Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en ELEXtensions ELEX WordPress HelpDesk & Customer Ticketing System (CVE-2025-47658)
    Severidad: CRÍTICA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 05/12/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipo peligroso en ELEXtensions ELEX WordPress HelpDesk & Customer Ticketing System permite cargar un shell web a un servidor web. Este problema afecta al sistema de soporte técnico y de tickets de clientes de WordPress de ELEX: desde n/d hasta la versión 3.2.7.
  • Vulnerabilidad en easysoft zentaopms 21.5_20250307 (CVE-2025-5114)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 05/12/2025
    Se ha detectado una vulnerabilidad en easysoft zentaopms 21.5_20250307, clasificada como crítica. Esta vulnerabilidad afecta a la función Edit del archivo /index.php?m=editor&f=edit&filePath=cGhhcjovLy9ldGMvcGFzc3dk&action=edit del componente Committer. La manipulación del argumento filePath provoca la deserialización. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Icinga 2 (CVE-2025-48057)
    Severidad: CRÍTICA
    Fecha de publicación: 27/05/2025
    Fecha de última actualización: 05/12/2025
    Icinga 2 es un sistema de monitorización que comprueba la disponibilidad de los recursos de red, notifica a los usuarios sobre interrupciones y genera datos de rendimiento para la generación de informes. En versiones anteriores a las 2.12.12, 2.13.12 y 2.14.6, la función VerifyCertificate() podía ser manipulada para que tratara incorrectamente los certificados como válidos. Esto permite a un atacante enviar una solicitud de certificado maliciosa que se trata como una renovación de un certificado ya existente, lo que permite al atacante obtener un certificado válido que puede usar para suplantar nodos de confianza. Esto solo ocurre cuando Icinga 2 se compila con OpenSSL anterior a la versión 1.1.0. Este problema se ha corregido en las versiones 2.12.12, 2.13.12 y 2.14.6.
  • Vulnerabilidad en Yandex Browser para Desktop (CVE-2023-26226)
    Severidad: ALTA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 05/12/2025
    Existe un problema de corrupción de memoria use after free en Yandex Browser para Desktop anterior a la versión 24.4.0.682
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20994)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2025
    Fecha de última actualización: 04/12/2025
    El manejo inadecuado de permisos insuficientes en SyncClientProvider en Samsung Internet instalado en dispositivos que no son Samsung antes de la versión 28.0.0.59 permite a atacantes locales acceder a archivos arbitrarios de lectura y escritura.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20995)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2025
    Fecha de última actualización: 04/12/2025
    El manejo inadecuado de permisos insuficientes en ClientProvider en Samsung Internet instalado en dispositivos que no son Samsung antes de la versión 28.0.0.59 permite a atacantes locales leer y escribir archivos arbitrarios.
  • Vulnerabilidad en Weblate (CVE-2025-64326)
    Severidad: BAJA
    Fecha de publicación: 06/11/2025
    Fecha de última actualización: 04/12/2025
    Weblate es una herramienta de localización basada en web. En las versiones 5.14 e inferiores, Weblate filtra la dirección IP del miembro del proyecto que invita al usuario al proyecto en el registro de auditoría. El registro de auditoría incluye direcciones IP de acciones iniciadas por administradores, que pueden ser vistas por los usuarios invitados. Este problema está solucionado en la versión 5.14.1.
  • Vulnerabilidad en OctoPrint (CVE-2025-64187)
    Severidad: MEDIA
    Fecha de publicación: 07/11/2025
    Fecha de última actualización: 04/12/2025
    OctoPrint proporciona una interfaz web para controlar impresoras 3D de consumo. Las versiones 1.11.3 e inferiores están afectadas por una vulnerabilidad que permite la inyección de HTML y JavaScript arbitrarios en las notificaciones de comandos de acción y las ventanas emergentes de avisos generadas por la impresora. Un atacante que convenza con éxito a una víctima para imprimir un archivo especialmente diseñado podría explotar este problema para interrumpir impresiones en curso, extraer información (incluida la configuración sensible, si el usuario objetivo tiene los permisos necesarios para ello) o realizar otras acciones en nombre del usuario objetivo dentro de la instancia de OctoPrint. Este problema está solucionado en la versión 1.11.4.