Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Moonlight (CVE-2023-42799)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 20/12/2023
    Moonlight-common-c contiene el código principal del cliente GameStream compartido entre los clientes Moonlight. Moonlight-common-c es vulnerable al desbordamiento del búfer a partir de el commit 50c0a51b10ecc5b3415ea78c21d96d679e2288f9 debido al uso absoluto de funciones C inseguras y a una verificación de los límites inadecuada. Un servidor de transmisión de juegos malicioso podría aprovechar una vulnerabilidad de desbordamiento del búfer para bloquear un cliente de luz nocturna o lograr la ejecución remota de código (RCE) en el cliente (con mitigaciones de explotación insuficientes o si se pueden evitar las mitigaciones). El error se solucionó en el commit 02b7742f4d19631024bd766bd2bb76715780004e.
  • Vulnerabilidad en Asterisk (CVE-2023-37457)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2023
    Fecha de última actualización: 20/12/2023
    Asterisk es un conjunto de herramientas de telefonía y centralita privada de código abierto. En las versiones de Asterisk 18.20.0 y anteriores, 20.5.0 y anteriores y 21.0.0; así como ceritifed-asterisk 18.9-cert5 y anteriores, la funcionalidad de 'actualización' de la función de dialplan PJSIP_HEADER puede exceder el espacio de búfer disponible para almacenar el nuevo valor de un encabezado. Al hacerlo, esto puede sobrescribir la memoria o provocar un bloqueo. Esto no se puede explotar externamente, a menos que el dialplan esté escrito explícitamente para actualizar un encabezado en función de datos de una fuente externa. Si no se utiliza la funcionalidad de 'actualización', la vulnerabilidad no se produce. Hay un parche disponible en el commit a1ca0268254374b515fa5992f01340f7717113fa.
  • Vulnerabilidad en Cybrosys Techno Solutions Website Blog Search (CVE-2023-48049)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 20/12/2023
    Una vulnerabilidad de inyección SQL en Cybrosys Techno Solutions Website Blog Search (también conocido como website_search_blog) v. 13.0 a 13.0.1.0.1 permite a un atacante remoto ejecutar código arbitrario y obtener privilegios a través del parámetro de nombre en el componente controllers/main.py.
  • Vulnerabilidad en SmartStar Software CWS (CVE-2023-48375)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 20/12/2023
    SmartStar Software CWS es una plataforma de integración basada en web, tiene la vulnerabilidad de falta de autorización y los usuarios pueden acceder a datos o realizar acciones que no se les debería permitir realizar mediante comandos. Un usuario autenticado con privilegios normales puede ejecutar privilegios de administrador, lo que resulta en la realización de operaciones arbitrarias del sistema o la interrupción del servicio.
  • Vulnerabilidad en SmartStar Software CWS (CVE-2023-48376)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 20/12/2023
    SmartStar Software CWS es una plataforma de integración basada en web, su función de carga de archivos no restringe la carga de archivos con tipos peligrosos. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para cargar archivos arbitrarios y ejecutar comandos arbitrarios o interrumpir el servicio.
  • Vulnerabilidad en Softnext Mail SQR Expert (CVE-2023-48381)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/12/2023
    Fecha de última actualización: 20/12/2023
    Softnext Mail SQR Expert es una plataforma de gestión de correo electrónico, tiene una vulnerabilidad de Inclusión de Archivos Locales (LFI) en una URL especial. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para ejecutar un archivo PHP arbitrario con extensión de archivo .asp en rutas de sistema específicas, para acceder y modificar información parcial del sistema, pero no afecta la disponibilidad del servicio.