Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Checkmk (CVE-2025-32915)
    Severidad: MEDIA
    Fecha de publicación: 22/05/2025
    Fecha de última actualización: 22/08/2025
    Los paquetes descargados por las actualizaciones automáticas del agente de Checkmk en Linux y Solaris tienen permisos incorrectos en Checkmk < 2.4.0p1, < 2.3.0p32, < 2.2.0p42 y <= 2.1.0p49 (EOL). Esto permite que un atacante local acceda a datos confidenciales.
  • Vulnerabilidad en Discourse (CVE-2025-48062)
    Severidad: ALTA
    Fecha de publicación: 09/06/2025
    Fecha de última actualización: 25/08/2025
    Discourse es una plataforma de discusión de código abierto. En versiones anteriores a la 3.4.4 de la rama `stable`, la 3.5.0.beta5 de la rama `beta` y la 3.5.0.beta6-dev de la rama `tests-passed`, ciertas invitaciones por correo electrónico podían provocar la inyección de HTML en el cuerpo del correo si el título del tema incluía HTML. Esto incluye invitar a alguien (sin cuenta) a un mensaje privado y a un tema con un mensaje personalizado. Este problema se ha corregido en las versiones 3.4.4 de la rama `stable`, la 3.5.0.beta5 de la rama `beta` y la 3.5.0.beta6-dev de la rama `tests-passed`. Esto se puede solucionar sobrescribiendo las plantillas correspondientes sin `{topic_title}`.
  • Vulnerabilidad en Discourse (CVE-2025-48954)
    Severidad: ALTA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 25/08/2025
    Discourse es una plataforma de discusión de código abierto. Las versiones anteriores a la 3.5.0.beta6 son vulnerables a ataques de cross-site scripting cuando la política de seguridad de contenido no está habilitada al usar inicios de sesión con redes sociales. La versión 3.5.0.beta6 soluciona el problema. Como solución alternativa, active la política de seguridad de contenido.
  • Vulnerabilidad en Discourse (CVE-2025-49845)
    Severidad: MEDIA
    Fecha de publicación: 25/06/2025
    Fecha de última actualización: 25/08/2025
    Discourse es una plataforma de discusión de código abierto. La visibilidad de las publicaciones con el tipo "whisper" se controla mediante la configuración del sitio "whispers_allowed_groups". Solo los usuarios que pertenecen a los grupos especificados en la configuración del sitio pueden ver las publicaciones con este tipo. Sin embargo, se ha descubierto que los usuarios de versiones anteriores a la 3.4.6 en la rama "stable" y anteriores a la 3.5.0.beta8-dev en la rama "tests-passed" pueden seguir viendo sus propios "whisper" incluso después de perder la visibilidad de las publicaciones con este tipo. Este problema se ha corregido en las versiones 3.4.6 y 3.5.0.beta8-dev. No se conocen soluciones alternativas.