Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en función en D-Bus (CVE-2011-2200)
    Severidad: MEDIA
    Fecha de publicación: 22/06/2011
    Fecha de última actualización: 27/12/2023
    La función _dbus_header_byteswap en dbus-marshal-header.c en D-Bus (también conocido como Dbus) v1.2.x antes de v1.2.28, v1.4.x antes de v1.4.12, y v1.5 antes de v1.5.4 no controla correctamente un orden de bytes no-nativos, lo que permite a usuarios locales provocar una denegación de servicio (pérdida de la conexión), obtener información potencialmente sensible, o llevar a cabo ataques de modificacion de estado no especificados a través de mensajes manipulados.
  • Vulnerabilidad en D-Bus (CVE-2013-2168)
    Severidad: BAJA
    Fecha de publicación: 03/07/2013
    Fecha de última actualización: 27/12/2023
    La función _dbus_printf_string_upper_bound en dbus/dbus-sysdeps-unix.c en D-Bus (aka DBus) 1.4.x anterior a 1.4.26, 1.6.x anterior a 1.6.12, y 1.7.x anterior a 1.7.4, permite a usuarios locales provocar una denegación de servicio (caída del servicio) a través de un mensaje manipulado.
  • Vulnerabilidad en el demonio dbus en D-Bus (CVE-2014-3477)
    Severidad: BAJA
    Fecha de publicación: 01/07/2014
    Fecha de última actualización: 27/12/2023
    El demonio dbus en D-Bus 1.2.x hasta 1.4.x, 1.6.x anterior a 1.6.20, y 1.8.x anterior a 1.8.4, envía un error AccessDenied al servicio en lugar de al cliente cuando el cliente tiene prohibido el acceso al servicio, lo que permite a usuarios locales causar una denegación de servicio (fallo de inicialización y salida) o posiblemente realizar un ataque de canal lateral a través de un mensaje D-Bus a un servicio inactivo.
  • Vulnerabilidad en dbus (CVE-2014-3532)
    Severidad: BAJA
    Fecha de publicación: 19/07/2014
    Fecha de última actualización: 27/12/2023
    dbus 1.3.0 anterior a 1.6.22 y 1.8.x anterior a 1.8.6, cuando funciona en Linux 2.6.37-rc4 o posteriores, permite a usuarios locales causar una denegación de servicio (desconexión del bus del sistema de otros servicios o aplicaciones) mediante el envío de un mensaje que contiene un descriptor de ficheros, y posteriormente el exceso en la profundidad máxima de recursión antes de enviar el mensaje inicial.
  • Vulnerabilidad en dbus (CVE-2014-3533)
    Severidad: BAJA
    Fecha de publicación: 19/07/2014
    Fecha de última actualización: 27/12/2023
    dbus 1.3.0 anterior a 1.6.22 y 1.8.x anterior a 1.8.6 permite a usuarios locales causar una denegación de servicio (desconexión) a través de cierta secuencias de mensajes manipulados que causan que el demonio de dbus reenvíe un mensaje que contiene un descriptor de ficheros inválido.
  • Vulnerabilidad en D-Bus (CVE-2014-3636)
    Severidad: BAJA
    Fecha de publicación: 25/10/2014
    Fecha de última actualización: 27/12/2023
    D-Bus 1.3.0 hasta 1.6.x anterior a 1.6.24 y 1.8.x anterior a 1.8.8 permite a usuarios locales (1) causar una denegación de servicio (prevención de conexiones nuevas y caída de conexión) mediante la creación de una cola del máximo número de descriptores de ficheros o (2) causar una denegación de servicio (desconexión) a través de múltiples mensajes que combinan para tener más que el número permitido de descriptores de ficheros para una llamada única a sendmsg.
  • Vulnerabilidad en D-Bus (CVE-2014-3638)
    Severidad: BAJA
    Fecha de publicación: 22/09/2014
    Fecha de última actualización: 27/12/2023
    La función bus_connections_check_reply en config-parser.c en D-Bus anterior a 1.6.24 y 1.8.x anterior a 1.8.8 permite a usuarios locales causar una denegación de servicio (consumo de CPU) a través de un número grande de llamadas de métodos.
  • Vulnerabilidad en D-Bus (CVE-2014-3639)
    Severidad: BAJA
    Fecha de publicación: 22/09/2014
    Fecha de última actualización: 27/12/2023
    El demonio de dbus en D-Bus anterior a 1.6.24 y 1.8.x anterior a 1.8.8 no cierra debidamente conexiones antiguas, lo que permite a usuarios locales causar una denegación de servicio (conexiones consumo incompleto y prevención de nuevas conexiones) a través de un gran número de conexiones incompletas.
