Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Nothings stb 2.28 (CVE-2023-43898)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/10/2023
    Fecha de última actualización: 24/01/2024
    Se descubrió que Nothings stb 2.28 contenía un Null Pointer Dereference a través de la función stbi__convert_format. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) a través de un archivo de imagen manipulado.
  • Vulnerabilidad en DedeBIZ 6.3.0 (CVE-2024-0557)
    Severidad: BAJA
    Fecha de publicación: 15/01/2024
    Fecha de última actualización: 24/01/2024
    Una vulnerabilidad fue encontrada en DedeBIZ 6.3.0 y clasificada como problemática. Esto afecta a una parte desconocida del componente Website Copyright Setting. La manipulación conduce a cross site scripting. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-250725. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en GRN Software Group eVEWA3 Community (CVE-2023-25295)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Una vulnerabilidad de cross site scripting (XSS) en GRN Software Group eVEWA3 Community versión 31 a 53 permite a los atacantes obtener privilegios aumentados a través de una solicitud manipulada para el panel de inicio de sesión.
  • Vulnerabilidad en kernel de Linux (CVE-2024-0639)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Se encontró una vulnerabilidad de denegación de servicio debido a un punto muerto en sctp_auto_asconf_init en net/sctp/socket.c en el subsistema SCTP del kernel de Linux. Esta falla permite a los invitados con privilegios de usuario local desencadenar un punto muerto y potencialmente bloquear el sistema.
  • Vulnerabilidad en kernel de Linux (CVE-2024-0641)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Se encontró una vulnerabilidad de denegación de servicio en tipc_crypto_key_revoke en net/tipc/crypto.c en el subsistema TIPC del kernel de Linux. Este fallo permite a los invitados con privilegios de usuario local desencadenar un punto muerto y potencialmente bloquear el sistema.
  • Vulnerabilidad en kernel de Linux (CVE-2024-0646)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Se encontró un fallo de escritura de memoria fuera de los límites en la funcionalidad Transport Layer Security del kernel de Linux en la forma en que un usuario llama a una función splice con un socket ktls como destino. este fallo permite que un usuario local falle o potencialmente aumente sus privilegios en el sistema.
  • Vulnerabilidad en Cisco Unity Connection (CVE-2024-20272)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unity Connection podría permitir que un atacante remoto no autenticado cargue archivos arbitrarios en un sistema afectado y ejecute comandos en el sistema operativo subyacente. Esta vulnerabilidad se debe a una falta de autenticación en una API específica y a una validación inadecuada de los datos proporcionados por el usuario. Un atacante podría aprovechar esta vulnerabilidad cargando archivos arbitrarios en un sistema afectado. Una explotación exitosa podría permitir al atacante almacenar archivos maliciosos en el sistema, ejecutar comandos arbitrarios en el sistema operativo y elevar privilegios a root.
  • Vulnerabilidad en CodePeople WP Time Slots Booking Form (CVE-2022-41790)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Vulnerabilidad de autorización faltante en CodePeople WP Time Slots Booking Form. Este problema afecta a WP Time Slots Booking Form: desde n/a hasta 1.1.76.
  • Vulnerabilidad en Stupid Simple CMS (CVE-2024-22714)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Stupid Simple CMS <=1.2.4 es vulnerable a Cross Site Scripting (XSS) en la sección de edición del contenido del artículo.
  • Vulnerabilidad en Stupid Simple CMS (CVE-2024-22715)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Se descubrió que Stupid Simple CMS <=1.2.4 contenía Cross-Site Request Forgery (CSRF) a través del componente /admin-edit.php.
  • Vulnerabilidad en Armex ABO.CMS 5.9 (CVE-2023-48858)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Una vulnerabilidad de Cross-site scripting (XSS) en el código PHP de la página de inicio de sesión en Armex ABO.CMS 5.9 permite a atacantes remotos inyectar scripts web o HTML de su elección a través de la parte de URL login.php?.
  • Vulnerabilidad en Citrix StoreFront (CVE-2023-5914)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Cross-site scripting (XSS)
  • Vulnerabilidad en NetScaler ADC y NetScaler Gateway (CVE-2023-6549)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    La restricción inadecuada de las operaciones dentro de los límites de un búfer de memoria en NetScaler ADC y NetScaler Gateway permite una denegación de servicio no autenticada
  • Vulnerabilidad en Yunyou CMS (CVE-2024-0648)
    Severidad: ALTA
    Fecha de publicación: 17/01/2024
    Fecha de última actualización: 24/01/2024
    Una vulnerabilidad ha sido encontrada en Yunyou CMS hasta 2.2.6 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /app/index/controller/Common.php. La manipulación del argumento templateFile conduce a una carga sin restricciones. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-251374 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Karjasoft Sami HTTP Server 2.0 (CVE-2021-4433)
    Severidad: MEDIA
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    Se encontró una vulnerabilidad en Karjasoft Sami HTTP Server 2.0. Ha sido clasificada como problemática. Una función desconocida del componente HTTP HEAD Rrequest Handler es afectada por esta vulnerabilidad. La manipulación conduce a la denegación del servicio. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-250836.
  • Vulnerabilidad en Android11/Android12/Android13 (CVE-2023-48353)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    En vsp driver, existe un posible use after free debido a un error lógico. Esto podría provocar una denegación de servicio local con privilegios de ejecución del Sistema necesarios.
  • Vulnerabilidad en Android11/Android12/Android13 (CVE-2023-48354)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    En telephone service existe una posible validación de entrada incorrecta. Esto podría conducir a la divulgación de información local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Android11/Android12/Android13 (CVE-2023-48355)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    En jpg driver, existe una posible escritura fuera de los límites debido a una verificación de límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución del sistema necesarios.
