Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Wind River VxWorks (CVE-2023-51787)
    Severidad: ALTA
    Fecha de publicación: 15/02/2024
    Fecha de última actualización: 13/01/2026
    Se descubrió un problema en Wind River VxWorks 7 22.09 y 23.03. Si se cierra una tarea de VxWorks o un subproceso POSIX que utiliza OpenSSL, la memoria limitada por tarea no se libera, lo que genera una pérdida de memoria.
  • Vulnerabilidad en catchsquare WP Social Widget (CVE-2024-27189)
    Severidad: MEDIA
    Fecha de publicación: 15/03/2024
    Fecha de última actualización: 13/01/2026
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en catchsquare WP Social Widget permite almacenar XSS. Este problema afecta a WP Social Widget: desde n/a hasta 2.2.5.
  • Vulnerabilidad en Django (CVE-2024-28865)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 13/01/2026
    django-wiki es un sistema wiki para Django. Las instalaciones de django-wiki anteriores a la versión 0.10.1 son vulnerables al contenido de artículos creados con fines malintencionados que pueden causar un uso severo de la CPU del servidor a través de un bucle de expresión regular. La versión 0.10.1 soluciona este problema. Como workaround, cierre el acceso para crear y editar artículos a usuarios anónimos.
  • Vulnerabilidad en AXIS OS Bug Bounty (CVE-2024-0055)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 13/01/2026
    Sandro Poppi, miembro del programa AXIS OS Bug Bounty, descubrió que las API de VAPIX mediaclip.cgi y playclip.cgi eran vulnerables a la acumulación de archivos, lo que podría provocar un ataque de agotamiento de recursos. Axis ha lanzado versiones parcheadas del sistema operativo AXIS para la falla resaltada. Consulte el aviso de seguridad de Axis para obtener más información y soluciones.
  • Vulnerabilidad en Xen Project (CVE-2023-46839)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 13/01/2026
    Los dispositivos PCI pueden hacer uso de una funcionalidad llamada funciones fantasma, que cuando está habilitada permite que el dispositivo genere solicitudes utilizando los identificadores de funciones que de otro modo no estarían completas. Esto permite que un dispositivo extienda la cantidad de solicitudes pendientes. Estas funciones fantasma necesitan una configuración de contexto IOMMU, pero no configurar el contexto no es fatal cuando el dispositivo está asignado. No fallar la asignación del dispositivo cuando ocurre tal falla puede provocar que el dispositivo principal se asigne a un invitado, mientras que algunas de las funciones fantasma se asignan a un dominio diferente.
  • Vulnerabilidad en Xen Project (CVE-2023-46840)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 13/01/2026
    La ubicación incorrecta de una directiva de preprocesador en el código fuente da como resultado una lógica que no funciona como se espera cuando el soporte para invitados HVM se compila desde Xen.
  • Vulnerabilidad en InspiryThemes RealHomes (CVE-2023-37885)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2024
    Fecha de última actualización: 13/01/2026
    Vulnerabilidad de autorización faltante en InspiryThemes RealHomes. Este problema afecta a RealHomes: desde n/a hasta 4.0.2.
  • Vulnerabilidad en InspiryThemes RealHomes (CVE-2023-37886)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2024
    Fecha de última actualización: 13/01/2026
    Vulnerabilidad de autorización faltante en InspiryThemes RealHomes. Este problema afecta a RealHomes: desde n/a hasta 4.0.2.
  • Vulnerabilidad en Zyxel VMG8825-T50K (CVE-2024-11253)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 13/01/2026
    Una vulnerabilidad de inyección de comandos posterior a la autenticación en el parámetro "DNSServer" de la función de diagnóstico en la versión de firmware V5.50(ABOM.8.5)C0 y anteriores del Zyxel VMG8825-T50K podría permitir que un atacante autenticado con privilegios de administrador ejecute comandos del sistema operativo (OS) en un dispositivo vulnerable.
  • Vulnerabilidad en Zyxel EX5601-T1 (CVE-2024-12009)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 13/01/2026
    Una vulnerabilidad de inyección de comandos posterior a la autenticación en la función "ZyEE" de la versión de firmware V5.70(ACDZ.3.6)C0 y anteriores del Zyxel EX5601-T1 podría permitir que un atacante autenticado con privilegios de administrador ejecute comandos del sistema operativo (OS) en un dispositivo vulnerable.
  • Vulnerabilidad en Zyxel AX7501-B1 (CVE-2024-12010)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 13/01/2026
    Una vulnerabilidad de inyección de comandos posterior a la autenticación en la función “zyUtilMailSend” de la versión de firmware V5.17(ABPC.5.3)C0 y anteriores del Zyxel AX7501-B1 podría permitir que un atacante autenticado con privilegios de administrador ejecute comandos del sistema operativo (OS) en un dispositivo vulnerable.
  • Vulnerabilidad en catchsquare WP Social Widget (CVE-2025-30610)
    Severidad: MEDIA
    Fecha de publicación: 24/03/2025
    Fecha de última actualización: 13/01/2026
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en catchsquare WP Social Widget permite XSS almacenado. Este problema afecta al widget social de WP desde la versión n/d hasta la 2.2.6.
  • Vulnerabilidad en WPScan (CVE-2025-0717)
    Severidad: BAJA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 13/01/2026
    Para explotar la vulnerabilidad es necesario:
  • Vulnerabilidad en WPScan (CVE-2025-1798)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 13/01/2026
    No depura ni escapa algunos parámetros al mostrarlos en una página, lo que permite que usuarios no autenticados tengan la capacidad de realizar ataques de cross site scripting almacenado.