Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Microsoft Business Central (CVE-2022-41066)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2022
    Fecha de última actualización: 25/08/2025
    Vulnerabilidad de divulgación de información de Microsoft Business Central
  • Vulnerabilidad en Advanced Flamingo (CVE-2023-52226)
    Severidad: MEDIA
    Fecha de publicación: 28/02/2024
    Fecha de última actualización: 25/08/2025
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Advanced Flamingo. Este problema afecta a Advanced Flamingo: desde n/a hasta 1.0.
  • Vulnerabilidad en Devolutions Remote Desktop Manager (CVE-2024-2403)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2024
    Fecha de última actualización: 25/08/2025
    La limpieza inadecuada en el componente de manejo de archivos temporales en Devolutions Remote Desktop Manager 2024.1.12 y versiones anteriores en Windows permite que un atacante que comprometió el endpoint de un usuario, bajo circunstancias específicas, acceda a información confidencial a través de archivos residuales en el directorio temporal.
  • Vulnerabilidad en Ashlar-Vellum Cobalt (CVE-2023-42105)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 25/08/2025
    Vulnerabilidad de ejecución remota de código de confusión de tipo de análisis de archivos Ashlar-Vellum Cobalt AR. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Ashlar-Vellum Cobalt. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos AR. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede dar lugar a una condición de confusión de tipos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-20562.
  • Vulnerabilidad en GeoServer (CVE-2024-36401)
    Severidad: CRÍTICA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 25/08/2025
    GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. Antes de las versiones 2.23.6, 2.24.4 y 2.25.2, varios parámetros de solicitud de OGC permitían la ejecución remota de código (RCE) por parte de usuarios no autenticados a través de entradas especialmente diseñadas en una instalación predeterminada de GeoServer debido a la evaluación insegura de nombres de propiedades como expresiones XPath. La API de la librería GeoTools a la que llama GeoServer evalúa los nombres de propiedades/atributos para tipos de entidades de una manera que los pasa de manera insegura a la librería commons-jxpath, que puede ejecutar código arbitrario al evaluar expresiones XPath. Esta evaluación XPath está destinada a ser utilizada únicamente por tipos de funciones complejas (es decir, almacenes de datos de esquemas de aplicación), pero también se aplica incorrectamente a tipos de funciones simples, lo que hace que esta vulnerabilidad se aplique a **TODAS** las instancias de GeoServer. No se proporciona ninguna PoC pública, pero se ha confirmado que esta vulnerabilidad es explotable a través de solicitudes WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic y WPS Execute. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario. Las versiones 2.23.6, 2.24.4 y 2.25.2 contienen un parche para el problema. Existe una workaround eliminando el archivo `gt-complex-xyjar` del GeoServer donde `xy` es la versión de GeoTools (por ejemplo, `gt-complex-31.1.jar` si ejecuta GeoServer 2.25.1). Esto eliminará el código vulnerable de GeoServer, pero puede interrumpir algunas funciones de GeoServer o evitar que GeoServer se implemente si se necesita el módulo gt-complex.
  • Vulnerabilidad en Citizen (CVE-2024-47536)
    Severidad: MEDIA
    Fecha de publicación: 30/09/2024
    Fecha de última actualización: 25/08/2025
    Citizen es una interfaz de MediaWiki que hace que las extensiones formen parte de la experiencia cohesiva. Un usuario con el derecho editmyprivateinfo o que pueda cambiar su nombre de otra manera puede realizar un XSS a sí mismo configurando su "nombre real" en un payload XSS. Esta vulnerabilidad se corrigió en la versión 2.31.0.
  • Vulnerabilidad en Cisco Firepower Management Center (CVE-2024-20377)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 25/08/2025
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco Firepower Management Center (FMC) podría permitir que un atacante remoto autenticado realice un ataque de cross-site scripting (XSS) almacenado contra un usuario de la interfaz. Esta vulnerabilidad se debe a que la interfaz de administración basada en web no valida correctamente la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que haga clic en un vínculo manipulado. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador.
