Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en netty incubator codec.bhttp (CVE-2024-40642)
    Severidad: ALTA
    Fecha de publicación: 18/07/2024
    Fecha de última actualización: 09/10/2025
    El netty incubator codec.bhttp es un analizador http binario en lenguaje Java. En las versiones afectadas, la clase `BinaryHttpParser` no valida adecuadamente los valores de entrada, dando así a los atacantes un control casi completo sobre las solicitudes HTTP construidas a partir de la salida analizada. Los atacantes pueden abusar de varios problemas individualmente para realizar diversos ataques de inyección, incluido el contrabando de solicitudes HTTP, ataques de desincronización, inyecciones de encabezados HTTP, envenenamiento de colas de solicitudes, ataques de almacenamiento en caché y Server Side Request Forgery (SSRF). El atacante también podría combinar varios problemas para crear mensajes bien formados para otros protocolos basados en texto, lo que podría dar lugar a ataques más allá del protocolo HTTP. La clase BinaryHttpParser implementa el método readRequestHead que realiza la mayor parte del análisis relevante de la solicitud recibida. La estructura de datos antepone valores con un valor entero de longitud variable. El siguiente código de análisis primero obtiene las longitudes de los valores del número entero de longitud variable con prefijo. Una vez que tiene todas las longitudes y calcula todos los índices, el analizador convierte los sectores aplicables de ByteBuf en String. Finalmente, pasa estos valores a un nuevo objeto `DefaultBinaryHttpRequest` donde no se produce más análisis ni validación. El método está parcialmente validado mientras que otros valores no se validan en absoluto. El software que depende de netty para aplicar la validación de entrada para datos HTTP binarios puede ser vulnerable a varios ataques basados en protocolos e inyecciones. Este problema se solucionó en la versión 0.0.13.Final. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Forescout SecureConnector (CVE-2024-9949)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 09/10/2025
    La denegación de servicio en Forescout SecureConnector 11.1.02.1019 en Windows permite que un usuario sin privilegios corrompa el archivo de configuración y provoque una denegación de servicio en la aplicación.
  • Vulnerabilidad en WCMS 11 (CVE-2025-2978)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 09/10/2025
    Se encontró una vulnerabilidad en WCMS 11. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /index.php?articleadmin/upload/?&CKEditor=container&CKEditorFuncNum=1 del componente Página de Publicación de Artículos. La manipulación del argumento "Upload" permite la carga sin restricciones. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en WCMS 11 (CVE-2025-2979)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 09/10/2025
    Se ha detectado una vulnerabilidad clasificada como problemática en WCMS 11. Esta afecta a una parte desconocida del archivo /index.php?anonymous/setregister del componente Registration. La manipulación del argumento "Username" provoca ataques de cross site scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en EJBCA (CVE-2025-3026)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 09/10/2025
    La vulnerabilidad existe en el servicio EJBCA, versión 8.0 Enterprise. No se ha probado en versiones superiores. Al modificar el encabezado "Host" en una solicitud HTTP, es posible manipular los enlaces generados y, por lo tanto, redirigir al cliente a una URL base diferente. De esta forma, un atacante podría insertar su propio servidor para que el cliente envíe solicitudes HTTP, si logra explotarlo.
  • Vulnerabilidad en EJBCA (CVE-2025-3027)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 09/10/2025
    La vulnerabilidad existe en el servicio EJBCA, versión 8.0 Enterprise. Al realizar un pequeño cambio en la ruta de la URL asociada al servicio, el servidor no encuentra el archivo solicitado y redirige a una página externa. Esta vulnerabilidad podría permitir que los usuarios sean redirigidos a sitios externos potencialmente maliciosos, que pueden explotarse para phishing u otros ataques de ingeniería social.
