Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en plugin WPGraphQL 0.2.3 para WordPress (CVE-2019-9880)
    Severidad: MEDIA
    Fecha de publicación: 10/06/2019
    Fecha de última actualización: 22/01/2024
    Se descubrió un problema en el plugin WPGraphQL 0.2.3 para WordPress. Consultando los usuarios RootQuery, esto es posible por un atacante sin identificar, para recuperar todos los detalles de los usuarios WordPress, como direcciones de email, administrador, y nombre de usuario
  • Vulnerabilidad en El plugin The WPGraphQL 0.2.3 para WordPress, (CVE-2019-9879)
    Severidad: ALTA
    Fecha de publicación: 10/06/2019
    Fecha de última actualización: 22/01/2024
    El plugin The WPGraphQL 0.2.3 para WordPress, permite a los atacantes remotos registrar un nuevo usuario con privilegios de administrador, donde siempre que nuevos registros de usuarios sean permitidos. Esto esta relacionado con la mutación registerUser.
  • Vulnerabilidad en La mutación create Comment (CVE-2019-9881)
    Severidad: MEDIA
    Fecha de publicación: 10/06/2019
    Fecha de última actualización: 22/01/2024
    La mutación create Comment en la WPGraphQL 0.2.3. para WordPress permite a los usuarios no identificados publicar comentarios en cualquier articulo, incluso, cuando la opción "permitir" está deshabilitada
  • Vulnerabilidad en libebml (CVE-2023-52339)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 22/01/2024
    En libebml anterior a 1.4.5, puede ocurrir un desbordamiento de enteros en MemIOCallback.cpp al leer o escribir. Puede provocar desbordamientos de búfer.
  • Vulnerabilidad en Kernel de Linux (CVE-2023-6040)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 22/01/2024
    Se informó y solucionó una vulnerabilidad de acceso fuera de los límites que involucraba a netfilter como: f1082dd31fe4 (netfilter: nf_tables: Rechazar tablas de familia no admitida); Al crear una nueva tabla netfilter, la falta de protección contra valores no válidos de la familia nf_tables (pf) dentro de la función `nf_tables_newtable` permite a un atacante lograr un acceso fuera de los límites.
  • Vulnerabilidad en Zoom Desktop Client para Windows, Zoom VDI Client para Windows y Zoom SDK para Windows (CVE-2023-49647)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/01/2024
    Fecha de última actualización: 22/01/2024
    Un control de acceso inadecuado en Zoom Desktop Client para Windows, Zoom VDI Client para Windows y Zoom SDK para Windows anteriores a la versión 5.16.10 puede permitir que un usuario autenticado realice una escalada de privilegios a través del acceso local.
  • Vulnerabilidad en Allegro RomPager 4.01 (CVE-2024-0522)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2024
    Fecha de última actualización: 22/01/2024
    Se encontró una vulnerabilidad en Allegro RomPager 4.01. Ha sido clasificada como problemática. Una función desconocida del archivo usertable.htm?action=delete del componente HTTP POST Request Handler es afectada por esta vulnerabilidad. La manipulación del argumento username conduce a cross-site request forgery. Es posible lanzar el ataque de forma remota. La actualización a la versión 4.30 puede solucionar este problema. Se recomienda actualizar el componente afectado. El identificador de esta vulnerabilidad es VDB-250692. NOTA: El proveedor explica que se trata de un problema muy antiguo que se solucionó hace 20 años pero sin revelarlo públicamente.
  • Vulnerabilidad en CmsEasy (CVE-2024-0523)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2024
    Fecha de última actualización: 22/01/2024
    Se encontró una vulnerabilidad en CmsEasy hasta 7.7.7. Ha sido declarada crítica. La función getslide_child_action en la librería lib/admin/language_admin.php es afectada por esta vulnerabilidad. La manipulación del argumento sid conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-250693. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera
  • Vulnerabilidad en NetVision Information airPASS (CVE-2023-48383)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/01/2024
    Fecha de última actualización: 22/01/2024
    NetVision Information airPASS tiene una vulnerabilidad de path traversal dentro de su parámetro en una URL específica. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para omitir la autenticación y descargar archivos arbitrarios del sistema.
  • Vulnerabilidad en Confluence Data Center (CVE-2023-22526)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 22/01/2024
    Esta vulnerabilidad RCE (ejecución remota de código) de alta gravedad se introdujo en la versión 7.19.0 de Confluence Data Center. Esta vulnerabilidad RCE (ejecución remota de código), con una puntuación CVSS de 7,2, permite a un atacante autenticado ejecutar código arbitrario que tiene un alto impacto en la confidencialidad, un alto impacto en la integridad, un alto impacto en la disponibilidad y no requiere interacción del usuario. Atlassian recomienda que los clientes de Confluence Data Center actualicen a la última versión; si no pueden hacerlo, actualicen su instancia a una de las versiones fijas admitidas especificadas: Confluence Data Center y Server 7.19: actualice a una versión 7.19.17 o superior. Versión 7.19.x Confluence Data Center y Server 8.5: actualice a una versión 8.5.5 o superior. 8.5.x Confluence Data Center y Server 8.7: actualice a una versión 8.7.2 o superior. Consulte las notas de la versión ([https ://confluence.atlassian.com/doc/confluence-release-notes-327.html]). Puede descargar la última versión de Confluence Data Center desde el centro de descargas ([https://www.atlassian.com/software/confluence/download-archives]). Esta vulnerabilidad fue descubierta por m1sn0w y reportada a través de nuestro programa Bug Bounty.