  • Vulnerabilidad en D-Bus (CVE-2014-7824)
    Severidad: BAJA
    Fecha de publicación: 18/11/2014
    Fecha de última actualización: 27/12/2023
    D-Bus hasta 1.3.0 y 1.6.x antes de 1.6.26, 1.8.x antes de 1.8.10, y 1.9.x antes de 1.9.2 permite a usuarios locales provocar una denegación de servicio (la prevención de nuevas conexiones y caída de conexión) colocando en cola el número máximo de descriptores de archivos. NOTA: esta vulnerabilidad existe debido a que no se completo la solución para CVE-2014 a 3.636,1.
  • Vulnerabilidad en D-Bus (CVE-2014-3637)
    Severidad: BAJA
    Fecha de publicación: 22/09/2014
    Fecha de última actualización: 27/12/2023
    D-Bus 1.3.0 hasta 1.6.x anterior a 1.6.24 y 1.8.x anterior a 1.8.8 no cierra correctamente las conexiones para procesos que hayan terminado, lo que permite a usuarios locales causar una denegación de servicio a través de un mensaje D-bus que contiene un descriptor de ficheros de conexiones D-Bus.
  • Vulnerabilidad en D-Bus (CVE-2015-0245)
    Severidad: BAJA
    Fecha de publicación: 13/02/2015
    Fecha de última actualización: 27/12/2023
    D-Bus 1.4.x hasta 1.6.x anterior a 1.6.30, 1.8.x anterior a 1.8.16, y 1.9.x anterior a 1.9.10 no valida la fuente de los señales ActivationFailure, lo que permite a usuarios locales causar una denegación de servicio (retorno del error del fallo de activación) mediante el aprovechamiento de una condición de carrera que involucra el envío de un señal ActivationFailure antes de que systemd responda.
  • Vulnerabilidad en D-Bus (CVE-2014-3635)
    Severidad: MEDIA
    Fecha de publicación: 22/09/2014
    Fecha de última actualización: 27/12/2023
    Error por un paso en D-Bus 1.3.0 hasta la versión 1.6.x en versiones anteriores a 1.6.24 y 1.8.x en versiones anteriores a 1.8.8, cuando cuando se ejecuta en sistemas de 64 bits y el límite max_message_unix_fds está establecido en un número impar, permite a usuarios locales provocar una denegación de servicio (caída de dbus-daemon) o posiblemente ejecutar código arbitrario enviando un descriptor de archivo superior al máximo, lo que desencadena un desbordamiento de buffer basado en memoria dinámica o un fallo de aserción.
  • Vulnerabilidad en un sistema con varios nombres de usuario que comparten el mismo UID en D-Bus (CVE-2020-35512)
    Severidad: ALTA
    Fecha de publicación: 15/02/2021
    Fecha de última actualización: 27/12/2023
    Se encontró un fallo de uso de la memoria previamente liberada D-Bus rama de desarrollo versiones iguales o anteriores a 1.13.16, dbus-1.12.x rama estable versiones iguales o anteriores a 1.12.18, y dbus-1.10.x y ramas anteriores versiones iguales o anteriores a 1.10.30 cuando un sistema tiene múltiples nombres de usuario que comparten el mismo UID. Cuando un conjunto de reglas de política hace referencia a estos nombres de usuario, D-Bus puede liberar algo de memoria en la pila, que sigue siendo utilizada por las estructuras de datos necesarias para los otros nombres de usuario que comparten el UID, lo que puede provocar un fallo u otros comportamientos indefinidos
  • Vulnerabilidad en D-Bus (CVE-2022-42010)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/10/2022
    Fecha de última actualización: 27/12/2023
    Se ha detectado un problema en D-Bus versiones anteriores a 1.12.24, versiones 1.13.x y 1.14.x anteriores a 1.14.4, y versiones 1.15.x anteriores a 1.15.2. Un atacante autenticado puede causar que dbus-daemon y otros programas que usan libdbus sean bloqueados cuando reciben un mensaje con determinadas firmas de tipo no válido
  • Vulnerabilidad en D-Bus (CVE-2022-42011)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/10/2022
    Fecha de última actualización: 27/12/2023
    Se ha detectado un problema en D-Bus versiones anteriores a 1.12.24, versiones 1.13.x y 1.14.x anteriores a 1.14.4, y versiones 1.15.x anteriores a 1.15.2. Un atacante autenticado puede causar que dbus-daemon y otros programas que usan libdbus sean bloqueados cuando reciben un mensaje en el que la longitud de un array es inconsistente con el tamaño del tipo de elemento
  • Vulnerabilidad en D-Bus (CVE-2022-42012)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/10/2022
    Fecha de última actualización: 27/12/2023
    Se ha detectado un problema en D-Bus versiones anteriores a 1.12.24, versiones 1.13.x y 1.14.x anteriores a 1.14.4, y versiones 1.15.x anteriores a 1.15.2. Un atacante autenticado puede causar que dbus-daemon y otros programas que usan libdbus sean bloqueados al enviar un mensaje con descriptores de archivo adjuntos en un formato no esperado
  • Vulnerabilidad en D-Bus (CVE-2023-34969)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/06/2023
    Fecha de última actualización: 27/12/2023
    D-Bus en versiones anteriores a v1.15.6 a veces permite a usuarios sin privilegios bloquear el "dbus-daemon". Si un usuario privilegiado con control sobre "dbus-daemon" está usando la interfaz "org.freedesktop.DBus.Monitoring" para monitorizar el tráfico del bus de mensajes, entonces un usuario sin privilegios con la capacidad de conectarse al mismo "dbus-daemon" puede causar un fallo del "dbus-daemon" bajo algunas circunstancias a través de un mensaje sin respuesta. Cuando se hace en el bus del sistema conocido, se trata de una vulnerabilidad de denegación de servicio. Las versiones que corrigen esta vulnerabilidad son v1.12.28, v1.14.8 y v1.15.6.
