Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en SICK AG (CVE-2025-49189)
    Severidad: MEDIA
    Fecha de publicación: 12/06/2025
    Fecha de última actualización: 06/02/2026
    El indicador HttpOnly de la cookie de sesión \"@@\" está configurado como falso. Dado que este indicador ayuda a impedir el acceso a las cookies mediante scripts del lado del cliente, configurarlo como falso puede aumentar la probabilidad de ataques de Cross-Side-Scripting dirigidos a las cookies almacenadas.
  • Vulnerabilidad en SICK AG (CVE-2025-49192)
    Severidad: MEDIA
    Fecha de publicación: 12/06/2025
    Fecha de última actualización: 06/02/2026
    La aplicación web es vulnerable a ataques de clickjacking. El sitio puede estar incrustado en otro frame, lo que permite a un atacante engañar al usuario para que haga clic en algo distinto a lo que percibe. Esto podría revelar información confidencial o permitir que otros tomen el control de su ordenador mientras hacen clic en objetos aparentemente inofensivos.
  • Vulnerabilidad en PostgreSQL (CVE-2025-1709)
    Severidad: MEDIA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    Varias credenciales para la base de datos PostgreSQL local se almacenan en texto sin formato (parcialmente codificado en base64).
  • Vulnerabilidad en maxView Storage Manager (CVE-2025-1710)
    Severidad: ALTA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    maxView Storage Manager no implementa medidas suficientes para evitar múltiples intentos fallidos de autenticación en un corto período de tiempo, lo que lo hace susceptible a ataques de fuerza bruta.
  • Vulnerabilidad en SICK AG (CVE-2025-27447)
    Severidad: ALTA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    La aplicación web es susceptible a ataques de cross-site-scripting. Un atacante puede crear una URL preparada que inyecta código JavaScript en el sitio web. El código se ejecuta en el navegador de la víctima cuando un administrador autenticado hace clic en el enlace.
  • Vulnerabilidad en SICK AG (CVE-2025-27448)
    Severidad: MEDIA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    La aplicación web es susceptible a ataques de cross-site-scripting. Un atacante que cree nuevos paneles puede inyectar código JavaScript en el nombre del panel, el cual se ejecutará al cargar el sitio web.
  • Vulnerabilidad en MEAC300-FNADE4 (CVE-2025-27449)
    Severidad: ALTA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    El MEAC300-FNADE4 no implementa medidas suficientes para evitar múltiples intentos fallidos de autenticación en un corto período de tiempo, lo que lo hace susceptible a ataques de fuerza bruta.
  • Vulnerabilidad en MEAC300-FNADE4 (CVE-2025-27450)
    Severidad: MEDIA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    El atributo Secure falta en varias cookies proporcionadas por MEAC300-FNADE4. Un atacante puede engañar a un usuario para que establezca una conexión HTTP sin cifrar con el servidor e interceptar la solicitud que contiene la cookie PHPSESSID.
  • Vulnerabilidad en SICK AG (CVE-2025-27451)
    Severidad: MEDIA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    En caso de intentos fallidos de inicio de sesión, la aplicación muestra diferentes mensajes de error según si el inicio de sesión falló debido a una contraseña incorrecta o a un nombre de usuario inexistente. Esto permite a un atacante adivinar nombres de usuario hasta encontrar uno.
  • Vulnerabilidad en MEAC300-FNADE4 (CVE-2025-27452)
    Severidad: MEDIA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    La configuración del servidor web Apache httpd, que sirve a la aplicación web MEAC300-FNADE4, es parcialmente insegura. Hay módulos activados que no son necesarios para el funcionamiento de la aplicación web FNADE4. La funcionalidad de algunos módulos supone un riesgo para el servidor web que permite el listado de directorios.
  • Vulnerabilidad en SICK AG (CVE-2025-27454)
    Severidad: MEDIA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    La aplicación es vulnerable a cross-site request forgery. Un atacante puede engañar a un usuario con sesión iniciada para que envíe una solicitud web no deseada. La solicitud utiliza la autorización guardada del navegador de la víctima para ejecutarse.
  • Vulnerabilidad en SICK AG (CVE-2025-27455)
    Severidad: MEDIA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    La aplicación web es vulnerable a ataques de clickjacking. El sitio puede estar incrustado en otro frame, lo que permite a un atacante engañar al usuario para que haga clic en algo distinto a lo que percibe, lo que podría revelar información confidencial o permitir que otros tomen el control de su ordenador mientras hacen clic en objetos aparentemente inofensivos.
  • Vulnerabilidad en SMB Server (CVE-2025-27456)
    Severidad: ALTA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    El mecanismo de inicio de sesión del SMB Server no implementa medidas suficientes para evitar múltiples intentos fallidos de autenticación en un corto período de tiempo, lo que lo hace susceptible a ataques de fuerza bruta.
  • Vulnerabilidad en VNC (CVE-2025-27457)
    Severidad: MEDIA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    Toda la comunicación entre el servidor VNC y los clientes no está cifrada. Esto permite a un atacante interceptar el tráfico y obtener datos confidenciales.
  • Vulnerabilidad en VNC (CVE-2025-27458)
    Severidad: MEDIA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    El mecanismo de autenticación de VNC se basa en un sistema de desafío-respuesta donde tanto el servidor como el cliente usan la misma contraseña para el cifrado. El desafío se envía del servidor al cliente, este lo cifra y lo devuelve. El servidor realiza el mismo cifrado localmente y, si las respuestas coinciden, se comprueba que el cliente conoce la contraseña correcta. Dado que toda la comunicación de VNC no está cifrada, un atacante puede obtener el desafío y la respuesta e intentar obtener la contraseña a partir de esta información.
  • Vulnerabilidad en BitLocker (CVE-2025-27460)
    Severidad: ALTA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    Los discos duros del dispositivo no están cifrados con una función de cifrado de volumen completo como BitLocker. Esto permite a un atacante con acceso físico al dispositivo usar un sistema operativo alternativo para interactuar con los discos duros, evadiendo por completo el inicio de sesión de Windows. El atacante puede leer y escribir en todos los archivos de los discos duros.
  • Vulnerabilidad en Windows EPC2 (CVE-2025-27461)
    Severidad: ALTA
    Fecha de publicación: 03/07/2025
    Fecha de última actualización: 06/02/2026
    Durante el inicio, el dispositivo inicia sesión automáticamente como usuario de Windows EPC2 sin solicitar una contraseña.