Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el archivo cyrus.events.php con GET param logs y POST param rp en Artica Proxy (CVE-2021-41739)
    Severidad: CRÍTICA
    Fecha de publicación: 05/05/2022
    Fecha de última actualización: 22/01/2026
    Se ha detectado una vulnerabilidad de inyección de comandos del Sistema Operativo en Artica Proxy versión 4.30.000000. Los atacantes pueden ejecutar comandos OS en el archivo cyrus.events.php con GET param logs y POST param rp
  • Vulnerabilidad en Automattic Jetpack (CVE-2023-47774)
    Severidad: MEDIA
    Fecha de publicación: 24/04/2024
    Fecha de última actualización: 22/01/2026
    La restricción inadecuada de las capas o frameworks de la interfaz de usuario renderizados en Automattic Jetpack permite el Clickjacking. Este problema afecta a Jetpack: desde n/a antes de 12.7.
  • Vulnerabilidad en Jetpack – WP Security, Backup, Speed, & Growth para WordPress (CVE-2024-4392)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 22/01/2026
    El complemento Jetpack – WP Security, Backup, Speed, & Growth para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto wpvideo del complemento en todas las versiones hasta la 13.3.1 incluida debido a una sanitización insuficiente de las entradas y a que la salida se escape en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en API ftptest.cgi de VAPIX (CVE-2024-8160)
    Severidad: BAJA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 22/01/2026
    Erik de Jong, miembro del programa Bug Bounty de AXIS OS, ha descubierto que la API ftptest.cgi de VAPIX no tenía una validación de entrada suficiente que permitiera una posible inyección de comandos que permitiera transferir archivos desde/hacia el dispositivo Axis. Esta falla solo se puede explotar después de autenticarse con una cuenta de servicio con privilegios de administrador. Axis ha publicado versiones parcheadas de AXIS OS para la falla resaltada. Consulte el aviso de seguridad de Axis para obtener más información y soluciones.
  • Vulnerabilidad en Dell PowerFlex (CVE-2024-37143)
    Severidad: CRÍTICA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 22/01/2026
    Las versiones del dispositivo Dell PowerFlex anteriores a IC 46.381.00 e IC 46.376.00, las versiones de bastidor de Dell PowerFlex anteriores a RCM 3.8.1.0 (para el tren RCM 3.8.x) y anteriores a RCM 3.7.6.0 (para el tren RCM 3.7.x), el nodo personalizado de Dell PowerFlex que utiliza versiones de PowerFlex Manager anteriores a 4.6.1.0, las versiones de Dell InsightIQ anteriores a 5.1.1 y las versiones de Dell Data Lakehouse anteriores a 1.2.0.0 contienen una vulnerabilidad de resolución de vínculo incorrecta antes del acceso a archivos. Un atacante no autenticado con acceso remoto podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema.
  • Vulnerabilidad en Dell PowerFlex (CVE-2024-37144)
    Severidad: ALTA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 22/01/2026
    Las versiones del dispositivo Dell PowerFlex anteriores a IC 46.381.00 e IC 46.376.00, las versiones del rack Dell PowerFlex anteriores a RCM 3.8.1.0 (para el tren RCM 3.8.x) y anteriores a RCM 3.7.6.0 (para el tren RCM 3.7.x), el nodo personalizado Dell PowerFlex que utiliza versiones de PowerFlex Manager anteriores a 4.6.1.0, las versiones de Dell InsightIQ anteriores a 5.1.1 y las versiones de Dell Data Lakehouse anteriores a 1.2.0.0 contienen una vulnerabilidad de almacenamiento inseguro de información confidencial. Un atacante con privilegios elevados y acceso local podría explotar esta vulnerabilidad, lo que provocaría la divulgación de información. El atacante podría utilizar la información divulgada para obtener acceso no autorizado a los pods dentro del clúster.
  • Vulnerabilidad en Axis Communications AB (CVE-2024-47259)
    Severidad: BAJA
    Fecha de publicación: 04/03/2025
    Fecha de última actualización: 22/01/2026
    Girishunawane, miembro del programa Bug Bounty de AXIS OS, ha descubierto que la API VAPIX dynamicoverlay.cgi no tenía una validación de entrada suficiente que permitiera una posible inyección de comandos que permitiera transferir archivos al dispositivo Axis con el fin de agotar los recursos del sistema. Axis ha publicado versiones parcheadas de AXIS OS para la falla resaltada. Consulte el aviso de seguridad de Axis para obtener más información y soluciones.
  • Vulnerabilidad en ESF-IDF (CVE-2025-52471)
    Severidad: ALTA
    Fecha de publicación: 24/06/2025
    Fecha de última actualización: 22/01/2026
    ESF-IDF es el framework de desarrollo de Espressif para el Internet de las Cosas (IoT). Se ha identificado una vulnerabilidad de subdesbordamiento de enteros en la implementación del protocolo ESP-NOW dentro del componente Wi-Fi ESP de las versiones 5.4.1, 5.3.3, 5.2.5 y 5.1.6 del marco ESP-IDF. Este problema se debe a una validación insuficiente de la longitud de los datos proporcionados por el usuario en la función de recepción de paquetes. En determinadas circunstancias, esto puede provocar accesos a memoria fuera de los límites y permitir operaciones de escritura arbitrarias. En sistemas sin un esquema de protección de memoria, este comportamiento podría utilizarse para lograr la ejecución remota de código (RCE) en el dispositivo de destino. En las versiones 5.4.2, 5.3.4, 5.2.6 y 5.1.6, ESP-NOW ha añadido una lógica de validación más completa sobre la longitud de los datos proporcionados por el usuario durante la recepción de paquetes para evitar el subdesbordamiento de enteros causado por cálculos de valores negativos. Para ESP-IDF v5.3 y versiones anteriores, se puede aplicar una solución alternativa validando que el parámetro `data_len` recibido en la devolución de llamada RX (registrado mediante `esp_now_register_recv_cb()`) sea un valor positivo antes de continuar con el procesamiento. Para ESP-IDF v5.4 y versiones posteriores, no hay ninguna solución alternativa a nivel de aplicación. Se recomienda a los usuarios actualizar a una versión parcheada de ESP-IDF para aprovechar la mitigación integrada.
  • Vulnerabilidad en ESF-IDF (CVE-2025-55297)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 22/01/2026
    ESF-IDF es el framework de desarrollo de Espressif para Internet of Things (IoT). El ejemplo BluFi incluido en ESP-IDF era vulnerable a desbordamientos de memoria en dos áreas: gestión de credenciales Wi-Fi e intercambio de claves Diffie-Hellman. Esta vulnerabilidad se ha corregido en las versiones 5.4.1, 5.3.3, 5.1.6 y 5.0.9.