Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Nextcloud Server (CVE-2024-37887)
    Severidad: BAJA
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 02/10/2025
    Nextcloud Server es un sistema de nube personal autohospedado. Los participantes pueden leer las excepciones de recurrencia de los eventos privados del calendario compartido. Se recomienda que Nextcloud Server se actualice a 27.1.10 o 28.0.6 o 29.0.1 y que Nextcloud Enterprise Server se actualice a 27.1.10 o 28.0.6 o 29.0.1.
  • Vulnerabilidad en Cisco ISE (CVE-2024-20443)
    Severidad: MEDIA
    Fecha de publicación: 07/08/2024
    Fecha de última actualización: 02/10/2025
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco ISE podría permitir que un atacante remoto autenticado lleve a cabo un ataque XSS contra un usuario de la interfaz. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por parte de la interfaz de administración basada en web de un sistema afectado. Un atacante podría aprovechar esta vulnerabilidad inyectando código malicioso en páginas específicas de la interfaz. Un exploit exitoso podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Para aprovechar esta vulnerabilidad, el atacante debe tener al menos una cuenta con pocos privilegios en un dispositivo afectado.
  • Vulnerabilidad en Containerd (CVE-2024-40635)
    Severidad: MEDIA
    Fecha de publicación: 17/03/2025
    Fecha de última actualización: 02/10/2025
    Containerd es un entorno de ejecución de contenedores de código abierto. Se detectó un error en containerd anterior a las versiones 1.6.38, 1.7.27 y 2.0.4. Al iniciar contenedores con un usuario definido como `UID:GID` mayor que el entero con signo de 32 bits máximo, se podía producir un desbordamiento, lo que provocaba que el contenedor se ejecutara como root (UID 0). Esto podía causar un comportamiento inesperado en entornos que requieren que los contenedores se ejecuten como un usuario no root. Este error se ha corregido en containerd 1.6.38, 1.7.27 y 2.04. Como workaround, asegúrese de que solo se utilicen imágenes de confianza y de que solo los usuarios de confianza tengan permisos para importar imágenes.
  • Vulnerabilidad en watchOS, macOS Sonoma, tvOS, iPadOS, iOS, macOS Sequoia, visionOS y macOS Ventura (CVE-2025-31239)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 02/10/2025
    Se solucionó un problema de use-after-free mejorando la gestión de memoria. Este problema se solucionó en watchOS 11.5, macOS Sonoma 14.7.6, tvOS 18.5, iPadOS 17.7.7, iOS 18.5 y iPadOS 18.5, macOS Sequoia 15.5, visionOS 2.5 y macOS Ventura 13.7.6. Analizar un archivo puede provocar el cierre inesperado de la aplicación.
  • Vulnerabilidad en Qualcomm, Inc. (CVE-2025-21479)
    Severidad: ALTA
    Fecha de publicación: 03/06/2025
    Fecha de última actualización: 02/10/2025
    Corrupción de memoria debido a la ejecución de comandos no autorizados en el micronodo de la GPU mientras se ejecuta una secuencia específica de comandos.
  • Vulnerabilidad en Zulip (CVE-2025-52559)
    Severidad: MEDIA
    Fecha de publicación: 02/07/2025
    Fecha de última actualización: 02/10/2025
    Zulip es una aplicación de chat en equipo de código abierto. Desde la versión 2.0.0-rc1 hasta la anterior a la 10.4 en Zulip Server, la URL /digest/ de un servidor muestra una vista previa del contenido del resumen semanal por correo electrónico. Esta URL, aunque no el resumen en sí, contiene una vulnerabilidad de cross-site scripting (XSS) tanto en los nombres de los temas como en los de los canales. Este problema se ha solucionado en Zulip Server 10.4. Una solución alternativa consiste en denegar el acceso a /digest/.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-43273)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 02/10/2025
    Se solucionó un problema de permisos con restricciones adicionales en el entorno de pruebas. Este problema se solucionó en macOS Sequoia 15.6. Un proceso en un entorno de pruebas podría eludir las restricciones del entorno de pruebas.