Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Google Chrome (CVE-2023-6345)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/11/2023
    Fecha de última actualización: 15/12/2023
    El desbordamiento de enteros en Skia en Google Chrome anterior a 119.0.6045.199 permitió a un atacante remoto que había comprometido el proceso de renderizado realizar potencialmente un escape de la zona de pruebas a través de un archivo malicioso. (Severidad de seguridad de Chrome: alta)
  • Vulnerabilidad en FortiPortal (CVE-2023-48791)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 15/12/2023
    Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando ('Inyección de comando') [CWE-77] en FortiPortal versión 7.2.0, versión 7.0.6 y anteriores puede permitir que un atacante remoto autenticado con al menos permiso R/W ejecute comandos no autorizados a través de argumentos específicamente manipulados en el campo de la página Programar Copia de Seguridad del Sistema.
  • Vulnerabilidad en Alkacon Software Open CMS (CVE-2023-6379)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 15/12/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) en Alkacon Software Open CMS, que afecta a las versiones 14 y 15 de la plantilla 'Mercury'. Esta vulnerabilidad podría permitir que un atacante remoto envíe un payload de JavaScript especialmente manipulado a una víctima y tome parcialmente el control de su sesión de navegación.
  • Vulnerabilidad en Open CMS (CVE-2023-6380)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 15/12/2023
    Se ha encontrado una vulnerabilidad de redirección abierta en el producto Open CMS que afecta a las versiones 14 y 15 de la plantilla 'Mercury'. Un atacante podría crear una URL especialmente manipulada y enviarla a un usuario específico para redirigirlo a un sitio malicioso y comprometerlo. La explotación de esta vulnerabilidad es posible debido al hecho de que no existe una sanitización adecuada del parámetro 'URI'.
  • Vulnerabilidad en Repbox (CVE-2023-6723)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 15/12/2023
    Se identificó una vulnerabilidad de carga de archivos sin restricciones en Repbox, que permite a un atacante cargar archivos maliciosos a través de la función transforamationfileupload, debido a la falta de controles adecuados de validación del tipo de archivo, lo que resulta en un compromiso total del sistema.
  • Vulnerabilidad en DedeBIZ 6.2 (CVE-2023-6755)
    Severidad: MEDIA
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 15/12/2023
    Una vulnerabilidad fue encontrada en DedeBIZ 6.2 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /src/admin/content_batchup_action.php. La manipulación del argumento endid conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-247883. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Silverpeas Core 6.3.1 (CVE-2023-47320)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 15/12/2023
    Silverpeas Core 6.3.1 es vulnerable a un control de acceso incorrecto. Un atacante con pocos privilegios puede ejecutar la función exclusiva de administrador de poner la aplicación en "Modo de mantenimiento" debido a un control de acceso roto. Esto hace que la aplicación no esté disponible para todos los usuarios. Esto afecta a Silverpeas Core 6.3.1 y versiones anteriores.
  • Vulnerabilidad en Silverpeas Core 6.3.1 (CVE-2023-47321)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 15/12/2023
    Silverpeas Core 6.3.1 es vulnerable a un control de acceso incorrecto a través del "Porlet Deployer", que permite a los administradores implementar portlets .WAR.
  • Vulnerabilidad en Silverpeas Core 6.3.1 (CVE-2023-47322)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 15/12/2023
    La función "userModify" de Silverpeas Core 6.3.1 es vulnerable a cross-site request forgery (CSRF), lo que conduce a una escalada de privilegios. Si un administrador accede a una URL maliciosa mientras se autentica en la aplicación Silverpeas, el CSRF se ejecutará y convertirá al atacante en un usuario administrador de la aplicación.
  • Vulnerabilidad en Silverpeas Core 6.3.1 (CVE-2023-47323)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2023
    Fecha de última actualización: 15/12/2023
    La función de notificación/mensajería de Silverpeas Core 6.3.1 no impone control de acceso en el parámetro ID. Esto permite a un atacante leer todos los mensajes enviados entre otros usuarios; incluidos los enviados únicamente a administradores.