Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en Media Streaming (CVE-2023-47220)
  Severidad: MEDIA
  Fecha de publicación: 03/05/2024
  Fecha de última actualización: 08/12/2025
  Se ha informado que una vulnerabilidad de inyección de comandos del sistema operativo afecta al complemento Media Streaming. Si se explota, la vulnerabilidad podría permitir a los administradores autenticados ejecutar comandos a través de una red. Ya hemos solucionado la vulnerabilidad en la siguiente versión: complemento Media Streaming 500.1.1.5 (2024/01/22) y posteriores
  
• Vulnerabilidad en Kubernetes Image Builder (CVE-2024-9486)
  Severidad: CRÍTICA
  Fecha de publicación: 15/10/2024
  Fecha de última actualización: 08/12/2025
  Se descubrió un problema de seguridad en las versiones de Kubernetes Image Builder anteriores a la v0.1.37, donde las credenciales predeterminadas se habilitan durante el proceso de creación de imágenes. Las imágenes de máquinas virtuales creadas con el proveedor Proxmox no deshabilitan estas credenciales predeterminadas, y los nodos que usan las imágenes resultantes pueden ser accesibles a través de estas credenciales predeterminadas. Las credenciales se pueden usar para obtener acceso raíz. Los clústeres de Kubernetes solo se ven afectados si sus nodos usan imágenes de máquinas virtuales creadas a través del proyecto Image Builder con su proveedor Proxmox.
  
• Vulnerabilidad en Kubernetes Image Builder (CVE-2024-9594)
  Severidad: MEDIA
  Fecha de publicación: 15/10/2024
  Fecha de última actualización: 08/12/2025
  Se descubrió un problema de seguridad en las versiones de Kubernetes Image Builder <= v0.1.37, donde las credenciales predeterminadas se habilitan durante el proceso de creación de imágenes cuando se utilizan los proveedores Nutanix, OVA, QEMU o raw. Las credenciales se pueden utilizar para obtener acceso raíz. Las credenciales se deshabilitan al finalizar el proceso de creación de imágenes. Los clústeres de Kubernetes solo se ven afectados si sus nodos utilizan imágenes de VM creadas a través del proyecto Image Builder. Debido a que estas imágenes eran vulnerables durante el proceso de creación de imágenes, solo se ven afectadas si un atacante pudo llegar a la VM donde se estaba creando la imagen y utilizó la vulnerabilidad para modificar la imagen en el momento en que se estaba creando la imagen.
  
• Vulnerabilidad en QNAP AI Core (CVE-2024-38647)
  Severidad: ALTA
  Fecha de publicación: 22/11/2024
  Fecha de última actualización: 08/12/2025
  Se ha informado de una vulnerabilidad de exposición de información confidencial que afecta a QNAP AI Core. Si se explota, la vulnerabilidad podría permitir a atacantes remotos comprometer la seguridad del sistema. Ya hemos corregido la vulnerabilidad en la siguiente versión: QNAP AI Core 3.4.1 y posteriores
  
• Vulnerabilidad en QuLog Center (CVE-2024-48862)
  Severidad: ALTA
  Fecha de publicación: 22/11/2024
  Fecha de última actualización: 08/12/2025
  Se ha informado de una vulnerabilidad relacionada con el seguimiento de enlaces que afecta a QuLog Center. Si se explota, la vulnerabilidad podría permitir a atacantes remotos atravesar el sistema de archivos hasta ubicaciones no deseadas y leer o sobrescribir el contenido de archivos inesperados. Ya hemos corregido la vulnerabilidad en las siguientes versiones: QuLog Center 1.7.0.831 (2024/10/15) y posteriores QuLog Center 1.8.0.888 (2024/10/15) y posteriores
  
• Vulnerabilidad en Media Streaming (CVE-2024-50395)
  Severidad: MEDIA
  Fecha de publicación: 22/11/2024
  Fecha de última actualización: 08/12/2025
  Se ha informado de una vulnerabilidad de omisión de autorización mediante clave controlada por el usuario que afecta al complemento Media Streaming. Si se explota, la vulnerabilidad podría permitir a los atacantes de la red local obtener privilegios. Ya hemos corregido la vulnerabilidad en la siguiente versión: complemento Media Streaming 500.1.1.6 (2024/08/02) y posteriores
  
• Vulnerabilidad en QNAP (CVE-2024-50387)
  Severidad: CRÍTICA
  Fecha de publicación: 06/12/2024
  Fecha de última actualización: 08/12/2025
  Se ha informado de una vulnerabilidad de inyección SQL que afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a atacantes remotos inyectar código malicioso. Ya hemos corregido la vulnerabilidad en la siguiente versión: Servicio SMB 4.15.002 y posteriores Servicio SMB h4.15.002 y posteriores
  
• Vulnerabilidad en Motoko (CVE-2024-11991)
  Severidad: MEDIA
  Fecha de publicación: 09/12/2024
  Fecha de última actualización: 08/12/2025
  El recolector de basura incremental de Motoko se ve afectado por un error de acceso a memoria no inicializada, causado por el uso incorrecto de barreras de escritura en algunas ubicaciones. Esta vulnerabilidad podría permitir el acceso de lectura o escritura no autorizado a la memoria de un contenedor. Sin embargo, para explotar este error, es necesario que el contenedor habilite el recolector de basura incremental o la persistencia ortogonal mejorada, que son funciones no predeterminadas en Motoko.
  