  • Vulnerabilidad en fcba_zzm ics-park Smart Park Management System 2.1 (CVE-2025-3135)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2025
    Fecha de última actualización: 09/10/2025
    Se encontró una vulnerabilidad clasificada como crítica en fcba_zzm ics-park Smart Park Management System 2.1. Esta vulnerabilidad afecta al código desconocido del archivo /api/system/dept/update. La manipulación provoca una inyección SQL. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en xujiangfei admintwo 1.0 (CVE-2025-3251)
    Severidad: MEDIA
    Fecha de publicación: 04/04/2025
    Fecha de última actualización: 09/10/2025
    Se encontró una vulnerabilidad clasificada como problemática en xujiangfei admintwo 1.0. Esta afecta a una parte desconocida del archivo /user/updateSet. La manipulación del argumento motto provoca ataques de Cross-Site Scripting. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en xujiangfei admintwo 1.0 (CVE-2025-3254)
    Severidad: MEDIA
    Fecha de publicación: 04/04/2025
    Fecha de última actualización: 09/10/2025
    Se encontró una vulnerabilidad en xujiangfei admintwo 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /resource/add. La manipulación de la descripción del argumento provoca server-side request forgery. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en xujiangfei admintwo 1.0 (CVE-2025-3255)
    Severidad: MEDIA
    Fecha de publicación: 04/04/2025
    Fecha de última actualización: 09/10/2025
    Se encontró una vulnerabilidad en xujiangfei admintwo 1.0. Se ha declarado problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /user/home. La manipulación del ID del argumento genera controles de acceso inadecuados. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en xujiangfei admintwo 1.0 (CVE-2025-3256)
    Severidad: MEDIA
    Fecha de publicación: 04/04/2025
    Fecha de última actualización: 09/10/2025
    Se encontró una vulnerabilidad en xujiangfei admintwo 1.0. Se ha clasificado como crítica. Este problema afecta a una funcionalidad desconocida del archivo /user/updateSet. La manipulación del argumento "email" genera controles de acceso inadecuados. El ataque podría ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en xujiangfei admintwo 1.0 (CVE-2025-3257)
    Severidad: MEDIA
    Fecha de publicación: 04/04/2025
    Fecha de última actualización: 09/10/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en xujiangfei admintwo 1.0. Esta afecta a una parte desconocida del archivo /user/updateSet. La manipulación provoca cross-site request forgery. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PSStack::roll de Poppler (CVE-2025-32364)
    Severidad: MEDIA
    Fecha de publicación: 05/04/2025
    Fecha de última actualización: 09/10/2025
    Una excepción de punto flotante en la función PSStack::roll de Poppler anterior a 25.04.0 puede provocar que una aplicación se bloquee al manejar entradas malformadas asociadas con INT_MIN.
  • Vulnerabilidad en Poppler (CVE-2025-32365)
    Severidad: MEDIA
    Fecha de publicación: 05/04/2025
    Fecha de última actualización: 09/10/2025
    Poppler anterior a 25.04.0 permite que los archivos de entrada manipulados activen lecturas fuera de los límites en la función JBIG2Bitmap::combine en JBIG2Stream.cc debido a una verificación isOk mal ubicada.
  • Vulnerabilidad en Ankitects Anki (CVE-2025-43703)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 09/10/2025
    Se descubrió un problema en Ankitects Anki hasta la versión 25.02. Un mazo compartido manipulado puede permitir que un atacante acceda a la API interna (aunque desconozca la clave de API) mediante métodos como scripts o el atributo SRC de un elemento IMG. NOTA: Este problema existe debido a una corrección incompleta de CVE-2024-32484.
  • Vulnerabilidad en M-Files Server (CVE-2025-5964)
    Severidad: ALTA
    Fecha de publicación: 15/06/2025
    Fecha de última actualización: 09/10/2025
    Un problema de path traversal en el endpoint de API en M-Files Server anterior a la versión 25.6.14925.0 permite que un usuario autenticado lea archivos en el servidor.