  • Vulnerabilidad en Confluence Data Center and Server 2.1.0 (CVE-2024-21672)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 22/01/2024
    Esta vulnerabilidad de ejecución remota de código (RCE) de alta gravedad se introdujo en la versión 2.1.0 de Confluence Data Center and Server. Vulnerabilidad de ejecución remota de código (RCE), con una puntuación CVSS de 8,3 y un vector CVSS de CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H /A:H permite que un atacante no autenticado exponga de forma remota activos en su entorno susceptibles de explotación, lo que tiene un alto impacto en la confidencialidad, un alto impacto en la integridad, un alto impacto en la disponibilidad y requiere la interacción del usuario. Atlassian recomienda que los clientes de Confluence Data Center y Server actualicen a la última versión; si no puede hacerlo, actualice su instancia a una de las versiones fijas admitidas especificadas: * Confluence Data Center y Server 7.19: actualice a una versión 7.19.18, o cualquier versión superior 7.19.x * Confluence Data Center y Server 8.5: actualice a una versión 8.5.5 o cualquier versión superior 8.5.x * Confluence Data Center y Server 8.7: actualice a una versión 8.7.2 o cualquier versión superior Consulte la notas de la versión (https://confluence.atlassian.com/doc/confluence-release-notes-327.html). Puede descargar la última versión de Confluence Data Center and Server desde el centro de descargas (https://www.atlassian.com/software/confluence/download-archives).
  • Vulnerabilidad en Confluence Data Center y Server 7.13.0 (CVE-2024-21673)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 22/01/2024
    Esta vulnerabilidad de ejecución remota de código (RCE) de alta gravedad se introdujo en las versiones 7.13.0 de Confluence Data Center y Server. Vulnerabilidad de ejecución remota de código (RCE), con una puntuación CVSS de 8,0 y un vector CVSS de CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H /A:H permite que un atacante autenticado exponga activos en su entorno susceptibles de explotación, lo que tiene un alto impacto en la confidencialidad, un alto impacto en la integridad, un alto impacto en la disponibilidad y no requiere interacción del usuario. Atlassian recomienda que los clientes de Confluence Data Center y Server actualicen a la última versión; si no puede hacerlo, actualice su instancia a una de las versiones fijas admitidas especificadas: * Confluence Data Center y Server 7.19: actualice a una versión 7.19.18, o cualquier versión superior 7.19.x * Confluence Data Center y Server 8.5: actualice a una versión 8.5.5 o cualquier versión superior 8.5.x * Confluence Data Center y Server 8.7: actualice a una versión 8.7.2 o cualquier versión superior Consulte la notas de la versión (https://confluence.atlassian.com/doc/confluence-release-notes-327.html). Puede descargar la última versión de Confluence Data Center and Server desde el centro de descargas (https://www.atlassian.com/software/confluence/download-archives).
  • Vulnerabilidad en Confluence Data Center and Server 7.13.0 (CVE-2024-21674)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 22/01/2024
    Esta vulnerabilidad de ejecución remota de código (RCE) de alta gravedad se introdujo en la versión 7.13.0 de Confluence Data Center and Server. Vulnerabilidad de ejecución remota de código (RCE), con una puntuación CVSS de 8,6 y un vector CVSS de CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N /A:N permite que un atacante no autenticado exponga activos en su entorno susceptibles de explotación, lo que tiene un alto impacto en la confidencialidad, ningún impacto en la integridad, ningún impacto en la disponibilidad y no requiere interacción del usuario. Atlassian recomienda que los clientes de Confluence Data Center y Server actualicen a la última versión; si no puede hacerlo, actualice su instancia a una de las versiones fijas admitidas especificadas: * Confluence Data Center y Server 7.19: actualice a una versión 7.19.18, o cualquier versión superior 7.19.x * Confluence Data Center y Server 8.5: actualice a una versión 8.5.5 o cualquier versión superior 8.5.x * Confluence Data Center y Server 8.7: actualice a una versión 8.7.2 o cualquier versión superior Consulte la notas de la versión (https://confluence.atlassian.com/doc/confluence-release-notes-327.html). Puede descargar la última versión de Confluence Data Center and Server desde el centro de descargas (https://www.atlassian.com/software/confluence/download-archives).