Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Kohya_ss (CVE-2024-32023)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 08/09/2025
    Kohya_ss es una GUI para los entrenadores Stable Diffusion de Kohya. Kohya_ss es vulnerable a una inyección de ruta en la función `common_gui.py` `find_and_replace`. Esta vulnerabilidad se solucionó en 23.1.5.
  • Vulnerabilidad en Kohya_ss (CVE-2024-32024)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 08/09/2025
    Kohya_ss es una GUI para los entrenadores Stable Diffusion de Kohya. Kohya_ss es vulnerable a una inyección de ruta en la función `common_gui.py` `add_pre_postfix`. Esta vulnerabilidad se solucionó en 23.1.5.
  • Vulnerabilidad en Kohya_ss (CVE-2024-32025)
    Severidad: CRÍTICA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 08/09/2025
    Kohya_ss es una GUI para los entrenadores Stable Diffusion de Kohya. Kohya_ss es vulnerable a una inyección de comando en `group_images_gui.py`. Esta vulnerabilidad se solucionó en 23.1.5.
  • Vulnerabilidad en Kohya_ss (CVE-2024-32026)
    Severidad: CRÍTICA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 08/09/2025
    Kohya_ss es una GUI para los entrenadores Stable Diffusion de Kohya. Kohya_ss es vulnerable a una inyección de comando en `git_caption_gui.py`. Esta vulnerabilidad se solucionó en 23.1.5.
  • Vulnerabilidad en KaTeX (CVE-2025-23207)
    Severidad: MEDIA
    Fecha de publicación: 17/01/2025
    Fecha de última actualización: 08/09/2025
    KaTeX es una Librería de JavaScript rápida y fácil de usar para la representación matemática de TeX en la web. Los usuarios de KaTeX que representen expresiones matemáticas no confiables con `renderToString` podrían encontrarse con entradas maliciosas utilizando `\htmlData` que ejecutan JavaScript arbitrario o generan HTML no válido. Se recomienda a los usuarios que actualicen a KaTeX v0.16.21 para eliminar esta vulnerabilidad. Los usuarios que no puedan actualizar deben evitar el uso de la opción `trust` o desactivarla, o configurarla para prohibir los comandos `\htmlData`, prohibir las entradas que contengan la subcadena `"\\htmlData"` y la salida HTML Desinfectar de KaTeX.
  • Vulnerabilidad en Nextcloud Desktop (CVE-2025-47792)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 08/09/2025
    Nextcloud Desktop es el cliente de sincronización de escritorios de Nextcloud. En versiones de Nextcloud Desktop anteriores a la 3.15, las aplicaciones de terceros ya instaladas en el equipo del usuario pueden crear enlaces compartidos para casi todos los datos mediante la API de socket. Estos enlaces compartidos pueden enviarse fácilmente a un servicio externo. Nextcloud Desktop soluciona el problema en la versión 3.15. No se conocen workarounds.
  • Vulnerabilidad en Nextcloud Server (CVE-2025-47793)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 08/09/2025
    Nextcloud Server es un sistema de nube personal autoalojado, y la aplicación Nextcloud Groupfolders proporciona carpetas configuradas por el administrador y compartidas por todos los miembros de un grupo o equipo. En Nextcloud Server anteriores a las versiones 30.0.2, 29.0.9 y 28.0.1, Nextcloud Enterprise Server anteriores a las versiones 30.0.2 y 29.0.9, y la aplicación Nextcloud Groupfolders anteriores a las versiones 18.0.3, 17.0.5 y 16.0.11, la ausencia de comprobación de cuota para los adjuntos permitía a los usuarios conectados subir archivos que excedían la cuota de la carpeta de grupo. Las versiones 30.0.2 y 29.0.9 de Nextcloud Server, Nextcloud Enterprise Server 30.0.2, 29.0.9 o 28.0.12, y la aplicación Nextcloud Groupfolders 18.0.3, 17.0.5 y 16.0.11 solucionan el problema. No se conocen workarounds.
  • Vulnerabilidad en Jupyter Core (CVE-2025-30167)
    Severidad: ALTA
    Fecha de publicación: 03/06/2025
    Fecha de última actualización: 08/09/2025
    Jupyter Core es un paquete para la funcionalidad principal común de los proyectos de Jupyter. Al usar Jupyter Core antes de la versión 5.8.0 en Windows, se buscan archivos de configuración (`SYSTEM_CONFIG_PATH` y `SYSTEM_JUPYTER_PATH`) en el directorio compartido `%PROGRAMDATA%`, lo que puede permitir que los usuarios creen archivos de configuración que afecten a otros usuarios. Solo se ven afectados los sistemas Windows compartidos con varios usuarios y `%PROGRAMDATA%` sin protección. Los usuarios deben actualizar a Jupyter Core versión 5.8.0 o posterior para recibir un parche. Hay otras mitigaciones disponibles. Como administrador, modifique los permisos del directorio `%PROGRAMDATA%` para que usuarios no autorizados no puedan escribir en él; o como administrador, cree el directorio `%PROGRAMDATA%\jupyter` con los permisos restrictivos adecuados. o como usuario o administrador, configure la variable de entorno `%PROGRAMDATA%` en un directorio con permisos restrictivos apropiados (por ejemplo, controlado por administradores _o_ el usuario actual).