  • Vulnerabilidad en Customer Support System v1.0 (CVE-2025-40728)
    Severidad: ALTA
    Fecha de publicación: 16/06/2025
    Fecha de última actualización: 09/10/2025
    Vulnerabilidad de inyección SQL en Customer Support System v1.0. Esta vulnerabilidad permite a un atacante autenticado recuperar, crear, actualizar y eliminar bases de datos mediante el parámetro id en el endpoint /customer_support/manage_user.php.
  • Vulnerabilidad en Customer Support System v1.0 (CVE-2025-40729)
    Severidad: MEDIA
    Fecha de publicación: 16/06/2025
    Fecha de última actualización: 09/10/2025
    Cross-Site Scripting (XSS) Reflejado en /customer_support/index.php en Customer Support System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de página.
  • Vulnerabilidad en Das Parking Management System ??????? 6.2.0 (CVE-2025-6118)
    Severidad: MEDIA
    Fecha de publicación: 16/06/2025
    Fecha de última actualización: 09/10/2025
    Se encontró una vulnerabilidad en Das Parking Management System ??????? 6.2.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /vehicle/search de la API del componente. La manipulación del argumento vehicleTypeCode provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Trend Micro Worry-Free Business Security Services (CVE-2025-49487)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 09/10/2025
    Una vulnerabilidad de ruta de búsqueda no controlada en el agente de Trend Micro Worry-Free Business Security Services (WFBSS) podría haber permitido que un atacante con acceso físico a una máquina ejecutara código arbitrario en las instalaciones afectadas. Un atacante debe haber tenido acceso físico al sistema objetivo para explotar esta vulnerabilidad debido a la necesidad de acceder a un componente de hardware específico. Nota: Esta vulnerabilidad solo afectó a la versión cliente SaaS de WFBSS, lo que significa que la versión local de Worry-Free Business Security no se vio afectada. Este problema se solucionó en una actualización de mantenimiento mensual anterior de WFBSS. Por lo tanto, no se requiere ninguna otra acción del cliente para mitigarlo si los agentes de WFBSS se encuentran en el programa de implementación de mantenimiento SaaS regular. Esta divulgación es solo para fines informativos.
  • Vulnerabilidad en zhilink ???(??)?????? ADP Application Developer Platform ??????? (CVE-2025-6267)
    Severidad: MEDIA
    Fecha de publicación: 19/06/2025
    Fecha de última actualización: 09/10/2025
    Se encontró una vulnerabilidad en zhilink ???(??)?????? ADP Application Developer Platform ??????? versión 1.0.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /adpweb/a/base/barcodeDetail/. La manipulación del argumento barcodeNo/barcode/itemNo provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Meshtastic (CVE-2025-52464)
    Severidad: CRÍTICA
    Fecha de publicación: 19/06/2025
    Fecha de última actualización: 09/10/2025
    Meshtastic es una solución de red en malla de código abierto. En versiones desde la 2.5.0 hasta la 2.6.11, el proceso de flasheo de varios proveedores de hardware generaba claves públicas y privadas duplicadas. Además, Meshtastic no inicializaba correctamente el pool de aleatoriedad interno en algunas plataformas, lo que podía provocar la generación de claves de baja entropía. Cuando los usuarios con un par de claves afectado enviaban mensajes directos, estos podían ser capturados y descifrados por un atacante que hubiera compilado la lista de claves comprometidas. Este problema se ha corregido en la versión 2.6.11, donde la generación de claves se retrasa hasta la primera configuración de la región LoRa, además de advertir a los usuarios cuando se detecta una clave comprometida. La versión 2.6.12 amplía esta corrección borrando automáticamente las claves comprometidas conocidas. Una solución alternativa a esta vulnerabilidad consiste en que los usuarios realicen un borrado completo del dispositivo para eliminar las claves clonadas por el proveedor.
  • Vulnerabilidad en qBittorrent 5.1.2 (CVE-2025-54310)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 09/10/2025
    Las versiones anteriores a qBittorrent 5.1.2 no impiden el acceso a un archivo local referenciado en la URL de un enlace. Esto afecta a rsswidget.cpp y searchjobwidget.cpp.
