Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en pdfmake (CVE-2022-46161)
    Severidad: CRÍTICA
    Fecha de publicación: 06/12/2022
    Fecha de última actualización: 20/10/2025
    pdfmake es una impresión de PDF del lado cliente/servidor de código abierto en JavaScript puro. En versiones hasta la 0.2.5 incluida, pdfmake contiene una evaluación insegura de la entrada controlada por el usuario. Por lo tanto, los usuarios de pdfmake están sujetos a la ejecución de código arbitrario en el contexto del proceso que ejecuta el código pdfmake. No se conocen soluciones para este problema. Se recomienda a los usuarios que restrinjan el acceso a las entradas de usuarios confiables.
  • Vulnerabilidad en Teldat M1 v11.00.05.50.01 (CVE-2024-36829)
    Severidad: ALTA
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 20/10/2025
    El control de acceso incorrecto en Teldat M1 v11.00.05.50.01 permite a los atacantes obtener información confidencial a través de una cadena de consulta manipulada.
  • Vulnerabilidad en Better Auth (CVE-2024-56734)
    Severidad: ALTA
    Fecha de publicación: 30/12/2024
    Fecha de última actualización: 20/10/2025
    Better Auth es una librería de autenticación para TypeScript. Se ha identificado una vulnerabilidad de redirección abierta en el endpoint de verificación de correo electrónico de todas las versiones de Better Auth anteriores a la v1.1.6, lo que potencialmente permite a los atacantes redirigir a los usuarios a sitios web maliciosos. Este problema afecta a los usuarios que dependen de los enlaces de verificación de correo electrónico generados por la librería. El endpoint de devolución de llamada de verificación de correo electrónico acepta un parámetro `callbackURL`. A diferencia de otros métodos de verificación, la verificación de correo electrónico solo utiliza JWT para verificar y redirigir sin la validación adecuada del dominio de destino. El verificador de origen se omite en este escenario porque solo verifica las solicitudes `POST`. Un atacante puede manipular este parámetro para redirigir a los usuarios a URL arbitrarias controladas por el atacante. La versión 1.1.6 contiene un parche para el problema.
  • Vulnerabilidad en Mermaid (CVE-2025-54880)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 20/10/2025
    Mermaid es una herramienta de diagramación y gráficos basada en JavaScript que utiliza definiciones de texto inspiradas en Markdown y un renderizador para crear y modificar diagramas complejos. En la configuración predeterminada de Mermaid 11.9.0 y versiones anteriores, la información proporcionada por el usuario para los iconos de los diagramas de arquitectura se pasa al método html() de d3, lo que crea un receptor para cross site scripting. Esta vulnerabilidad se corrigió en la versión 11.10.0.