  • Vulnerabilidad en Android11/Android12/Android13 (CVE-2023-48356)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    En jpg driver, existe una posible escritura fuera de los límites debido a una verificación de límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución del sistema necesarios.
  • Vulnerabilidad en Android11/Android12/Android13 (CVE-2023-48357)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    En vsp driver, existe una posible escritura fuera de los límites debido a una verificación de límites faltante. Esto podría provocar una denegación de servicio local con privilegios de ejecución del sistema necesarios.
  • Vulnerabilidad en Android11/Android12/Android13 (CVE-2023-48358)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    En drm driver, existe una posible escritura fuera de los límites debido a una comprobación de límites faltante. Esto podría provocar una denegación de servicio local con privilegios de ejecución del sistema necesarios.
  • Vulnerabilidad en Android11/Android12/Android13 (CVE-2023-48359)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    En autotest driver, existe una posible escritura fuera de los límites debido a una validación de entrada incorrecta. Esto podría provocar una denegación de servicio local con privilegios de ejecución del sistema necesarios.
  • Vulnerabilidad en El complemento WP Recipe Maker para WordPress (CVE-2023-6958)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    El complemento WP Recipe Maker para WordPress es vulnerable a las Cross-Site Scripting Almacenado a través de los códigos cortos del complemento en todas las versiones hasta la 9.1.0 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en El complemento WP Recipe Maker para WordPress (CVE-2023-6970)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    El complemento WP Recipe Maker para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del encabezado 'Referer' en todas las versiones hasta la 9.1.0 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en El complemento WP Recipe Maker para WordPress (CVE-2024-0381)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    El complemento WP Recipe Maker para WordPress es vulnerable a Cross-Site Scripting almacenado mediante el uso del atributo 'tag' en los códigos cortos wprm-recipe-name, wprm-recipe-date y wprm-recipe-counter en todas las versiones hasta 9.1.0, incluido. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2023-51463)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    Las versiones 6.5.18 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS)reflejado. Si un atacante con pocos privilegios puede convencer a una víctima para que visite una URL que hace referencia a una página vulnerable, se puede ejecutar contenido JavaScript malicioso dentro del contexto del navegador de la víctima.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2023-51464)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    Las versiones 6.5.18 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante con pocos privilegios podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en IBM App Connect Enterprise (CVE-2024-22317)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    IBM App Connect Enterprise 11.0.0.1 a 11.0.0.24 y 12.0.1.0 a 12.0.11.0 podría permitir a un atacante remoto obtener información confidencial o provocar una denegación de servicio debido a una restricción inadecuada de intentos de autenticación excesivos. ID de IBM X-Force: 279143.
  • Vulnerabilidad en Macroturk Software and Internet Technologies Macro-Bel (CVE-2023-7153)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 24/01/2024
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en Macroturk Software and Internet Technologies Macro-Bel permite XSS reflejado. Este problema afecta a Macro-Bel: versiones anteriores a V.1.0.1.
  • Vulnerabilidad en IBM Sterling Control Center (CVE-2023-35020)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 24/01/2024
    IBM Sterling Control Center versión 6.3.0 podría permitir que un atacante remoto atraviese directorios del sistema. Un atacante podría enviar una solicitud URL especialmente manipulada que contenga secuencias de "puntos" (/../) para ver archivos arbitrarios en el sistema. ID de IBM X-Force: 257874.
  • Vulnerabilidad en IBM OpenPages con Watson (CVE-2023-38738)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 24/01/2024
    IBM OpenPages con Watson 8.3 y 9.0 podría proporcionar una seguridad más débil de lo esperado en un entorno OpenPages utilizando autenticación nativa. Si OpenPages utiliza autenticación nativa, un atacante con acceso a la base de datos de OpenPages podría, mediante una serie de pasos especialmente manipulados, explotar esta debilidad y obtener acceso no autorizado a otras cuentas de OpenPages. ID de IBM X-Force: 262594.
  • Vulnerabilidad en IBM OpenPages con Watson (CVE-2023-40683)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 24/01/2024
    IBM OpenPages con Watson 8.3 y 9.0 podría permitir a un atacante remoto eludir las restricciones de seguridad causadas por comprobaciones de autorización insuficientes. Al autenticarse como usuario de OpenPages y utilizar API no públicas, un atacante podría aprovechar esta vulnerabilidad para eludir la seguridad y obtener acceso administrativo no autorizado a la aplicación. ID de IBM X-Force: 264005.
  • Vulnerabilidad en IBM Maximo Spatial Asset Management 8.10 (CVE-2023-32337)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 24/01/2024
    IBM Maximo Spatial Asset Management 8.10 es vulnerable a server-side request forgery (SSRF). Esto puede permitir que un atacante autenticado envíe solicitudes no autorizadas desde el sistema, lo que podría provocar la enumeración de la red o facilitar otros ataques. ID de IBM X-Force: 255288.
  • Vulnerabilidad en IBM Maximo Asset Management y Manage Component (CVE-2023-47718)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 24/01/2024
    IBM Maximo Asset Management 7.6.1.3 y Manage Component 8.10 a 8.11 son vulnerables a cross-site request forgery, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas por un usuario en el que confía el sitio web. ID de IBM X-Force: 271843.
  • Vulnerabilidad en IBM Storage Defender - Data Protect (CVE-2023-50963)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/01/2024
    Fecha de última actualización: 24/01/2024
    IBM Storage Defender - Data Protect 1.0.0 a 1.4.1 es vulnerable a la inyección de encabezados HTTP, causada por una validación incorrecta de la entrada por parte de los encabezados HOST. Esto podría permitir que un atacante realice varios ataques contra el sistema vulnerable, incluido cross-site scripting, envenenamiento de caché o secuestro de sesión. ID de IBM X-Force: 276101.