  • Vulnerabilidad en fuyang_lipengjun (CVE-2025-7934)
    Severidad: MEDIA
    Fecha de publicación: 21/07/2025
    Fecha de última actualización: 09/10/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en la plataforma fuyang_lipengjun hasta ca9aceff6902feb7b0b6bf510842aea88430796a. Este problema afecta a la función queryPage del archivo platform-schedule/src/main/java/com/platform/controller/ScheduleJobController.java. La manipulación del argumento beanName provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Este producto no utiliza control de versiones. Por ello, no hay información disponible sobre las versiones afectadas y no afectadas.
  • Vulnerabilidad en Ollama 0.6.7 (CVE-2025-51471)
    Severidad: MEDIA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 09/10/2025
    La exposición de token entre dominios en server.auth.getAuthorizationToken en Ollama 0.6.7 permite a atacantes remotos robar tokens de autenticación y eludir los controles de acceso a través de un valor de reino malicioso en un encabezado WWW-Authenticate devuelto por el endpoint /api/pull.
  • Vulnerabilidad en TransformerOptimus SuperAGI 0.0.14 (CVE-2025-51475)
    Severidad: MEDIA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 09/10/2025
    Sobrescritura arbitraria de archivos (AFO) en superagi.controllers.resources.upload en TransformerOptimus SuperAGI 0.0.14 permite a atacantes remotos sobrescribir archivos arbitrarios a través de nombres de archivos sin depurar enviados al endpoint de carga de archivos, debido al manejo inadecuado del directory traversal en os.path.join() y la falta de validación de ruta en get_root_input_dir().
  • Vulnerabilidad en onyx-dot-app Onyx Enterprise Edition 0.27.0 (CVE-2025-51479)
    Severidad: MEDIA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 09/10/2025
    La omisión de autorización en update_user_group en onyx-dot-app Onyx Enterprise Edition 0.27.0 permite a atacantes autenticados remotos modificar grupos de usuarios arbitrarios a través de solicitudes PATCH manipuladas para el endpoint /api/manage/admin/user-group/id, omitiendo las verificaciones de asignación de grupos de curadores previstas.
  • Vulnerabilidad en RAGFlow 0.17.2 (CVE-2025-51462)
    Severidad: MEDIA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 09/10/2025
    La vulnerabilidad de Cross-site Scripting (XSS) almacenado en api.apps.dialog_app.set_dialog en RAGFlow 0.17.2 permite a atacantes remotos ejecutar JavaScript arbitrario a través de una entrada manipulada para el campo de saludo del asistente, que se almacena sin depurar y se procesa utilizando un componente de rebajas con rehype-raw.
  • Vulnerabilidad en TransformerOptimus SuperAGI 0.0.14 (CVE-2025-51472)
    Severidad: MEDIA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 09/10/2025
    La inyección de código en AgentTemplate.eval_agent_config en TransformerOptimus SuperAGI 0.0.14 permite a atacantes remotos ejecutar código Python arbitrario a través de valores maliciosos en configuraciones de plantillas de agente, como el objetivo, las restricciones o el campo de instrucción, que se evalúan utilizando eval() sin validación durante la carga o actualización de la plantilla.
  • Vulnerabilidad en yt-dlp (CVE-2025-54072)
    Severidad: ALTA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 09/10/2025
    yt-dlp es un descargador de audio y vídeo de línea de comandos con numerosas funciones. En las versiones 2025.06.25 y anteriores, al usar la opción --exec en Windows con el marcador de posición predeterminado (o {}), la ruta de archivo expandida no se depura lo suficiente, lo que permite la ejecución remota de código. Esto evita la mitigación de CVE-2024-22423, donde el marcador de posición predeterminado y {} no estaban cubiertos por las nuevas reglas de escape. Los usuarios de Windows que no puedan actualizar deberían evitar usar --exec. En su lugar, podrían usar las opciones --write-info-json o --dump-json, con un script externo o una línea de comandos que consume la salida JSON. Esto se solucionó en la versión 2025.07.21.