  • Vulnerabilidad en Microsoft Excel (CVE-2025-21354)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 25/08/2025
    Vulnerabilidad de ejecución remota de código en Microsoft Excel
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21188)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 25/08/2025
    Vulnerabilidad de elevación de privilegios en la extensión de máquina virtual de Azure Network Watcher
  • Vulnerabilidad en Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 (CVE-2025-29361)
    Severidad: ALTA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 25/08/2025
    Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 es vulnerable a un desbordamiento de búfer a través del parámetro de lista en /goform/SetVirtualServerCfg. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante un paquete manipulado.
  • Vulnerabilidad en Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 (CVE-2025-29362)
    Severidad: ALTA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 25/08/2025
    Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 es vulnerable a un desbordamiento de búfer a través del parámetro de lista en /goform/setPptpUserList. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante un paquete manipulado.
  • Vulnerabilidad en Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 (CVE-2025-29363)
    Severidad: ALTA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 25/08/2025
    Tenda RX3 US_RX3V1.0br_V16.03.13.11_multi_TDE01 es vulnerable a un desbordamiento de búfer mediante los parámetros schedStartTime y schedEndTime en /goform/saveParentControlInfo. Esta vulnerabilidad permite a los atacantes causar una denegación de servicio (DoS) mediante un paquete manipulado.
  • Vulnerabilidad en zhijiantianya ruoyi-vue-pro 2.4.1 (CVE-2025-2708)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 25/08/2025
    Se encontró una vulnerabilidad clasificada como crítica en zhijiantianya ruoyi-vue-pro 2.4.1. Esta afecta a una parte desconocida del archivo /admin-api/infra/file/upload del componente Interfaz de Carga de Archivos del Backend. La manipulación de la ruta del argumento provoca un path traversal. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en zhijiantianya ruoyi-vue-pro 2.4.1 (CVE-2025-2743)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 25/08/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en zhijiantianya ruoyi-vue-pro 2.4.1. Este problema afecta a un procesamiento desconocido del archivo /admin-api/mp/material/upload-temporary del componente Material Upload Interface. La manipulación del argumento File provoca un path traversal. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en AutoGPT (CVE-2025-31494)
    Severidad: BAJA
    Fecha de publicación: 15/04/2025
    Fecha de última actualización: 25/08/2025
    AutoGPT es una plataforma que permite a los usuarios crear, implementar y gestionar agentes continuos de inteligencia artificial que automatizan flujos de trabajo complejos. La API WebSocket de la plataforma AutoGPT transmitía actualizaciones de ejecución de nodos a los suscriptores según graph_id+graph_version. Además, no existía ninguna comprobación que impidiera a los usuarios suscribirse con graph_id+graph_version de otro usuario. Como resultado, las actualizaciones de ejecución de nodos de la ejecución gráfica de un usuario podían ser recibidas por otro usuario dentro de la misma instancia. Esta vulnerabilidad no se produce entre diferentes instancias ni entre usuarios y no usuarios de la plataforma. Las instancias de un solo usuario no se ven afectadas. En instancias privadas con una lista blanca de usuarios, el impacto se ve limitado por el hecho de que todos los posibles destinatarios no deseados de estas actualizaciones de ejecución de nodos deben haber sido admitidos por el administrador. Esta vulnerabilidad se corrigió en la versión 0.6.1.
  • Vulnerabilidad en Bandisoft Bandizip (CVE-2025-33027)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2025
    Fecha de última actualización: 25/08/2025
    En Bandisoft Bandizip hasta la versión 7.37, existe una vulnerabilidad de omisión de la marca de la web. Esta vulnerabilidad permite a los atacantes eludir el mecanismo de protección de la marca de la web en las instalaciones afectadas de Bandizip. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en la gestión de archivos comprimidos. Al extraer archivos de un archivo comprimido manipulado con la marca de la web, Bandizip no la propaga a los archivos extraídos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual.
