Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • CVE-2022-39366
    Severidad: CRÍTICA
    Fecha de publicación: 28/10/2022
    Fecha de última actualización: 03/12/2025
    DataHub es una plataforma de metadatos de código abierto. Antes de la versión 0.8.45, el `StatelessTokenService` del servicio de metadatos DataHub (GMS) no verifica la firma de los tokens JWT. Esto permite que un atacante se conecte a instancias de DataHub como cualquier usuario si la autenticación de Metadata Services está habilitada. Esta vulnerabilidad se produce porque el `StatelessTokenService` del Metadata Service utiliza el método `parse` de `io.jsonwebtoken.JwtParser`, que no realiza una verificación de la firma del token criptográfico. Esto significa que los JWT se aceptan independientemente del algoritmo utilizado. Este problema puede provocar una omisión de autenticación. La versión 0.8.45 contiene un parche para el problema. No se conocen workarounds.
  • Vulnerabilidad en Node.js/Express (CVE-2024-27298)
    Severidad: CRÍTICA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 03/12/2025
    parse-server es un servidor Parse para Node.js/Express. Esta vulnerabilidad permite la inyección de SQL cuando Parse Server está configurado para utilizar la base de datos PostgreSQL. La vulnerabilidad se solucionó en 6.5.0 y 7.0.0-alpha.20.
  • Vulnerabilidad en ESPHome (CVE-2024-27287)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 03/12/2025
    ESPHome es un sistema para controlar su ESP8266/ESP32 para sistemas de domótica. A partir de la versión 2023.12.9 y antes de la versión 2024.2.2, la edición del archivo de configuración API en el componente del panel de ESPHome versión 2023.12.9 (instalación de línea de comando y complemento Home Assistant) proporciona datos no desinfectados con `Tipo de contenido: texto/ HTML; charset=UTF-8`, lo que permite a un usuario autenticado remoto inyectar secuencias de comandos web arbitrarias y extraer cookies de sesión mediante secuencias de comandos entre sitios. Es posible que un usuario autenticado malicioso inyecte Javascript arbitrario en archivos de configuración mediante una solicitud POST al punto final /edit; el parámetro de configuración permite especificar el archivo a escribir. Para activar la vulnerabilidad XSS, la víctima debe visitar la página ` /edit?configuration=[archivo xss]`. Al abusar de esta vulnerabilidad, un actor malintencionado podría realizar operaciones en el tablero en nombre de un usuario registrado, acceder a información confidencial, crear, editar y eliminar archivos de configuración y actualizar firmware en tableros administrados. Además de esto, las cookies no están protegidas correctamente, lo que permite la filtración de los valores de las cookies de sesión. La versión 2024.2.2 contiene un parche para este problema.
  • Vulnerabilidad en Go-zero (CVE-2024-27302)
    Severidad: CRÍTICA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 03/12/2025
    go-zero es un framework web y rpc. Go-zero permite al usuario especificar un filtro CORS con un parámetro de permisos configurable, que es una serie de dominios permitidos en la política CORS. Sin embargo, `isOriginAllowed` usa `strings.HasSuffix` para verificar el origen, lo que lleva a pasar por alto un dominio malicioso. Esta vulnerabilidad es capaz de romper la política CORS y así permitir que cualquier página realice solicitudes y/o recupere datos en nombre de otros usuarios. La versión 1.4.4 soluciona este problema.
  • Vulnerabilidad en electron-builder (CVE-2024-27303)
    Severidad: ALTA
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 03/12/2025
    electron-builder es una solución para empaquetar y crear una aplicación Electron, Proton Native lista para su distribución para macOS, Windows y Linux. Una vulnerabilidad que solo afecta a eletron-builder anterior a 24.13.2 en Windows, el instalador de NSIS realiza una llamada al sistema para abrir cmd.exe a través de NSExec en el script del instalador `.nsh`. NSExec busca de forma predeterminada el directorio actual donde se encuentra el instalador antes de buscar `PATH`. Esto significa que si un atacante puede colocar un archivo ejecutable malicioso llamado cmd.exe en la misma carpeta que el instalador, el instalador ejecutará el archivo malicioso. La versión 24.13.2 soluciona este problema. No existe ningún workaround. El código se ejecuta en el nivel del instalador antes de que la aplicación esté presente en el sistema, por lo que no hay forma de verificar si existe en un instalador actual.
  • Vulnerabilidad en Yandex Telemost (CVE-2024-12168)
    Severidad: ALTA
    Fecha de publicación: 02/06/2025
    Fecha de última actualización: 03/12/2025
    Yandex Telemost para Desktop anterior a 2.7.0 tiene una vulnerabilidad de secuestro de DLL porque se utiliza una ruta de búsqueda no confiable.
  • Vulnerabilidad en jsnjfz WebStack-Guns 1.0 (CVE-2025-5888)
    Severidad: MEDIA
    Fecha de publicación: 09/06/2025
    Fecha de última actualización: 03/12/2025
    Se encontró una vulnerabilidad en jsnjfz WebStack-Guns 1.0. Se ha declarado problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida. La manipulación provoca cross-site request forgery. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Chanjet CRM 1.0 (CVE-2025-6132)
    Severidad: MEDIA
    Fecha de publicación: 16/06/2025
    Fecha de última actualización: 03/12/2025
    Se ha detectado una vulnerabilidad en Chanjet CRM 1.0, clasificada como crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /sysconfig/departmentsetting.php. La manipulación del argumento gblOrgID provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.