• Vulnerabilidad en QVPN Device Client (CVE-2022-27595)
  Severidad: ALTA
  Fecha de publicación: 19/12/2024
  Fecha de última actualización: 08/12/2025
  Se ha informado de una vulnerabilidad de carga de librerías inseguras que afecta a QVPN Device Client. Si se explota, la vulnerabilidad podría permitir que atacantes locales que hayan obtenido acceso de usuario ejecuten código o comandos no autorizados. Ya hemos corregido la vulnerabilidad en las siguientes versiones: QVPN Windows 2.0.0.1316 y posteriores QVPN Windows 2.0.0.1310 y posteriores
  
• Vulnerabilidad en QNAP (CVE-2022-27600)
  Severidad: MEDIA
  Fecha de publicación: 19/12/2024
  Fecha de última actualización: 08/12/2025
  Se ha informado de una vulnerabilidad de consumo de recursos no controlado que afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a atacantes remotos lanzar un ataque de denegación de servicio (DoS). Ya hemos corregido la vulnerabilidad en las siguientes versiones: QTS 5.0.1.2277 y posteriores QTS 4.5.4.2280 compilación 20230112 y posteriores QuTS hero h5.0.1.2277 compilación 20230112 y posteriores QuTS hero h4.5.4.2374 compilación 20230417 y posteriores QuTScloud c5.0.1.2374 y posteriores
  
• Vulnerabilidad en The Document Foundation LibreOffice (CVE-2024-12425)
  Severidad: BAJA
  Fecha de publicación: 07/01/2025
  Fecha de última actualización: 08/12/2025
  La vulnerabilidad de limitación incorrecta de una ruta de acceso a un directorio restringido ('Path Traversal') en The Document Foundation LibreOffice permite un Path Traversal absoluto. Un atacante puede escribir en ubicaciones arbitrarias, aunque tengan el sufijo ".ttf", proporcionando un archivo en un formato que admita archivos de fuentes incrustados. Este problema afecta a LibreOffice: desde la versión 24.8 hasta la versión < 24.8.4.
  
• Vulnerabilidad en The Document Foundation LibreOffice (CVE-2024-12426)
  Severidad: MEDIA
  Fecha de publicación: 07/01/2025
  Fecha de última actualización: 08/12/2025
  Exposición de variables ambientales y valores arbitrarios de archivos INI a una vulnerabilidad de actor no autorizado en The Document Foundation LibreOffice. Se podrían construir URL que expandieran las variables ambientales o los valores de archivos INI, por lo que se podría filtrar información potencialmente confidencial a un servidor remoto al abrir un documento que contenga dichos enlaces. Este problema afecta a LibreOffice: desde la versión 24.8 hasta la versión 24.8.4.
  
• Vulnerabilidad en ageerle ruoyi-ai (CVE-2025-3199)
  Severidad: MEDIA
  Fecha de publicación: 04/04/2025
  Fecha de última actualización: 08/12/2025
  Se encontró una vulnerabilidad en ageerle ruoyi-ai hasta la versión 2.0.1, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo ruoyi-modules/ruoyi-system/src/main/java/org/ruoyi/system/controller/system/SysModelController.java de la interfaz API del componente. La manipulación da lugar a una autorización indebida. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado. Actualizar a la versión 2.0.2 puede solucionar este problema. El parche se llama c0daf641fb25b244591b7a6c3affa35c69d321fe. Se recomienda actualizar el componente afectado.
  
• Vulnerabilidad en fluent-bit v.3.7.2 (CVE-2025-29477)
  Severidad: MEDIA
  Fecha de publicación: 04/04/2025
  Fecha de última actualización: 08/12/2025
  Un problema en fluent-bit v.3.7.2 permite que un atacante local provoque una denegación de servicio a través de la función consume_event.
  
• Vulnerabilidad en fluent-bit v.3.7.2 (CVE-2025-29478)
  Severidad: MEDIA
  Fecha de publicación: 07/04/2025
  Fecha de última actualización: 08/12/2025
  Un problema en fluent-bit v.3.7.2 permite que un atacante local provoque una denegación de servicio a través de cfl_list_size en cfl_list.h:165.
  
• Vulnerabilidad en PgBouncer (CVE-2025-2291)
  Severidad: ALTA
  Fecha de publicación: 16/04/2025
  Fecha de última actualización: 08/12/2025
  La contraseña se puede usar después de su vencimiento en PgBouncer debido a que auth_query no tiene en cuenta el valor VÁLIDO HASTA de Postgres, lo que permite que un atacante inicie sesión con una contraseña ya vencida.
  
