Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Hangzhou Meisoft Information Technology Co., Ltd. Finesoft v.8.0 (CVE-2024-37678)
    Severidad: MEDIA
    Fecha de publicación: 24/06/2024
    Fecha de última actualización: 23/09/2025
    Vulnerabilidad de Cross Site Scripting en Hangzhou Meisoft Information Technology Co., Ltd. Finesoft v.8.0 y anteriores permite a un atacante remoto ejecutar código arbitrario a través de un script manipulado.
  • Vulnerabilidad en pgAdmin (CVE-2024-6238)
    Severidad: ALTA
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 23/09/2025
    pgAdmin <= 8.8 tiene un problema de permiso de directorio de instalación. Debido a este problema, los atacantes pueden obtener acceso no autorizado al directorio de instalación en las plataformas Debian o RHEL 8.
  • Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2024-37404)
    Severidad: ALTA
    Fecha de publicación: 18/10/2024
    Fecha de última actualización: 23/09/2025
    La validación de entrada incorrecta en el portal de administración de Ivanti Connect Secure anterior a 22.7R2.1 y 9.1R18.9, o Ivanti Policy Secure anterior a 22.7R1.1 permite que un atacante autenticado remoto logre la ejecución remota de código.
  • Vulnerabilidad en Validate.js (CVE-2020-26308)
    Severidad: ALTA
    Fecha de publicación: 26/10/2024
    Fecha de última actualización: 23/09/2025
    Validate.js proporciona una forma declarativa de validar objetos de JavaScript. Las versiones 0.13.1 y anteriores contienen una o más expresiones regulares que son vulnerables a la denegación de servicio por expresión regular (ReDoS). Al momento de la publicación, no se conocían parches disponibles.
  • Vulnerabilidad en DOMPurify (CVE-2024-48910)
    Severidad: CRÍTICA
    Fecha de publicación: 31/10/2024
    Fecha de última actualización: 23/09/2025
    DOMPurify es un desinfectante XSS ultrarrápido, ultratolerante y exclusivo de DOM para HTML, MathML y SVG. DOMPurify era vulnerable a la contaminación de prototipos. Esta vulnerabilidad se solucionó en la versión 2.4.2.
  • Vulnerabilidad en gnark (CVE-2024-50354)
    Severidad: MEDIA
    Fecha de publicación: 31/10/2024
    Fecha de última actualización: 23/09/2025
    gnark es una librería zk-SNARK rápida que ofrece una API de alto nivel para diseñar circuitos. En gnark 0.11.0 y versiones anteriores, la deserialización de las claves de verificación Groth16 asigna una cantidad excesiva de memoria, lo que consume muchos recursos y provoca un bloqueo con el error fatal error: runtime: out of memory.
  • Vulnerabilidad en Bruno (CVE-2024-48463)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2024
    Fecha de última actualización: 23/09/2025
    Bruno anterior a 1.29.1 usa Electron shell.openExternal sin validación (de http o https) para abrir ventanas dentro del visor de documentos Markdown.