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2025-47865)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una vulnerabilidad de inclusión de archivos locales en un widget de Trend Micro Apex Central anterior a la versión 8.0.6955 podría permitir que un atacante obtenga ejecución remota de código en las instalaciones afectadas.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2025-47866)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una vulnerabilidad de carga de archivos sin restricciones en un widget de Trend Micro Apex Central anterior a la versión 8.0.6955 podría permitir que un atacante cargue archivos arbitrarios en las instalaciones afectadas.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2025-47867)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una vulnerabilidad de inclusión de archivos locales en un widget de Trend Micro Apex Central en versiones anteriores a 8.0.6955 podría permitir que un atacante incluya archivos arbitrarios para ejecutarlos como código PHP y provocar la ejecución remota de código en las instalaciones afectadas.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2025-49219)
    Severidad: CRÍTICA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una operación de deserialización insegura en Trend Micro Apex Central (versiones anteriores a la 8.0.7007) podría provocar la ejecución remota de código antes de la autenticación en las instalaciones afectadas. Tenga en cuenta que esta vulnerabilidad es similar a CVE-2025-49220, pero se presenta con un método diferente.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2025-49220)
    Severidad: CRÍTICA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una operación de deserialización insegura en Trend Micro Apex Central (versión anterior a la 8.0.7007) podría provocar la ejecución remota de código antes de la autenticación en las instalaciones afectadas. Tenga en cuenta que esta vulnerabilidad es similar a CVE-2025-49219, pero se presenta con un método diferente.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2025-30678)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una vulnerabilidad de Server-side Request Forgery (SSRF) en el componente modTMSM de Trend Micro Apex Central (local) podría permitir que un atacante manipule ciertos parámetros, lo que lleva a la divulgación de información en las instalaciones afectadas.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2025-30679)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una vulnerabilidad de Server-side Request Forgery (SSRF) en el componente modOSCE de Trend Micro Apex Central (local) podría permitir que un atacante manipule ciertos parámetros, lo que lleva a la divulgación de información en las instalaciones afectadas.
  • Vulnerabilidad en Trend Micro Apex Central (CVE-2025-30680)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una vulnerabilidad de Server-side Request Forgery (SSRF) en Trend Micro Apex Central (SaaS) podría permitir a un atacante manipular ciertos parámetros, lo que podría provocar la divulgación de información en las instalaciones afectadas. Nota: Esta vulnerabilidad solo afecta a la instancia SaaS de Apex Central; los clientes que aplican automáticamente las actualizaciones de mantenimiento mensuales de Trend Micro a la instancia SaaS no tienen que realizar ninguna acción adicional.
  • Vulnerabilidad en Trend Micro Endpoint Encryption PolicyServer (CVE-2025-49211)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una vulnerabilidad de inyección SQL en Trend Micro Endpoint Encryption PolicyServer podría permitir a un atacante escalar privilegios en las instalaciones afectadas. Nota: Para explotar esta vulnerabilidad, un atacante debe primero ejecutar código con pocos privilegios en el sistema objetivo.
  • Vulnerabilidad en Trend Micro Endpoint Encryption PolicyServer (CVE-2025-49212)
    Severidad: CRÍTICA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una operación de deserialización insegura en Trend Micro Endpoint Encryption PolicyServer podría provocar la ejecución remota de código antes de la autenticación en las instalaciones afectadas. Tenga en cuenta que esta vulnerabilidad es similar a CVE-2025-49220, pero se presenta con un método diferente.
  • Vulnerabilidad en Trend Micro Endpoint Encryption PolicyServer (CVE-2025-49213)
    Severidad: CRÍTICA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una operación de deserialización insegura en Trend Micro Endpoint Encryption PolicyServer podría provocar la ejecución remota de código antes de la autenticación en las instalaciones afectadas. Tenga en cuenta que esta vulnerabilidad es similar a CVE-2025-49212, pero se presenta con un método diferente.
  • Vulnerabilidad en Trend Micro Endpoint Encryption PolicyServer (CVE-2025-49214)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una operación de deserialización insegura en Trend Micro Endpoint Encryption PolicyServer podría provocar la ejecución remota de código posterior a la autenticación en las instalaciones afectadas. Nota: Para explotar esta vulnerabilidad, un atacante debe primero ejecutar código con privilegios bajos en el sistema objetivo.
  • Vulnerabilidad en Trend Micro Endpoint Encryption PolicyServer (CVE-2025-49215)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una vulnerabilidad de inyección SQL posterior a la autenticación en Trend Micro Endpoint Encryption PolicyServer podría permitir a un atacante escalar privilegios en las instalaciones afectadas. Nota: Para explotar esta vulnerabilidad, un atacante debe primero ejecutar código con pocos privilegios en el sistema objetivo.
  • Vulnerabilidad en Trend Micro Endpoint Encryption PolicyServer (CVE-2025-49216)
    Severidad: CRÍTICA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una vulnerabilidad de omisión de autenticación en Trend Micro Endpoint Encryption PolicyServer podría permitir que un atacante acceda a métodos clave como usuario administrador y modifique las configuraciones del producto en las instalaciones afectadas.
  • Vulnerabilidad en Trend Micro Endpoint Encryption PolicyServer (CVE-2025-49217)
    Severidad: CRÍTICA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una operación de deserialización insegura en Trend Micro Endpoint Encryption PolicyServer podría provocar la ejecución remota de código antes de la autenticación en las instalaciones afectadas. Tenga en cuenta que esta vulnerabilidad es similar a CVE-2025-49213, pero se presenta con un método diferente.
  • Vulnerabilidad en Trend Micro Endpoint Encryption PolicyServer (CVE-2025-49218)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/09/2025
    Una vulnerabilidad de inyección SQL posterior a la autenticación en Trend Micro Endpoint Encryption PolicyServer podría permitir a un atacante escalar privilegios en las instalaciones afectadas. Esto es similar, pero no idéntico, a CVE-2025-49215. Nota: Para explotar esta vulnerabilidad, un atacante primero debe poder ejecutar código con pocos privilegios en el sistema objetivo.