  • Vulnerabilidad en LiveChat LiveChat – WP live chat plugin for WordPress (CVE-2023-49821)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 27/12/2023
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en LiveChat LiveChat – WP live chat plugin for WordPress. Este problema afecta a LiveChat – WP live chat plugin for WordPress: desde n/a hasta 4.5.15.
  • Vulnerabilidad en IBM Qradar SIEM 7.5 (CVE-2023-47146)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 27/12/2023
    IBM Qradar SIEM 7.5 podría permitir a un usuario privilegiado obtener información confidencial del dominio debido a una identificación errónea de los datos. ID de IBM X-Force: 270372.
  • Vulnerabilidad en IBM AIX y VIOS (CVE-2023-45172)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 27/12/2023
    IBM AIX 7.2, 7.3 y VIOS 3.1 podrían permitir que un usuario local sin privilegios aproveche una vulnerabilidad en Windows AIX para provocar una denegación de servicio. ID de IBM X-Force: 267970.
  • Vulnerabilidad en BestWebSoft Contact Form to DB by BestWebSoft – Messages Database complemento para WordPress (CVE-2023-29096)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 27/12/2023
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('Inyección SQL') en BestWebSoft Contact Form to DB by BestWebSoft – Messages Database Plugin for WordPress. Este problema afecta a Contact Form to DB by BestWebSoft – Messages Database Plugin for WordPress: desde n /a hasta 1.7.0.
  • Vulnerabilidad en Favethemes Houzez - Real Estate WordPress Theme (CVE-2023-29432)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 27/12/2023
    La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('Inyección SQL') en Favethemes Houzez - Real Estate WordPress Theme. Este problema afecta a Houzez - Real Estate WordPress Theme: desde n/a antes de 2.8.3.
  • Vulnerabilidad en Guelben Bravo Translate (CVE-2023-49161)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 27/12/2023
    La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Guelben Bravo Translate. Este problema afecta a Bravo Translate: desde n/a hasta 1.2.
  • Vulnerabilidad en Magic Logix MSync (CVE-2023-49166)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 27/12/2023
    La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Magic Logix MSync. Este problema afecta a MSync: desde n/a hasta 1.0.0.
  • Vulnerabilidad en Hotel Management v1.0 (CVE-2023-49269)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 27/12/2023
    Hotel Management v1.0 es afectado por múltiples vulnerabilidades de Cross-Site Scripting reflejadas y autenticadas. El parámetro 'adults' del recurso reservation.php se copia en el documento HTML como texto plano entre etiquetas. Cualquier entrada se repite sin modificaciones en la respuesta de la aplicación.
  • Vulnerabilidad en File Manager by Bit Form Team File Manager – 100% Free & Open Source File Manager complemento para Wordpress (CVE-2022-47599)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 27/12/2023
    Vulnerabilidad de deserialización de datos no confiables en File Manager by Bit Form Team File Manager – 100% Free & Open Source File Manager complemento para Wordpress | Bit File Manager. Este problema afecta a File Manager – 100% Free & Open Source File Manager complemento para Wordpress | Bit File Manager : desde n/a hasta 5.2.7.
  • Vulnerabilidad en weDevs Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy (CVE-2023-26525)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 27/12/2023
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en weDevs Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy. Este problema afecta a Dokan – Best WooCommerce Multivendor Marketplace Solution – Build Your Own Amazon, eBay, Etsy: desde n/a hasta el 3.7.12.
  • Vulnerabilidad en Tribulant Slideshow Gallery LITE (CVE-2023-28491)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 27/12/2023
    La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en Tribulant Slideshow Gallery LITE. Este problema afecta a Slideshow Gallery LITE: desde n/a hasta 1.7.6.
  • Vulnerabilidad en Page Visit Counter Advanced Page Visit Counter – Most Wanted Analytics Plugin for WordPress WordPress (CVE-2023-28788)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 27/12/2023
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Page Visit Counter Advanced Page Visit Counter – Most Wanted Analytics Plugin for WordPress. Este problema afecta a Advanced Page Visit Counter – Most Wanted Analytics Plugin for WordPress: desde n /a hasta 6.4.2.