Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Shenzhen Libituo Technology Co., Ltd LBT-T300-mini1 v1.2.9 (CVE-2024-28446)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 20/08/2025
    Se descubrió que Shenzhen Libituo Technology Co., Ltd LBT-T300-mini1 v1.2.9 contenía un desbordamiento del búfer a través del parámetro lan_netmask en /apply.cgi.
  • Vulnerabilidad en Shenzhen Libituo Technology Co., Ltd LBT-T300-T400 v.3.2 (CVE-2024-32324)
    Severidad: ALTA
    Fecha de publicación: 25/04/2024
    Fecha de última actualización: 20/08/2025
    Vulnerabilidad de desbordamiento de búfer en Shenzhen Libituo Technology Co., Ltd LBT-T300-T400 v.3.2 permite a un atacante local ejecutar código arbitrario a través de la variable vpn_client_ip de la función config_vpn_pptp en el programa rc.
  • Vulnerabilidad en IBM Watson CP4D Data Stores (CVE-2023-40694)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 20/08/2025
    IBM Watson CP4D Data Stores 4.0.0 a 4.8.4 almacena información potencialmente confidencial en archivos de registro que un usuario local podría leer. ID de IBM X-Force: 264838.
  • Vulnerabilidad en IBM Engineering Requirements Management DOORS Next (CVE-2024-41787)
    Severidad: CRÍTICA
    Fecha de publicación: 10/01/2025
    Fecha de última actualización: 20/08/2025
    IBM Engineering Requirements Management DOORS Next 7.0.2 y 7.0.3 podría permitir que un atacante remoto eluda las restricciones de seguridad provocadas por una condición de ejecución. Al enviar una solicitud especialmente manipulada, un atacante podría aprovechar esta vulnerabilidad para ejecutar código de forma remota.
  • Vulnerabilidad en Shenzhen Libituo Technology Co., Ltd LBT-T300-T400 v3.2 (CVE-2025-29570)
    Severidad: ALTA
    Fecha de publicación: 03/04/2025
    Fecha de última actualización: 20/08/2025
    Un problema en Shenzhen Libituo Technology Co., Ltd LBT-T300-T400 v3.2 permite que un atacante local escale privilegios a través de la función tftp_image_check de un binario llamado rc.
  • Vulnerabilidad en IBM Db2 (CVE-2025-1992)
    Severidad: MEDIA
    Fecha de publicación: 05/05/2025
    Fecha de última actualización: 20/08/2025
    IBM Db2 para Linux, UNIX y Windows (incluye DB2 Connect Server) 11.5.0 a 11.5.9 y 12.1.0 a 12.1.1 podría permitir que un usuario autenticado, bajo configuraciones no predeterminadas, provoque una denegación de servicio debido a una liberación insuficiente de memoria asignada después del uso.
  • Vulnerabilidad en Intelbras InControl (CVE-2025-4286)
    Severidad: MEDIA
    Fecha de publicación: 05/05/2025
    Fecha de última actualización: 20/08/2025
    Se encontró una vulnerabilidad en Intelbras InControl hasta la versión 2.21.59. Se ha clasificado como problemática. Se ve afectada una función desconocida del componente Dispositivos Edição Page. La manipulación del argumento "Senha de Comunicação" provoca el almacenamiento desprotegido de credenciales. Es posible lanzar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Según el proveedor, este problema debería solucionarse en una versión posterior.
  • Vulnerabilidad en IBM Sterling Partner Engagement Manager (CVE-2025-33093)
    Severidad: ALTA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 20/08/2025
    IBM Sterling Partner Engagement Manager 6.1.0, 6.2.0, 6.2.2 se almacena en gráficos Helm públicos y no se almacena como un secreto de Kubernetes.
  • Vulnerabilidad en IBM App Connect Enterprise Certified Container (CVE-2025-1993)
    Severidad: MEDIA
    Fecha de publicación: 09/05/2025
    Fecha de última actualización: 20/08/2025
    Las instancias de DesignerAuthoring de IBM App Connect Enterprise Certified Container 8.1, 8.2, 9.0, 9.1, 9.2, 10.0, 10.1, 11.0, 11.1, 11.2, 11.3, 11.4, 11.5, 11.6, 12.0, 12.1, 12.2, 12.3, 12.4, 12.5, 12.6, 12.7, 12.8, 12.9 y 12.10 almacenan sus flujos en una base de datos que está protegida por algoritmos criptográficos más débiles de lo esperado que podrían ser descifrados por un usuario local.
  • Vulnerabilidad en IBM 4769 Developers Toolkit (CVE-2025-3632)
    Severidad: ALTA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 20/08/2025
    IBM 4769 Developers Toolkit 7.0.0 a 7.5.52 podría permitir que un atacante remoto provoque una denegación de servicio en el módulo de seguridad de hardware (HSM) debido a una asignación de memoria incorrecta de un tamaño excesivo.
  • Vulnerabilidad en Intelbras InControl 2.21.60.9 (CVE-2025-6765)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2025
    Fecha de última actualización: 20/08/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en Intelbras InControl 2.21.60.9. Este problema afecta a un procesamiento desconocido del archivo /v1/operador/ del componente HTTP PUT Request Handler. La manipulación genera problemas de permisos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Microweber CMS (CVE-2025-34076)
    Severidad: MEDIA
    Fecha de publicación: 02/07/2025
    Fecha de última actualización: 20/08/2025
    Existe una vulnerabilidad de inclusión de archivos locales autenticados en las versiones de Microweber CMS anteriores a la 1.2.11 debido al uso indebido de la API de gestión de copias de seguridad. Los usuarios autenticados pueden abusar de los endpoints /api/BackupV2/upload y /api/BackupV2/download para leer archivos arbitrarios del sistema de archivos subyacente. Al especificar una ruta de archivo absoluta en el parámetro src de la solicitud de carga, el servidor puede reubicar o eliminar el archivo de destino según los privilegios del usuario del servicio web. El endpoint de descarga correspondiente puede utilizarse para recuperar el contenido del archivo, lo que permite la divulgación local de archivos. Este comportamiento se debe a una validación insuficiente de las rutas proporcionadas por el usuario y a restricciones inadecuadas en el acceso a los archivos y la lógica de las copias de seguridad.
  • Vulnerabilidad en Intelbras InControl (CVE-2025-7061)
    Severidad: MEDIA
    Fecha de publicación: 04/07/2025
    Fecha de última actualización: 20/08/2025
    Se encontró una vulnerabilidad en Intelbras InControl hasta la versión 2.21.60.9. Se ha declarado problemática. Esta vulnerabilidad afecta al código desconocido del archivo /v1/operador/. La manipulación provoca la inyección de CSV. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.