas de Unified Automation UaGateway. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del método ImportCsv. un payload XML manipulada puede provocar una desreferencia del puntero nulo. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio en el sistema. Era ZDI-CAN-20495.
  • Vulnerabilidad en Unified Automation UaGateway (CVE-2023-32172)
    Severidad: MEDIA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de denegación de servicio de Use-After-Free del servidor UaGateway OPC UA de Unified Automation. Esta vulnerabilidad permite a atacantes remotos crear una condición de denegación de servicio en las instalaciones afectadas de Unified Automation UaGateway. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en la implementación de la función ImportXML. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio en el sistema. Era ZDI-CAN-20497.
  • Vulnerabilidad en Unified Automation UaGateway (CVE-2023-32173)
    Severidad: MEDIA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de denegación de servicio de inyección XML de Unified Automation UaGateway AddServer. Esta vulnerabilidad permite a atacantes remotos crear una condición de denegación de servicio en las instalaciones afectadas de Unified Automation UaGateway. Se requiere autenticación para aprovechar esta vulnerabilidad cuando el producto está en su configuración predeterminada. La falla específica existe en la implementación del método AddServer. Al especificar argumentos manipulados, un atacante puede provocar que se inserten caracteres no válidos en un archivo de configuración XML. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio persistente en el sistema. Era ZDI-CAN-20576.
  • Vulnerabilidad en Unified Automation UaGateway (CVE-2023-32174)
    Severidad: CRÍTICA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de Use-After-Free de Unified Automation UaGateway NodeManagerOpcUa. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Unified Automation UaGateway. Se requiere autenticación para aprovechar esta vulnerabilidad cuando el producto está en su configuración predeterminada. La falla específica existe en el manejo de objetos NodeManagerOpcUa. El problema surge de la falta de validación de la existencia de un objeto antes de realizar operaciones sobre él. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-20577.
  • Vulnerabilidad en VIPRE Antivirus Plus (CVE-2023-32175)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Enlace VIPRE Antivirus Plus tras una vulnerabilidad de escalada de privilegios locales. Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de VIPRE Antivirus Plus. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder aprovechar esta vulnerabilidad. La falla específica existe dentro del Servicio Anti Malware. Al crear un enlace simbólico, un atacante puede abusar del servicio para crear archivos arbitrarios. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de SYSTEM. Era ZDI-CAN-18899.
  • Vulnerabilidad en VIPRE Antivirus Plus SetPrivateConfig (CVE-2023-32176)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    VIPRE Antivirus Plus SetPrivateConfig Vulnerabilidad de escalada de privilegios locales Directory Traversal. Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de VIPRE Antivirus Plus. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder aprovechar esta vulnerabilidad. La falla específica existe dentro del método SetPrivateConfig. El problema se debe a la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivos. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de SYSTEM. Era ZDI-CAN-19394.
  • Vulnerabilidad en VIPRE Antivirus Plus DeleteHistoryFile (CVE-2023-32177)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    VIPRE Antivirus Plus DeleteHistoryFile Vulnerabilidad de escalada de privilegios locales Directory Traversal. Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de VIPRE Antivirus Plus. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder aprovechar esta vulnerabilidad. La falla específica existe dentro del método DeleteHistoryFile. El problema se debe a la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivos. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de SYSTEM. Era ZDI-CAN-19395.
  • Vulnerabilidad en VIPRE Antivirus Plus FPQuarTransfer (CVE-2023-32178)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Enlace VIPRE Antivirus Plus TelFileTransfer después de una vulnerabilidad de escalada de privilegios local. Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de VIPRE Antivirus Plus. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder aprovechar esta vulnerabilidad. La falla específica existe dentro del método TelFileTransfer. Al crear un enlace simbólico, un atacante puede abusar del método para eliminar archivos arbitrarios. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de SYSTEM. Era ZDI-CAN-19396.
  • Vulnerabilidad en VIPRE Antivirus Plus FPQuarTransfer (CVE-2023-32179)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Enlace VIPRE Antivirus Plus FPQuarTransfer después de una vulnerabilidad de escalada de privilegios local. Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de VIPRE Antivirus Plus. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder aprovechar esta vulnerabilidad. La falla específica existe dentro del método FPQuarTransfer. Al crear un enlace simbólico, un atacante puede abusar del método para eliminar archivos arbitrarios. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de SYSTEM. Era ZDI-CAN-19397.
  • Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34299)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de desbordamiento de búfer de almacenamiento dinámico de análisis de archivos Ashlar-Vellum Cobalt CO. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos CO. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en montón. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-17910.
  • Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34300)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de desreferencia de puntero no confiable en el análisis de archivos Ashlar-Vellum Cobalt XE. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos XE. El problema se debe a la falta de validación adecuada de un valor proporcionado por el usuario antes de eliminar la referencia a él como puntero. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-17948.
  • Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34301)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de desreferencia de puntero no confiable en el análisis de archivos Ashlar-Vellum Cobalt CO. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos CO. El problema se debe a la falta de validación adecuada de un valor proporcionado por el usuario antes de eliminar la referencia a él como puntero. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-17909.
  • Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34303)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de lectura fuera de los límites de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos VC6. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-17987.
  • Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34304)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de acceso fuera de los límites de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos IGS. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar un acceso a la memoria más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18006.
  • Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34305)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de escritura fuera de los límites de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos X_B o X_T. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18637.
  • Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-34309)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de desreferencia de puntero no confiable de Ashlar-Vellum Cobalt. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos CO. El problema se debe a la falta de validación adecuada de un valor proporcionado por el usuario antes de eliminar la referencia a él como puntero. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Fue ZDI-CAN-19876.
  • Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-35714)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código de lectura fuera de los límites en el análisis de archivos Ashlar-Vellum Cobalt IGS. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos IGS. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede resultar en una lectura antes del inicio de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-18005.
  • Vulnerabilidad en Wyze Cam v3 (CVE-2024-6247)
    Severidad: MEDIA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código mediante inyección de comandos del sistema operativo SSID de Wi-Fi de Wyze Cam v3. Esta vulnerabilidad permite a atacantes físicamente presentes ejecutar código arbitrario en instalaciones afectadas de cámaras IP Wyze Cam v3. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe en el manejo de SSID integrados en códigos QR escaneados. El problema es el resultado de la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-22337.
  • Vulnerabilidad en Wyze Cam v3 (CVE-2024-6248)
    Severidad: ALTA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código mediante autenticación incorrecta en la infraestructura en la nube de Wyze Cam v3. Esta vulnerabilidad permite a los atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de las cámaras IP Wyze Cam v3. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro del endpoint run_action_batch de la infraestructura en la nube. El problema es el resultado del uso de la dirección MAC del dispositivo como única credencial para la autenticación. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto de la raíz. Era ZDI-CAN-22393.
  • Vulnerabilidad en Wyze Cam v3 (CVE-2024-6249)
    Severidad: ALTA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 08/08/2025
    Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en pila en el manejo de tráfico TCP de Wyze Cam v3. Esta vulnerabilidad permite a los atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de las cámaras IP Wyze Cam v3. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro de la librería P2P de TUTK. El problema es el resultado de la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en pila de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-22419.
  • Vulnerabilidad en IBM Workload Scheduler (CVE-2024-49351)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 08/08/2025
    IBM Workload Scheduler 9.5, 10.1 y 10.2 almacena las credenciales de usuario en texto plano que puede ser leído por un usuario local.
  • Vulnerabilidad en IBM Storage Defender - Resiliency Service (CVE-2024-47119)
    Severidad: MEDIA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 08/08/2025
    IBM Storage Defender - Resiliency Service 2.0.0 a 2.0.9 no valida correctamente un certificado, lo que podría permitir a un atacante falsificar una entidad confiable al interferir en la ruta de comunicación entre el host y el cliente.
  • Vulnerabilidad en IBM Storage Defender - Resiliency Service (CVE-2024-52361)
    Severidad: MEDIA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 08/08/2025
    IBM Storage Defender - Resiliency Service 2.0.0 a 2.0.9 almacena las credenciales de usuario en texto plano que puede leer un usuario autenticado con acceso al pod.
  • Vulnerabilidad en Unicode (CVE-2025-5222)
    Severidad: ALTA
    Fecha de publicación: 27/05/2025
    Fecha de última actualización: 08/08/2025
    Se detectó un desbordamiento del búfer de pila en componentes internacionales para Unicode (ICU). Al ejecutar el binario genrb, la estructura 'subtag' se desbordó en la función SRBRoot::addTag. Este problema puede provocar corrupción de memoria y la ejecución local de código arbitrario.
