Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Check Point ZoneAlarm Extreme Security NextGen, Identity Agent para Windows y Identity Agent para Windows Terminal Server (CVE-2024-24910)
    Severidad: ALTA
    Fecha de publicación: 18/04/2024
    Fecha de última actualización: 15/01/2026
    Un atacante local puede escalar privilegios en Check Point ZoneAlarm Extreme Security NextGen, Identity Agent para Windows y Identity Agent para Windows Terminal Server afectados. Para aprovechar esta vulnerabilidad, un atacante primero debe obtener la capacidad de ejecutar código privilegiado local en el sistema de destino.
  • Vulnerabilidad en Check Point ZoneAlarm Extreme Security (CVE-2024-6233)
    Severidad: ALTA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 15/01/2026
    Vulnerabilidad de escalada de privilegios locales en Check Point ZoneAlarm Extreme Security. Esta vulnerabilidad permite a los atacantes locales escalar privilegios en las instalaciones afectadas de Check Point ZoneAlarm Extreme Security. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para explotar esta vulnerabilidad. La falla específica existe dentro del servicio Forensic Recorder. Al crear un enlace simbólico, un atacante puede abusar del servicio para sobrescribir archivos arbitrarios. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de SYSTEM. Era ZDI-CAN-21677.
  • Vulnerabilidad en Seeyon Zhiyuan OA Web Application System 8.1 SP2 (CVE-2025-3999)
    Severidad: MEDIA
    Fecha de publicación: 28/04/2025
    Fecha de última actualización: 15/01/2026
    Se ha detectado una vulnerabilidad clasificada como problemática en Seeyon Zhiyuan OA Web Application System 8.1 SP2. Este problema afecta a un procesamiento desconocido del archivo seeyon\opt\Seeyon\A8\ApacheJetspeed\webapps\seeyon\common\js\addDate\date.jsp del componente URL Parameter Handler. Esta manipulación provoca cross-site scripting. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Seeyon Zhiyuan OA Web Application System 8.1 SP2 (CVE-2025-4000)
    Severidad: MEDIA
    Fecha de publicación: 28/04/2025
    Fecha de última actualización: 15/01/2026
    Se encontró una vulnerabilidad clasificada como problemática en Seeyon Zhiyuan OA Web Application System 8.1 SP2. La vulnerabilidad afecta a una función desconocida del archivo seeyon\opt\Seeyon\A8\ApacheJetspeed\webapps\seeyon\ssoproxy\jsp\ssoproxy.jsp. La manipulación del argumento "Name" provoca ataques de cross-site scripting. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20956)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 15/01/2026
    La exportación incorrecta de componentes de aplicaciones de Android en Configuración en Galaxy Watch antes de la versión 1 de SMR de mayo de 2025 permite que atacantes físicos accedan a la configuración del desarrollador.
  • Vulnerabilidad en Seeyon Zhiyuan OA Web Application System 8.1 SP2 (CVE-2025-4529)
    Severidad: MEDIA
    Fecha de publicación: 11/05/2025
    Fecha de última actualización: 15/01/2026
    Se encontró una vulnerabilidad en Seeyon Zhiyuan OA Web Application System 8.1 SP2. Se ha clasificado como problemática. Se ve afectada la función de descarga del archivo seeyon\opt\Seeyon\A8\ApacheJetspeed\webapps\seeyon\WEB-INF\lib\seeyon-apps-m3.jar!\com\seeyon\apps\m3\core\controller\M3CoreController.class del componente ZIP File Handler. La manipulación del argumento "Name" provoca un path traversal. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Seeyon Zhiyuan OA Web Application System 8.1 SP2 (CVE-2025-4531)
    Severidad: MEDIA
    Fecha de publicación: 11/05/2025
    Fecha de última actualización: 15/01/2026
    Se encontró una vulnerabilidad en Seeyon Zhiyuan OA Web Application System 8.1 SP2. Se ha clasificado como crítica. Este problema afecta a la función postData del archivo ROOT\WEB-INF\classes\com\ours\www\ehr\salary\service\data\EhrSalaryPayrollServiceImpl.class del componente Beetl Template Handler. La manipulación del argumento payrollId provoca la inyección de código. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en VAPIX Device Configuration (CVE-2025-0324)
    Severidad: CRÍTICA
    Fecha de publicación: 02/06/2025
    Fecha de última actualización: 15/01/2026
    El framework de VAPIX Device Configuration permitió una escalada de privilegios, haciendo posible que un usuario con menores privilegios obtuviera permisos de administrador.
  • Vulnerabilidad en CPython (CVE-2025-13837)
    Severidad: BAJA
    Fecha de publicación: 01/12/2025
    Fecha de última actualización: 15/01/2026
    Al cargar un archivo plist, el módulo plistlib lee datos en un tamaño especificado por el propio archivo, lo que significa que un archivo malicioso puede causar problemas de OOM y DoS.