• Vulnerabilidad en Pluggabl LLC Booster Plus para WooCommerce (CVE-2025-39446)
  Severidad: ALTA
  Fecha de publicación: 19/05/2025
  Fecha de última actualización: 08/12/2025
  Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Pluggabl LLC Booster Plus para WooCommerce permite XSS reflejado. Este problema afecta a Booster Plus para WooCommerce: desde n/d hasta 7.2.4.
  
• Vulnerabilidad en HUAWEI (CVE-2025-54612)
  Severidad: MEDIA
  Fecha de publicación: 06/08/2025
  Fecha de última actualización: 08/12/2025
  Vulnerabilidad de fallo de iterador en el módulo card management. Impacto: La explotación exitosa de esta vulnerabilidad podría afectar la estabilidad de la función.
  
• Vulnerabilidad en HUAWEI (CVE-2025-54613)
  Severidad: MEDIA
  Fecha de publicación: 06/08/2025
  Fecha de última actualización: 08/12/2025
  Vulnerabilidad de fallo de iterador en el módulo card management. Impacto: La explotación exitosa de esta vulnerabilidad podría afectar la estabilidad de la función.
  
• Vulnerabilidad en HUAWEI (CVE-2025-54621)
  Severidad: MEDIA
  Fecha de publicación: 06/08/2025
  Fecha de última actualización: 08/12/2025
  Problema de fallo del iterador en el módulo WantAgent. Impacto: La explotación exitosa de esta vulnerabilidad puede causar fallos de liberación de memoria.
  
• Vulnerabilidad en HUAWEI (CVE-2025-54626)
  Severidad: MEDIA
  Fecha de publicación: 06/08/2025
  Fecha de última actualización: 08/12/2025
  Vulnerabilidad de puntero colgando en el módulo cjwindow. Impacto: La explotación exitosa de esta vulnerabilidad podría afectar la estabilidad de la función.
  
• Vulnerabilidad en HUAWEI (CVE-2025-54629)
  Severidad: MEDIA
  Fecha de publicación: 06/08/2025
  Fecha de última actualización: 08/12/2025
  Problema de condición de ejecución en el proceso de importación de páginas físicas del módulo memory management. Impacto: La explotación exitosa de esta vulnerabilidad podría afectar la integridad del servicio.
  
• Vulnerabilidad en HUAWEI (CVE-2025-54639)
  Severidad: MEDIA
  Fecha de publicación: 06/08/2025
  Fecha de última actualización: 08/12/2025
  Vulnerabilidad de ParcelMismatch en la deserialización de atributos. Impacto: La explotación exitosa de esta vulnerabilidad puede causar excepciones en la visualización de la pantalla de control de reproducción.
  
• Vulnerabilidad en Samsung Mobile (CVE-2025-21022)
  Severidad: BAJA
  Fecha de publicación: 06/08/2025
  Fecha de última actualización: 08/12/2025
  Un control de acceso inadecuado en Galaxy Wearable anterior a la versión 2.2.63.25042861 permite a atacantes locales acceder a información confidencial.
  
• Vulnerabilidad en EnzoH (CVE-2024-58255)
  Severidad: MEDIA
  Fecha de publicación: 08/08/2025
  Fecha de última actualización: 08/12/2025
  EnzoH presenta una vulnerabilidad de inyección de comandos del sistema operativo. Su explotación exitosa puede provocar la ejecución arbitraria de comandos.
  
• Vulnerabilidad en EnzoH (CVE-2024-58256)
  Severidad: MEDIA
  Fecha de publicación: 08/08/2025
  Fecha de última actualización: 08/12/2025
  EnzoH presenta una vulnerabilidad de inyección de comandos del sistema operativo. Su explotación exitosa puede provocar la ejecución arbitraria de comandos.
  
• Vulnerabilidad en EnzoH (CVE-2024-58257)
  Severidad: MEDIA
  Fecha de publicación: 08/08/2025
  Fecha de última actualización: 08/12/2025
  EnzoH presenta una vulnerabilidad de inyección de comandos del sistema operativo. Su explotación exitosa puede provocar la ejecución arbitraria de comandos.
  
• Vulnerabilidad en bulletphysics bullet3 (CVE-2025-8854)
  Severidad: ALTA
  Fecha de publicación: 11/08/2025
  Fecha de última actualización: 08/12/2025
  El desbordamiento de búfer basado en pila en LoadOFF en bulletphysics bullet3 anterior a 3.26 en todas las plataformas permite a atacantes remotos ejecutar código arbitrario a través de un archivo OFF manipulado con un token inicial demasiado largo procesado por la utilidad de prueba VHACD o invocado indirectamente a través de la función vhacd de PyBullet.
  
• Vulnerabilidad en Pluggabl Booster for WooCommerce woocommerce-jetpack (CVE-2025-64196)
  Severidad: ALTA
  Fecha de publicación: 06/11/2025
  Fecha de última actualización: 08/12/2025
  Vulnerabilidad de Neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-Site Scripting ') en Pluggabl Booster for WooCommerce woocommerce-jetpack permite XSS reflejado. Este problema afecta a Booster for WooCommerce: desde n/a hasta menor igual que 7.2.5.