Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en gpac v2.2.1 (CVE-2024-24267)
    Severidad: ALTA
    Fecha de publicación: 05/02/2024
    Fecha de última actualización: 26/09/2025
    Se descubrió que gpac v2.2.1 contenía una pérdida de memoria a través de la variable gfio_blob en la función gf_fileio_from_blob.
  • Vulnerabilidad en Discourse (CVE-2024-28242)
    Severidad: MEDIA
    Fecha de publicación: 15/03/2024
    Fecha de última actualización: 26/09/2025
    Discourse es una plataforma de código abierto para el debate comunitario. En las versiones afectadas, un atacante puede descubrir que existen categorías secretas cuando tienen fondos configurados. El problema está solucionado en la última versión estable, beta y probada de Discourse. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben eliminar temporalmente los fondos de las categorías.
  • Vulnerabilidad en Zoom Workplace (CVE-2024-27243)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2024
    Fecha de última actualización: 26/09/2025
    El desbordamiento del búfer en algunas aplicaciones y SDK de Zoom Workplace puede permitir que un usuario autenticado lleve a cabo una denegación de servicio a través del acceso a la red.
  • Vulnerabilidad en Discourse (CVE-2024-49765)
    Severidad: MEDIA
    Fecha de publicación: 19/12/2024
    Fecha de última actualización: 26/09/2025
    Discourse es una plataforma de código abierto para debates comunitarios. Los sitios que utilizan Discourse Connect pero que aún tienen habilitados los inicios de sesión locales podrían permitir a los atacantes eludir Discourse Connect para crear cuentas e iniciar sesión. Este problema se solucionó en la última versión de Discourse. Los usuarios que no puedan actualizar y utilicen Discourse Connect pueden deshabilitar todos los demás métodos de inicio de sesión como workaround.
  • Vulnerabilidad en Discourse (CVE-2024-56328)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 26/09/2025
    Discourse es una plataforma de código abierto para debates comunitarios. Un atacante puede ejecutar código JavaScript arbitrario en los navegadores de los usuarios publicando una URL maliciosa de Onebox manipulado. Este problema solo afecta a los sitios con CSP deshabilitado. Este problema se ha corregido en la última versión de Discourse. Se recomienda a los usuarios que actualicen la versión. Los usuarios que no puedan actualizar la versión deben habilitar CSP, deshabilitar los Onebox en línea de forma global o permitir dominios específicos para Oneboxing.
  • Vulnerabilidad en Discourse (CVE-2025-22602)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 26/09/2025
    Discourse es una plataforma de código abierto para debates comunitarios. En las versiones afectadas, un atacante puede ejecutar código JavaScript arbitrario en los navegadores de los usuarios mediante la publicación de un elemento HTML de marcador de posición de vídeo malicioso. Este problema solo afecta a los sitios que tienen CSP deshabilitado. Este problema se ha corregido en la última versión de Discourse. Se recomienda a los usuarios que actualicen la versión. Los usuarios que no puedan actualizar la versión deben habilitar CSP.
  • Vulnerabilidad en Discourse (CVE-2024-53851)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 26/09/2025
    Discourse es una plataforma de código abierto para debates comunitarios. En las versiones afectadas, el endpoint para generar casillas de verificación en línea para URL no imponía límites en la cantidad de URL que aceptaba, lo que permitía a un usuario malintencionado infligir una denegación de servicio en algunas partes de la aplicación. Esta vulnerabilidad solo la pueden explotar los usuarios autenticados. Este problema se ha corregido en las últimas versiones estables, beta y de pruebas aprobadas de Discourse. Se recomienda a los usuarios que actualicen la versión. Los usuarios que no puedan actualizar la versión deben desactivar la configuración del sitio `habilitar casillas de verificación en línea en todos los dominios` y eliminar todas las entradas de la configuración del sitio `dominios de casillas de verificación en línea permitidos`.
  • Vulnerabilidad en Discourse (CVE-2025-46813)
    Severidad: MEDIA
    Fecha de publicación: 05/05/2025
    Fecha de última actualización: 26/09/2025
    Discourse es una plataforma comunitaria de código abierto. Una vulnerabilidad de fuga de datos afecta a los sitios implementados entre los commits 10df7fdee060d44accdee7679d66d778d1136510 y 82d84af6b0efbd9fa2aeec3e91ce7be1a768511b. En los sitios que requieren inicio de sesión, la fuga de datos provocó que parte del contenido de la página principal del sitio fuera visible para usuarios no autenticados. Solo los sitios que requieren inicio de sesión implementados durante este periodo se vieron afectados, aproximadamente entre el 30 de abril de 2025 al mediodía EDT y el 2 de mayo de 2025 al mediodía EDT. Los sitios de la rama estable no se vieron afectados. El contenido privado de la página principal de una instancia podría ser visible para usuarios no autenticados en sitios que requieren inicio de sesión. Las versiones de 3.5.0.beta4 posteriores a la confirmación 82d84af6b0efbd9fa2aeec3e91ce7be1a768511b no son vulnerables al problema. No hay workarounds disponibles. Los sitios deben actualizar a una versión de Discourse no vulnerable.
  • Vulnerabilidad en Discourse (CVE-2025-48062)
    Severidad: ALTA
    Fecha de publicación: 09/06/2025
    Fecha de última actualización: 26/09/2025
    Discourse es una plataforma de discusión de código abierto. En versiones anteriores a la 3.4.4 de la rama `stable`, la 3.5.0.beta5 de la rama `beta` y la 3.5.0.beta6-dev de la rama `tests-passed`, ciertas invitaciones por correo electrónico podían provocar la inyección de HTML en el cuerpo del correo si el título del tema incluía HTML. Esto incluye invitar a alguien (sin cuenta) a un mensaje privado y a un tema con un mensaje personalizado. Este problema se ha corregido en las versiones 3.4.4 de la rama `stable`, la 3.5.0.beta5 de la rama `beta` y la 3.5.0.beta6-dev de la rama `tests-passed`. Esto se puede solucionar sobrescribiendo las plantillas correspondientes sin `{topic_title}`.