Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en string-math v1.2.2 (CVE-2025-45143)
    Severidad: ALTA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 18/10/2025
    Se descubrió que string-math v1.2.2 contiene una denegación de servicio de expresiones regulares (ReDoS) que se explota a través de una entrada manipulada.
  • Vulnerabilidad en Xinference (CVE-2025-45424)
    Severidad: MEDIA
    Fecha de publicación: 02/07/2025
    Fecha de última actualización: 18/10/2025
    El control de acceso incorrecto en Xinference anterior a v1.4.0 permite a los atacantes acceder a la GUI web sin autenticación.
  • Vulnerabilidad en Quiter Gateway by Quiter (CVE-2025-40715)
    Severidad: CRÍTICA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/10/2025
    Vulnerabilidad de inyección SQL en versiones anteriores a la 4.7.0 de Quiter Gateway by Quiter. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos a través del campo mensaje en /QISClient/api/v1/sucesospaginas.
  • Vulnerabilidad en Quiter Gateway by Quiter (CVE-2025-40716)
    Severidad: CRÍTICA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/10/2025
    Vulnerabilidad de inyección SQL en versiones anteriores a la 4.7.0 de Quiter Gateway by Quiter. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante el mensaje "suceso.contenido" en /QMSCliente/Sucesos.action.
  • Vulnerabilidad en Quiter Gateway de Quiter (CVE-2025-40717)
    Severidad: CRÍTICA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/10/2025
    Vulnerabilidad de inyección SQL en versiones anteriores a la 4.7.0 de Quiter Gateway de Quiter. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos a través del mensaje pagina.filter.categoria en /QuiterGatewayWeb/api/v1/sucesospagina.
  • Vulnerabilidad en Quiter Gateway de Quiter (CVE-2025-40718)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/10/2025
    Vulnerabilidad de gestión de errores incorrecta en versiones anteriores a la 4.7.0 de Quiter Gateway de Quiter. Esta vulnerabilidad permite a un atacante enviar payloads malformados para generar mensajes de error con información confidencial.
  • Vulnerabilidad en Quiter Gateway de Quiter (CVE-2025-40719)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/10/2025
    Vulnerabilidad de Cross-site Scripting (XSS) Reflejado en versiones anteriores a la 4.7.0 de Quiter Gateway de Quiter. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviando una URL maliciosa a través del parámetro id_concesion en /FacturaE/VerFacturaPDF.
  • Vulnerabilidad en Quiter Gateway de Quiter (CVE-2025-40720)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/10/2025
    Vulnerabilidad de Cross-site Scripting (XSS) Reflejado en versiones anteriores a la 4.7.0 de Quiter Gateway de Quiter. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviando una URL maliciosa a través del parámetro campo en /FacturaE/VerFacturaPDF.
  • Vulnerabilidad en Quiter Gateway de Quiter (CVE-2025-40721)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 18/10/2025
    Vulnerabilidad de Cross-site Scripting (XSS) Reflejado en versiones anteriores a la 4.7.0 de Quiter Gateway de Quiter. Esta vulnerabilidad permite a un atacante ejecutar código JavaScript en el navegador de la víctima enviando una URL maliciosa a través del parámetro id_factura en /FacturaE/listado_facturas_ficha.jsp.
  • Vulnerabilidad en iperf (CVE-2025-54350)
    Severidad: BAJA
    Fecha de publicación: 03/08/2025
    Fecha de última actualización: 17/10/2025
    En iperf anterior a 3.19.1, iperf_auth.c tiene una falla de afirmación Base64Decode y la aplicación sale tras un intento de autenticación mal formado.
  • Vulnerabilidad en iperf (CVE-2025-54351)
    Severidad: ALTA
    Fecha de publicación: 03/08/2025
    Fecha de última actualización: 17/10/2025
    En iperf anterior a 3.19.1, net.c tiene un desbordamiento de búfer cuando se usa --skip-rx-copy (para MSG_TRUNC en recv).