Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en ALSA PCM, Kernel de Linux (CVE-2023-0266)
    Severidad: ALTA
    Fecha de publicación: 30/01/2023
    Fecha de última actualización: 16/09/2025
    Existe una vulnerabilidad de Use-After-Free en el paquete ALSA PCM en el kernel de Linux. A SNDRV_CTL_IOCTL_ELEM_{READ|WRITE}32 le faltan bloqueos que se pueden usar en un Use-After-Free que puede resultar en una escalada de privilegios para obtener acceso al anillo 0 por parte del usuario del sistema. Recomendamos actualizar al commit anterior 56b88b50565cd8b946a2d00b0c83927b7ebb055e
  • Vulnerabilidad en Pandora FMS (CVE-2023-41793)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 16/09/2025
    Vulnerabilidad de Path Traversal en Pandora FMS en todos permite Path Traversal. Esta vulnerabilidad permitía cambiar directorios y crear archivos y descargarlos fuera de los directorios permitidos. Este problema afecta a Pandora FMS: desde 700 hasta <776.
  • Vulnerabilidad en kodbox v.1.52.04 (CVE-2024-51037)
    Severidad: MEDIA
    Fecha de publicación: 15/11/2024
    Fecha de última actualización: 16/09/2025
    Un problema en kodbox v.1.52.04 y anteriores permite que un atacante remoto obtenga información confidencial a través de la función captcha en la función de restablecimiento de contraseña.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-32706)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/09/2025
    La validación de entrada incorrecta en el controlador del sistema de archivos de registro común de Windows permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en WebDAV (CVE-2025-33053)
    Severidad: ALTA
    Fecha de publicación: 10/06/2025
    Fecha de última actualización: 16/09/2025
    El control externo del nombre o ruta del archivo en WebDAV permite que un atacante no autorizado ejecute código a través de una red.
  • Vulnerabilidad en Dromara RuoYi-Vue-Plus 5.4.0 (CVE-2025-6925)
    Severidad: MEDIA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 16/09/2025
    Se ha detectado una vulnerabilidad en Dromara RuoYi-Vue-Plus 5.4.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /src/main/java/org/dromara/demo/controller/MailController.java del componente Mail Handler. La manipulación del argumento filePath provoca un path traversal. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en GNU libopts (CVE-2025-8746)
    Severidad: MEDIA
    Fecha de publicación: 09/08/2025
    Fecha de última actualización: 16/09/2025
    Se encontró una vulnerabilidad clasificada como problemática en GNU libopts hasta la versión 27.6. La función __strstr_sse2 se ve afectada. La manipulación provoca corrupción de memoria. Se requiere acceso local para abordar este ataque. Se ha hecho público el exploit y puede que sea utilizado. Este problema se informó inicialmente al proyecto tcpreplay, pero el responsable del código explica que este "error parece estar en libopts, que es una librería externa". Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
  • Vulnerabilidad en Protected Total WebShield Extension (CVE-2025-8751)
    Severidad: BAJA
    Fecha de publicación: 09/08/2025
    Fecha de última actualización: 16/09/2025
    Se encontró una vulnerabilidad en Protected Total WebShield Extension hasta la versión 3.2.0 de Chrome. Se ha clasificado como problemática. Afecta a una parte desconocida del componente Block Page. La manipulación del argumento Category provoca cross site scripting. El ataque puede ejecutarse en remoto. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en wangzhixuan spring-shiro-training (CVE-2025-8752)
    Severidad: MEDIA
    Fecha de publicación: 09/08/2025
    Fecha de última actualización: 16/09/2025
    Se encontró una vulnerabilidad en wangzhixuan spring-shiro-training hasta 94812c1fd8f7fe796c931f4984ff1aa0671ab562. Se ha declarado crítica. Esta vulnerabilidad afecta a código desconocido del archivo /role/add. La manipulación provoca la inyección de comandos. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza un sistema de entrega continua con versiones continuas. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de las versiones actualizadas.
  • Vulnerabilidad en Dinstar Monitoring Platform ??????????? 1.0 (CVE-2025-8773)
    Severidad: MEDIA
    Fecha de publicación: 09/08/2025
    Fecha de última actualización: 16/09/2025
    Se encontró una vulnerabilidad clasificada como crítica en Dinstar Monitoring Platform ??????????? 1.0. La vulnerabilidad afecta a una función desconocida del archivo /itc/$%7BappPath%7D/login_getPasswordErrorNum.action. La manipulación del argumento userBean.loginName provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en riscv-boom SonicBOOM (CVE-2025-8774)
    Severidad: BAJA
    Fecha de publicación: 09/08/2025
    Fecha de última actualización: 16/09/2025
    Se ha detectado una vulnerabilidad en riscv-boom SonicBOOM hasta la versión 2.2.3, clasificada como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del componente L1 Data Cache Handler. La manipulación provoca una discrepancia de tiempo observable. Se requiere acceso local para abordar este ataque. Es un ataque de complejidad bastante alta. Parece difícil de explotar. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Qiyuesuo Eelectronic Signature Platform (CVE-2025-8775)
    Severidad: MEDIA
    Fecha de publicación: 09/08/2025
    Fecha de última actualización: 16/09/2025
    Se encontró una vulnerabilidad en Qiyuesuo Eelectronic Signature Platform hasta la versión 4.34, clasificada como crítica. Este problema afecta la función "execute" del archivo /api/code/upload del componente "Manejador de Tareas Programadas". La manipulación del argumento "File" permite una carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en oitcode samarium (CVE-2025-8798)
    Severidad: MEDIA
    Fecha de publicación: 10/08/2025
    Fecha de última actualización: 16/09/2025
    Se encontró una vulnerabilidad en oitcode samarium hasta la versión 0.9.6. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /dashboard/product del componente "Crear página de producto". La manipulación permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en xujeff tianti ?? (CVE-2025-8807)
    Severidad: MEDIA
    Fecha de publicación: 10/08/2025
    Fecha de última actualización: 16/09/2025
    Se encontró una vulnerabilidad en xujeff tianti ?? hasta la versión 2.3. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /tianti-module-admin/user/ajax/save. La manipulación provoca la falta de autorización. El ataque puede iniciarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en macOS Sonoma, macOS Ventura, iPadOS, macOS Sequoia y iOS (CVE-2025-43300)
    Severidad: ALTA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 16/09/2025
    Se solucionó un problema de escritura fuera de los límites mejorando la comprobación de los límites. Este problema se solucionó en macOS Sonoma 14.7.8, macOS Ventura 13.7.8, iPadOS 17.7.10, macOS Sequoia 15.6.1, iOS 18.6.2 y iPadOS 18.6.2. Procesar un archivo de imagen malicioso puede provocar daños en la memoria. Apple tiene conocimiento de un informe que indica que este problema podría haber sido explotado en un ataque extremadamente sofisticado contra individuos específicos.