Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Trend Micro Deep Security 20.0 (CVE-2024-55955)
    Severidad: MEDIA
    Fecha de publicación: 31/12/2024
    Fecha de última actualización: 09/09/2025
    Una vulnerabilidad de asignación incorrecta de permisos en los agentes de Trend Micro Deep Security 20.0 entre las versiones 20.0.1-9400 y 20.0.1-23340 podría permitir que un atacante local aumente los privilegios en las instalaciones afectadas. Tenga en cuenta que, para explotar esta vulnerabilidad, un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino.
  • Vulnerabilidad en Illustrator (CVE-2025-21133)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 09/09/2025
    Las versiones 3.0.7 y anteriores de Illustrator para iPad se ven afectadas por una vulnerabilidad de desbordamiento de enteros (Wrap o Wraparound) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Illustrator (CVE-2025-21134)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 09/09/2025
    Las versiones 3.0.7 y anteriores de Illustrator para iPad se ven afectadas por una vulnerabilidad de desbordamiento de enteros (Wrap o Wraparound) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Trend Micro Apex One Data Loss Prevention (CVE-2025-49155)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 09/09/2025
    Una vulnerabilidad en la ruta de búsqueda no controlada en el módulo Trend Micro Apex One Data Loss Prevention podría permitir que un atacante inyecte código malicioso que provoque la ejecución de código arbitrario en las instalaciones afectadas.
  • Vulnerabilidad en Trend Micro Apex One (CVE-2025-49156)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 09/09/2025
    Una vulnerabilidad que sigue un enlace en el motor de análisis de Trend Micro Apex One podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Nota: Para explotar esta vulnerabilidad, un atacante primero debe poder ejecutar código con pocos privilegios en el sistema objetivo.
  • Vulnerabilidad en Trend Micro Apex One (CVE-2025-49157)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 09/09/2025
    Una vulnerabilidad en el motor de limpieza de daños de Trend Micro Apex One podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Nota: Para explotar esta vulnerabilidad, un atacante debe primero ejecutar código con pocos privilegios en el sistema objetivo.
  • Vulnerabilidad en Trend Micro Apex One (CVE-2025-49158)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 09/09/2025
    Una vulnerabilidad de ruta de búsqueda no controlada en el agente de seguridad de Trend Micro Apex One podría permitir que un atacante local aumente los privilegios en las instalaciones afectadas. Nota: Para explotar esta vulnerabilidad, un atacante debe primero ejecutar código con pocos privilegios en el sistema objetivo.
  • Vulnerabilidad en Trend Micro Deep Security 20.0 (CVE-2025-30640)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 09/09/2025
    Una vulnerabilidad que sigue un enlace en los agentes de Trend Micro Deep Security 20.0 podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Nota: Para explotar esta vulnerabilidad, un atacante primero debe poder ejecutar código con pocos privilegios en el sistema objetivo.
  • Vulnerabilidad en Trend Micro Deep Security 20.0 (CVE-2025-30641)
    Severidad: ALTA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 09/09/2025
    Una vulnerabilidad que sigue un enlace en la solución antimalware de los agentes de Trend Micro Deep Security 20.0 podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Nota: Para explotar esta vulnerabilidad, un atacante debe primero ejecutar código con pocos privilegios en el sistema objetivo.
  • Vulnerabilidad en Trend Micro Deep Security 20.0 (CVE-2025-30642)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 09/09/2025
    Una vulnerabilidad que sigue un enlace en los agentes de Trend Micro Deep Security 20.0 podría permitir a un atacante local crear una situación de denegación de servicio (DoS) en las instalaciones afectadas. Nota: Para explotar esta vulnerabilidad, un atacante primero debe poder ejecutar código con privilegios bajos en el sistema objetivo.
  • Vulnerabilidad en O2OA v9.0.3 (CVE-2024-37777)
    Severidad: ALTA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    Se descubrió que O2OA v9.0.3 contiene una vulnerabilidad de ejecución remota de código (RCE) a través de la función mainOutput().
  • Vulnerabilidad en simple-admin-core (CVE-2025-51667)
    Severidad: ALTA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    Se detectó un problema en simple-admin-core v1.2.0 a v1.6.7. La interfaz /sys-api/role/update del sistema simple-admin-core presenta una vulnerabilidad limitada de inyección SQL, que puede provocar una fuga parcial de datos o la interrupción del funcionamiento normal del sistema.
  • Vulnerabilidad en FoxCMS 1.2.6 (CVE-2025-55422)
    Severidad: ALTA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    En FoxCMS 1.2.6, hay una vulnerabilidad de Cross Site Scripting (XSS) reflejado en /index.php/plus.
  • CVE-2025-55582
    Severidad: MEDIA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    El firmware v1.08.01 de D-Link DCS-825L contiene una vulnerabilidad en el script de vigilancia `mydlink-watch-dog.sh`, que genera archivos binarios como `dcp` y `signalc` sin verificar su integridad, autenticidad ni permisos. Un atacante con acceso al sistema de archivos local (mediante acceso físico, modificación del firmware o interfaces de depuración) puede reemplazar estos archivos binarios con payloads maliciosos. El script ejecuta estos archivos binarios como root en un bucle infinito, lo que provoca una escalada persistente de privilegios y la ejecución de código arbitrario. Este problema se ha mitigado en la v1.09.02, pero el producto ha finalizado oficialmente su ciclo de vida y no recibe soporte.
  • Vulnerabilidad en Hyundai Navigation App STD5W.EUR.HMC.230516.afa908d (CVE-2025-55618)
    Severidad: ALTA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    En Hyundai Navigation App STD5W.EUR.HMC.230516.afa908d, un atacante puede inyectar payloads HTML en el campo de nombre de perfil en la aplicación de navegación que luego se procesan.
  • Vulnerabilidad en PCRE2 (CVE-2025-58050)
    Severidad: MEDIA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/09/2025
    La librería PCRE2 es un conjunto de funciones de C que implementan la coincidencia de patrones con expresiones regulares. En la versión 10.45, existe una vulnerabilidad de lectura por desbordamiento de búfer de montón en el motor de coincidencia de expresiones regulares de PCRE2, específicamente en la gestión del verbo (*scs:...) (Scan SubString) al combinarse con (*ACCEPT) en src/pcre2_match.c. Esta vulnerabilidad podría provocar la divulgación de información si los datos fuera de los límites leídos durante la memcmp afectan el resultado final de la coincidencia de forma observable para el atacante. Este problema se ha resuelto en la versión 10.46.