  • Vulnerabilidad en Tenda RX3 16.03.13.11_multi (CVE-2025-4357)
    Severidad: MEDIA
    Fecha de publicación: 06/05/2025
    Fecha de última actualización: 25/08/2025
    Se encontró una vulnerabilidad en Tenda RX3 16.03.13.11_multi. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /goform/telnet. La manipulación provoca la inyección de comandos. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Fortinet, Inc. (CVE-2025-32756)
    Severidad: CRÍTICA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 25/08/2025
    Una vulnerabilidad de desbordamiento de búfer basada en pila [CWE-121] en Fortinet FortiVoice versiones 7.2.0, 7.0.0 a 7.0.6, 6.4.0 a 6.4.10, FortiRecorder versiones 7.2.0 a 7.2.3, 7.0.0 a 7.0.5, 6.4.0 a 6.4.5, FortiMail versiones 7.6.0 a 7.6.2, 7.4.0 a 7.4.4, 7.2.0 a 7.2.7, 7.0.0 a 7.0.8, FortiNDR versiones 7.6.0, 7.4.0 a 7.4.7, 7.2.0 a 7.2.4, 7.0.0 a 7.0.6, FortiCamera versiones 2.1.0 a 2.1.1, 2.1.2 a 2.1.3, 2.1.4 a 2.1.5, 2.1.6 a 2.1.7, 2.1.8 a 2.1.9, 2.1.1 a 2.1.19, 2.1.9 a 2.1.19, 2.1.1 a 2.1.29, 2.1.3 a 2.1.49, 2.1.4 a 2.1.59, 2.1.6 a 2.1.79, 2.1.8 a 2.1.89, 2.1.9 a 2.1.99, 2.1.9 a 2.1.19, 2.1.9 a 2.1.2 ... 2.1.3, 2.0 todas las versiones, 1.1 todas las versiones, permite a un atacante remoto no autenticado ejecutar código o comandos arbitrarios mediante el envío de solicitudes HTTP con cookies hash especialmente manipuladas.
  • Vulnerabilidad en Checkmk (CVE-2025-32915)
    Severidad: MEDIA
    Fecha de publicación: 22/05/2025
    Fecha de última actualización: 22/08/2025
    Los paquetes descargados por las actualizaciones automáticas del agente de Checkmk en Linux y Solaris tienen permisos incorrectos en Checkmk < 2.4.0p1, < 2.3.0p32, < 2.2.0p42 y <= 2.1.0p49 (EOL). Esto permite que un atacante local acceda a datos confidenciales.
  • Vulnerabilidad en libarchive (CVE-2025-5915)
    Severidad: BAJA
    Fecha de publicación: 09/06/2025
    Fecha de última actualización: 25/08/2025
    Se ha identificado una vulnerabilidad en la librería libarchive. Esta falla puede provocar una sobrelectura del búfer de memoria dinámica (heap buffer) debido a que el tamaño de un bloque de filtro puede exceder la ventana Lempel-Ziv-Storer-Schieber (LZSS). Esto significa que la librería podría intentar leer más allá del búfer de memoria asignado, lo que puede provocar un comportamiento impredecible del programa, fallos (denegación de servicio) o la divulgación de información confidencial de regiones de memoria adyacentes.
  • Vulnerabilidad en IBM Integration Bus (CVE-2025-36014)
    Severidad: ALTA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 25/08/2025
    IBM Integration Bus para z/OS 10.1.0.0 a 10.1.0.5 es vulnerable a la inyección de código por parte de un usuario privilegiado con acceso al directorio de instalación de IIB.
  • Vulnerabilidad en LinuxServer.io heimdall 2.6.3-ls307 (CVE-2025-50578)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 25/08/2025
    LinuxServer.io heimdall 2.6.3-ls307 contiene una vulnerabilidad en la gestión de los encabezados HTTP proporcionados por el usuario, específicamente «X-Forwarded-Host» y «Referer». Un atacante remoto no autenticado puede manipular estos encabezados para realizar ataques de inyección de encabezado de host y redirección abierta. Esto permite la carga de recursos externos desde dominios controlados por el atacante y la redirección involuntaria de usuarios, lo que podría facilitar el phishing, la corrección de la interfaz de usuario y el robo de sesión. La vulnerabilidad existe debido a una validación y confianza insuficientes en entradas no confiables, lo que afecta la integridad y la fiabilidad de la aplicación.
