Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el Plugin Vmware vRealize CodeStream de Jenkins (CVE-2022-27217)
    Severidad: MEDIA
    Fecha de publicación: 15/03/2022
    Fecha de última actualización: 21/12/2023
    El Plugin Vmware vRealize CodeStream de Jenkins versiones 1.2 y anteriores, almacena las contraseñas sin cifrar en los archivos config.xml del trabajo en el controlador de Jenkins donde pueden ser visualizados por usuarios con permiso de Lectura Extendida, o acceso al sistema de archivos del controlador de Jenkins
  • Vulnerabilidad en el plugin REPO de Jenkins (CVE-2022-30949)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2022
    Fecha de última actualización: 21/12/2023
    El plugin REPO de Jenkins versiones 1.14.0 y anteriores permite a atacantes capaces de configurar pipelines para comprobar algunos repositorios SCM almacenados en el sistema de archivos del controlador de Jenkins usando rutas locales como URLs SCM, obteniendo información limitada sobre el contenido SCM de otros proyectos
  • Vulnerabilidad en ffmpeg (CVE-2022-3965)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/11/2022
    Fecha de última actualización: 21/12/2023
    Una vulnerabilidad fue encontrada en ffmpeg y clasificada como problemática. Esta vulnerabilidad afecta a la función smc_encode_stream del archivo libavcodec/smcenc.c del componente QuickTime Graphics Video Encoder. La manipulación del argumento y_size conduce a una lectura fuera de límites. El ataque se puede iniciar de forma remota. El nombre del parche es 13c13109759090b7f7182480d075e13b36ed8edd. Se recomienda aplicar un parche para solucionar este problema. El identificador de esta vulnerabilidad es VDB-213544.
  • Vulnerabilidad en ffmpeg (CVE-2022-3964)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/11/2022
    Fecha de última actualización: 21/12/2023
    Una vulnerabilidad ha sido encontrada en ffmpeg y clasificada como problemática. Una parte desconocida del archivo libavcodec/rpzaenc.c del componente QuickTime RPZA Video Encoder. La manipulación del argumento y_size conduce a una lectura fuera de límites. Es posible iniciar el ataque de forma remota. El nombre del parche es 92f9b28ed84a77138105475beba16c146bdaf984. Se recomienda aplicar un parche para solucionar este problema. El identificador asociado de esta vulnerabilidad es VDB-213543.
  • Vulnerabilidad en Jenkins instant-messaging Plugin (CVE-2022-28135)
    Severidad: MEDIA
    Fecha de publicación: 29/03/2022
    Fecha de última actualización: 21/12/2023
    Jenkins instant-messaging Plugin versiones 1.41 y anteriores, almacena las contraseñas de los chats de grupo sin cifrar en el archivo de configuración global de los plugins basados en el plugin de mensajería instantánea de Jenkins en el controlador de Jenkins, donde pueden ser visualizadas por usuarios con acceso al sistema de archivos del controlador de Jenkins
  • Vulnerabilidad en kernel de Linux (CVE-2023-6817)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 21/12/2023
    Una vulnerabilidad de use after free en el componente netfilter: nf_tables del kernel de Linux puede explotarse para lograr una escalada de privilegios local. La función nft_pipapo_walk no omitió elementos inactivos durante el recorrido establecido, lo que podría provocar desactivaciones dobles de elementos PIPAPO (Políticas de paquetes de pila), lo que llevaría a un use-after-free. Recomendamos actualizar después del commit 317eb9685095678f2c9f5a8189de698c5354316a.
  • Vulnerabilidad en Swift Performance Lite de WordPress (CVE-2023-6289)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 21/12/2023
    El complemento Swift Performance Lite de WordPress anterior a 2.3.6.15 no impide que los usuarios exporten la configuración del complemento, que puede incluir información confidencial, como tokens API de Cloudflare.
  • Vulnerabilidad en SiteOrigin Widgets Bundle de WordPress (CVE-2023-6295)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 21/12/2023
    El complemento SiteOrigin Widgets Bundle de WordPress anterior a 1.51.0 no valida la entrada del usuario antes de usarlo para generar rutas pasadas para incluir funciones, lo que permite a los usuarios con función de administrador realizar ataques LFI en el contexto de sitios Multisite WordPress.
  • Vulnerabilidad en Wow-Company Button Generator – easily Button Builder (CVE-2023-49155)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 21/12/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Wow-Company Button Generator – easily Button Builder. Este problema afecta a Button Generator – easily Button Builder: desde n/a hasta 2.3.8.