Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en SimpleXML (CVE-2017-1000190)
    Severidad: CRÍTICA
    Fecha de publicación: 17/11/2017
    Fecha de última actualización: 12/09/2025
    SimpleXML (en su última versión 2.7.1) es vulnerable a XEE (XML External Entity) que resulta en SSRF, revelación de información, DoS, etc.
  • Vulnerabilidad en PoDoFo 1.1.0-dev (CVE-2025-9394)
    Severidad: MEDIA
    Fecha de publicación: 24/08/2025
    Fecha de última actualización: 12/09/2025
    Se ha encontrado una falla en PoDoFo 1.1.0-dev. Este problema afecta a la función PdfTokenizer::DetermineDataType del archivo src/podofo/main/PdfTokenizer.cpp del componente PDF Dictionary Parser. La manipulación puede provocar use after free. Es posible lanzar el ataque en el host local. Se ha hecho público el exploit y puede que sea utilizado. Este parche se llama 22d16cb142f293bf956f66a4d399cdd65576d36c. Se debe aplicar un parche para solucionar este problema.
  • Vulnerabilidad en ckolivas lrzip (CVE-2025-9396)
    Severidad: MEDIA
    Fecha de publicación: 24/08/2025
    Fecha de última actualización: 12/09/2025
    Se ha descubierto una falla de seguridad en ckolivas lrzip hasta la versión 0.651. Esta afecta a la función __GI_____strtol_l_internal del archivo strtol_l.c. La manipulación provoca la desreferenciación de puntero nulo. El ataque solo es posible con acceso local. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en jqlang (CVE-2025-9403)
    Severidad: MEDIA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 12/09/2025
    Se detectó una vulnerabilidad en jqlang (hasta la versión 1.6). La función run_jq_tests del archivo jq_test.c del componente JSON Parser se ve afectada. La manipulación puede generar una aserción accesible. El ataque requiere acceso local. Se ha hecho público el exploit y puede que sea utilizado. Otras versiones también podrían verse afectadas.
  • Vulnerabilidad en xuhuisheng lemon (CVE-2025-9406)
    Severidad: MEDIA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 12/09/2025
    Se ha identificado una vulnerabilidad en xuhuisheng lemon hasta la versión 1.13.0. Esta vulnerabilidad afecta a la función uploadImage del archivo CmsArticleController.java del componente com.mossle.cms.web.CmsArticleController.uploadImage. Esta manipulación del argumento Upload provoca una carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Adminer 4.8.1 (CVE-2025-43960)
    Severidad: ALTA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 12/09/2025
    Adminer 4.8.1, al usar Monolog para el registro, permite una denegación de servicio (consumo de memoria) mediante una payload serializada manipulada(p. ej., usando s:1000000000), lo que provoca un problema de inyección de objetos PHP. Atacantes remotos no autenticados pueden desencadenar esto enviando un objeto serializado malicioso, lo que fuerza un uso excesivo de memoria, bloqueando la interfaz de Adminer y provocando un ataque de denegación de servicio (DoS) a nivel de servidor. Si bien el servidor puede recuperarse después de varios minutos, múltiples solicitudes simultáneas pueden provocar un bloqueo completo que requiera intervención manual.
  • Vulnerabilidad en Rebuild v3.7.7 (CVE-2024-46413)
    Severidad: MEDIA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 12/09/2025
    Se descubrió que Rebuild v3.7.7 contenía Server-Side Request Forgery (SSRF) a través del parámetro de tipo en el método com.rebuild.web.admin.rbstore.RBStoreController#loadDataIndex.
  • Vulnerabilidad en kalcaddle kodbox 1.61 (CVE-2025-9414)
    Severidad: MEDIA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 12/09/2025
    Se encontró una vulnerabilidad en kalcaddle kodbox 1.61. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /?explorer/upload/serverDownload del componente "Descargar desde el controlador de enlaces". La manipulación del argumento URL provoca Server-Side Request Forgery. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • CVE-2025-9422
    Severidad: MEDIA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 12/09/2025
    Se encontró una vulnerabilidad en oitcode samarium hasta la versión 0.9.6. Esta afecta a una función desconocida del archivo /dashboard/team del componente Team Image Handler. La manipulación provoca Cross-Site Scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Ruijie WS7204-A (CVE-2025-9424)
    Severidad: MEDIA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 12/09/2025
    Se identificó una vulnerabilidad en Ruijie WS7204-A el 15/06/2017. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /itbox_pi/branch_import.php?a=branch_list. Esta manipulación del argumento "province" provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.