  • Vulnerabilidad en pam-config (CVE-2025-6018)
    Severidad: ALTA
    Fecha de publicación: 23/07/2025
    Fecha de última actualización: 09/10/2025
    Se ha descubierto una vulnerabilidad de Escalada de Privilegios Locales (LPE) en pam-config, dentro de los Módulos de Autenticación Conectables (PAM) de Linux. Esta falla permite a un atacante local sin privilegios (por ejemplo, un usuario conectado por SSH) obtener los privilegios elevados normalmente reservados para un usuario "allow_active" físicamente presente. El mayor riesgo es que el atacante pueda entonces realizar todas las acciones "allow_active yes" de Polkit, que normalmente están restringidas a los usuarios de consola, lo que podría permitirle obtener control no autorizado sobre las configuraciones del sistema, los servicios u otras operaciones sensibles.
  • Vulnerabilidad en fastapi-guard (CVE-2025-54365)
    Severidad: ALTA
    Fecha de publicación: 23/07/2025
    Fecha de última actualización: 09/10/2025
    fastapi-guard es una librería de seguridad para FastAPI que proporciona middleware para controlar IP, registrar solicitudes, detectar intentos de penetración y más. En la versión 3.0.1, la expresión regular parcheada para mitigar la vulnerabilidad ReDoS limitando la longitud de la cadena no detecta las entradas que superan este límite. Este tipo de parche no detecta los casos en los que la cadena que representa los atributos de una etiqueta
  • Vulnerabilidad en InstantCMS (CVE-2013-10051)
    Severidad: CRÍTICA
    Fecha de publicación: 01/08/2025
    Fecha de última actualización: 09/10/2025
    Existe una vulnerabilidad de ejecución remota de código PHP en InstantCMS versión 1.6 y anteriores debido al uso inseguro de eval() en el controlador de la vista de búsqueda. En concreto, la entrada proporcionada por el usuario mediante el parámetro look se concatena en una expresión PHP y se ejecuta sin la debida corrección. Un atacante remoto puede explotar esta vulnerabilidad enviando una solicitud HTTP GET manipulada con un payload codificado en base64 en la cabecera Cmd, lo que provoca la ejecución de código PHP arbitrario en el contexto del servidor web.
  • Vulnerabilidad en Linksys E1700 1.0.0.4.003 (CVE-2025-9525)
    Severidad: ALTA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/10/2025
    Se ha detectado una falla en Linksys E1700 1.0.0.4.003. Esta vulnerabilidad afecta a la función setWan del archivo /goform/setWan. Esta manipulación del argumento DeviceName/lanIp provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Linksys E1700 1.0.0.4.003 (CVE-2025-9526)
    Severidad: ALTA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/10/2025
    Se ha detectado una vulnerabilidad en Linksys E1700 1.0.0.4.003. La función setSysAdm del archivo /goform/setSysAdm se ve afectada. Esta manipulación del argumento rm_port provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Linksys E1700 1.0.0.4.003 (CVE-2025-9527)
    Severidad: ALTA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/10/2025
    Se encontró una vulnerabilidad en Linksys E1700 1.0.0.4.003. Esta afecta a la función QoSSetup del archivo /goform/QoSSetup. La manipulación del argumento ack_policy provoca un desbordamiento del búfer basado en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Linksys E1700 1.0.0.4.003 (CVE-2025-9528)
    Severidad: MEDIA
    Fecha de publicación: 27/08/2025
    Fecha de última actualización: 09/10/2025
    Se detectó una vulnerabilidad en Linksys E1700 1.0.0.4.003. Esta vulnerabilidad afecta a la función systemCommand del archivo /goform/systemCommand. La manipulación del argumento command puede provocar la inyección de comandos del sistema operativo.El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.