  • Vulnerabilidad en Cursor (CVE-2025-54131)
    Severidad: MEDIA
    Fecha de publicación: 01/08/2025
    Fecha de última actualización: 25/08/2025
    Cursor es un editor de código creado para programar con IA. En versiones anteriores a la 1.3, un atacante puede omitir la lista de permitidos en modo de ejecución automática con un acento grave (`) o $(cmd). Si un usuario ha configurado Cursor de su configuración predeterminada (que requiere aprobación para cada llamada de terminal) a una lista de permitidos, un atacante puede ejecutar comandos arbitrarios fuera de la lista de permitidos sin la aprobación del usuario. Un atacante puede activar esta vulnerabilidad si se combina con la inyección indirecta de prompts. Esto se corrige en la versión 1.3.
  • Vulnerabilidad en Cursor (CVE-2025-54132)
    Severidad: MEDIA
    Fecha de publicación: 01/08/2025
    Fecha de última actualización: 25/08/2025
    Cursor es un editor de código creado para programar con IA. En versiones anteriores a la 1.3, Mermaid (utilizado para renderizar diagramas) permite incrustar imágenes que Cursor renderiza en el cuadro de chat. Un atacante puede usar esto para exfiltrar información confidencial a un servidor externo controlado por un atacante mediante la obtención de una imagen tras realizar con éxito una inyección de aviso. Un modelo malicioso (o alucinación/puerta trasera) también podría activar este exploit a voluntad. Este problema requiere la inyección de aviso desde datos maliciosos (web, subida de imágenes, código fuente) para explotarlo. En ese caso, puede enviar información confidencial a un servidor externo controlado por el atacante. Esto se solucionó en la versión 1.3.
  • Vulnerabilidad en Cursor (CVE-2025-54133)
    Severidad: MEDIA
    Fecha de publicación: 02/08/2025
    Fecha de última actualización: 25/08/2025
    Cursor es un editor de código creado para programar con IA. En las versiones 1.17 a 1.2, existe una vulnerabilidad de divulgación de información de la interfaz de usuario en el controlador de enlaces profundos MCP (Protocolo de Contexto de Modelo) de Cursor, que permite a los atacantes ejecutar comandos arbitrarios del sistema con dos clics mediante ataques de ingeniería social. Cuando los usuarios hacen clic en enlaces maliciosos `cursor://anysphere.cursor-deeplink/mcp/install`, el cuadro de diálogo de instalación no muestra los argumentos que se pasan al comando que se está ejecutando. Si un usuario hace clic en un enlace profundo malicioso, examina el cuadro de diálogo de instalación y lo completa, se ejecutará el comando completo, incluidos los argumentos, en el equipo. Esto se ha corregido en la versión 1.3.
  • Vulnerabilidad en AOMEI Cyber Backup (CVE-2025-8610)
    Severidad: CRÍTICA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 25/08/2025
    Vulnerabilidad de ejecución remota de código en funciones críticas por falta de autenticación en AOMEI Cyber Backup. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de AOMEI Cyber Backup. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica se encuentra en el servicio StorageNode, que escucha en el puerto TCP 9075 por defecto. El problema se debe a la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-26156.
  • Vulnerabilidad en CodeAstro Ecommerce Website 1.0 (CVE-2025-9237)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 25/08/2025
    Se encontró una vulnerabilidad en CodeAstro Ecommerce Website 1.0. Esta afecta a una función desconocida del archivo /customer/my_account.php?edit_account del componente Edit Your Account Page. La manipulación del argumento "Username" provoca ataques de cross-site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.