  • Vulnerabilidad en Go Project (CVE-2025-0913)
    Severidad: MEDIA
    Fecha de publicación: 11/06/2025
    Fecha de última actualización: 08/08/2025
    os.OpenFile(path, os.O_CREATE|O_EXCL) se comportaba de forma diferente en sistemas Unix y Windows cuando la ruta de destino era un enlace simbólico pendiente. En sistemas Unix, OpenFile con los indicadores O_CREATE y O_EXCL nunca sigue enlaces simbólicos. En Windows, cuando la ruta de destino era un enlace simbólico a una ubicación inexistente, OpenFile creaba un archivo en esa ubicación. OpenFile ahora siempre devuelve un error cuando los indicadores O_CREATE y O_EXCL están activados y la ruta de destino es un enlace simbólico.
  • Vulnerabilidad en Chrome (CVE-2025-8576)
    Severidad: ALTA
    Fecha de publicación: 07/08/2025
    Fecha de última actualización: 08/08/2025
    Use after free en extensiones de Google Chrome anteriores a la versión 139.0.7258.66 permitía a un atacante remoto explotar la corrupción del montón mediante una extensión de Chrome manipulada. (Gravedad de seguridad de Chromium: Media)
  • Vulnerabilidad en Chrome (CVE-2025-8577)
    Severidad: MEDIA
    Fecha de publicación: 07/08/2025
    Fecha de última actualización: 08/08/2025
    Una implementación inadecuada de la interfaz de usuario en Google Chrome anterior a la versión 139.0.7258.66 permitía que un atacante remoto, tras convencer a un usuario para que realizara gestos específicos de la interfaz de usuario, realizara una suplantación de la misma mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
  • Vulnerabilidad en Chrome (CVE-2025-8578)
    Severidad: ALTA
    Fecha de publicación: 07/08/2025
    Fecha de última actualización: 08/08/2025
    Use after free en Cast en Google Chrome anterior a la versión 139.0.7258.66 permitía a un atacante remoto explotar la corrupción del montón mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
  • Vulnerabilidad en Chrome (CVE-2025-8579)
    Severidad: MEDIA
    Fecha de publicación: 07/08/2025
    Fecha de última actualización: 08/08/2025
    Una implementación inadecuada de la interfaz de usuario en Google Chrome anterior a la versión 139.0.7258.66 permitía que un atacante remoto, tras convencer a un usuario para que realizara gestos específicos de la interfaz de usuario, realizara una suplantación de la misma mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
  • Vulnerabilidad en Chrome (CVE-2025-8580)
    Severidad: MEDIA
    Fecha de publicación: 07/08/2025
    Fecha de última actualización: 08/08/2025
    Una implementación incorrecta en los sistemas de archivos de Google Chrome anterior a la versión 139.0.7258.66 permitía a un atacante remoto suplantar la interfaz de usuario mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
  • Vulnerabilidad en Chrome (CVE-2025-8581)
    Severidad: MEDIA
    Fecha de publicación: 07/08/2025
    Fecha de última actualización: 08/08/2025
    Una implementación incorrecta en las extensiones de Google Chrome anteriores a la versión 139.0.7258.66 permitía que un atacante remoto, al convencer a un usuario para que realizara gestos específicos de la interfaz de usuario, filtrara datos de origen cruzado mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
  • Vulnerabilidad en Chrome (CVE-2025-8582)
    Severidad: MEDIA
    Fecha de publicación: 07/08/2025
    Fecha de última actualización: 08/08/2025
    La validación insuficiente de entradas no confiables en el núcleo de Google Chrome anterior a la versión 139.0.7258.66 permitió que un atacante remoto falsificara el contenido del Omnibox (barra de URL) mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
  • Vulnerabilidad en Chrome (CVE-2025-8583)
    Severidad: MEDIA
    Fecha de publicación: 07/08/2025
    Fecha de última actualización: 08/08/2025
    Una implementación incorrecta de los permisos en Google Chrome anterior a la versión 139.0.7258.66 permitía a un atacante remoto suplantar la interfaz de usuario mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)