Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en JT2Go y Teamcenter Visualization (CVE-2022-41278)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2022
    Fecha de última actualización: 01/02/2024
    Se ha identificado una vulnerabilidad en: JT2Go (Todas las versiones < V14.1.0.6), Teamcenter Visualization V13.2 (Todas las versiones < V13.2.0.12), Teamcenter Visualization V13.3 (Todas las versiones < V13.3.0. 8), Teamcenter Visualization V14.0 (todas las versiones < V14.0.0.4), Teamcenter Visualization V14.1 (todas las versiones < V14.1.0.6). CGM_NIST_Loader.dll contiene una vulnerabilidad de desreferencia de puntero nulo al analizar archivos CGM especialmente manipulados. Un atacante podría aprovechar esta vulnerabilidad para bloquear la aplicación y provocar una condición de Denegación de Servicio (DoS).
  • Vulnerabilidad en JT2Go y Teamcenter Visualization (CVE-2022-41287)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/12/2022
    Fecha de última actualización: 01/02/2024
    Se ha identificado una vulnerabilidad en: JT2Go (Todas las versiones < V14.1.0.6), Teamcenter Visualization V13.2 (Todas las versiones < V13.2.0.12), Teamcenter Visualization V13.3 (Todas las versiones < V13.3.0. 8), Teamcenter Visualization V14.0 (todas las versiones < V14.0.0.4), Teamcenter Visualization V14.1 (todas las versiones < V14.1.0.6). CGM_NIST_Loader.dll contiene una vulnerabilidad de división por cero al analizar un archivo CGM. Un atacante podría aprovechar esta vulnerabilidad para bloquear la aplicación y provocar una condición de Denegación de Servicio (DoS).
  • Vulnerabilidad en SourceCodester Event Registration System 1.0 (CVE-2022-4232)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/11/2022
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad fue encontrada en SourceCodester Event Registration System 1.0 y clasificada como crítica. Una función desconocida es afectada por esta función. La manipulación del argumento cmd conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. VDB-214590 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Event Registration System 1.0 (CVE-2022-4233)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/11/2022
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad fue encontrada en SourceCodester Event Registration System 1.0 y clasificada como problemática. Una funcionalidad desconocida del archivo /event/admin/?page=user/list es afectada por esta vulnerabilidad. La manipulación del argumento Nombre/Apellido conduce a cross site scripting. El ataque se puede lanzar de forma remota. El identificador asociado de esta vulnerabilidad es VDB-214591.
  • Vulnerabilidad en ETIC Telecom (CVE-2022-3703)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/11/2022
    Fecha de última actualización: 01/02/2024
    Todas las versiones de ETIC Telecom Remote Access Server (RAS) 4.5.0 y el portal web anterior son vulnerables a aceptar paquetes de firmware maliciosos que podrían proporcionar backdoor a un atacante y proporcionar una escalada de privilegios al dispositivo.
  • Vulnerabilidad en vim/vim de GitHub (CVE-2023-4781)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/09/2023
    Fecha de última actualización: 01/02/2024
    Desbordamiento de búfer basado en el heap en el repositorio de GitHub vim/vim anterior a la versión 9.0.1873.
  • Vulnerabilidad en GitHub vim/vim (CVE-2023-4738)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/09/2023
    Fecha de última actualización: 01/02/2024
    Desbordamiento de búfer basado en el heap en el repositorio de GitHub vim/vim versió anterior a 9.0.1848.
  • Vulnerabilidad en Loofah sobre Nokogiri (CVE-2022-23515)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2022
    Fecha de última actualización: 01/02/2024
    Loofah es una librería general para manipular y transformar documentos y fragmentos HTML / XML, construida sobre Nokogiri. Loofah >= 2.1.0, < 2.19.1 es vulnerable a Cross-Site Scripting (XSS) a través del tipo de medio image/svg+xml en las URI de datos. Este problema está parcheado en la versión 2.19.1.
  • Vulnerabilidad en rails-html-sanitizer (CVE-2022-23517)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2022
    Fecha de última actualización: 01/02/2024
    rails-html-sanitizer es responsable de sanitizar fragmentos HTML en aplicaciones Rails. Ciertas configuraciones de rails-html-sanitizer < 1.4.4 utilizan una expresión regular ineficiente que es susceptible a un retroceso excesivo al intentar sanitizar ciertos atributos SVG. Esto puede provocar una denegación de servicio a través del consumo de recursos de CPU. Este problema se ha corregido en la versión 1.4.4.
  • Vulnerabilidad en rails-html-sanitizer (CVE-2022-23518)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2022
    Fecha de última actualización: 01/02/2024
    rails-html-sanitizer es responsable de sanitizar fragmentos HTML en aplicaciones Rails. Las versiones >= 1.0.3, < 1.4.4 son vulnerables a Cross-Site Scripting (XSS) a través de URI de datos cuando se usan en combinación con Loofah >= 2.1.0. Este problema está parcheado en la versión 1.4.4.
  • Vulnerabilidad en rails-html-sanitizer (CVE-2022-23519)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2022
    Fecha de última actualización: 01/02/2024
    rails-html-sanitizer es responsable de sanitizar fragmentos HTML en aplicaciones Rails. Antes de la versión 1.4.4, una posible vulnerabilidad XSS con ciertas configuraciones de Rails::Html::Sanitizer podía permitir a un atacante inyectar contenido si el desarrollador de la aplicación había anulado las etiquetas permitidas del sanitizador de cualquiera de las siguientes maneras: permitir ambas "math " y "syle", o permitir elementos "svg" y "style". El código solo se ve afectado si se anulan las etiquetas permitidas. . Este problema se solucionó en la versión 1.4.4. Todos los usuarios que anulen las etiquetas permitidas para incluir "math" o "svg" y "style" deben actualizar o utilizar el siguiente workaround inmediatamente: eliminar "style" de las etiquetas permitidas anuladas, o eliminar "math" y "svg" de la etiquetas permitidas anuladas.
  • Vulnerabilidad en rails-html-sanitizer (CVE-2022-23520)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/12/2022
    Fecha de última actualización: 01/02/2024
    rails-html-sanitizer es responsable de sanitizar fragmentos HTML en aplicaciones Rails. Antes de la versión 1.4.4, existe una posible vulnerabilidad XSS con ciertas configuraciones de Rails::Html::Sanitizer debido a una solución incompleta de CVE-2022-32209. Rails::Html::Sanitizer puede permitir que un atacante inyecte contenido si el desarrollador de la aplicación ha anulado las etiquetas permitidas del sanitizador para permitir elementos de "select" y "style". El código solo se ve afectado si se anulan las etiquetas permitidas. Este problema se solucionó en la versión 1.4.4. Todos los usuarios que anulen las etiquetas permitidas para incluir "select" y "style" deben actualizar o utilizar el workaround: eliminar "select" o "style" de las etiquetas permitidas anuladas. NOTA: El código _no_ se ve afectado si las etiquetas permitidas se anulan usando la opción :tags para el método auxiliar sanitizador de Action View o la opción :tags para el método de instancia SafeListSanitizer#sanitize.
  • Vulnerabilidad en GitHub (CVE-2023-4733)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/09/2023
    Fecha de última actualización: 01/02/2024
    Use After Free en el repositorio de GitHub vim/vim anterior a 9.0.1840.
  • Vulnerabilidad en GitHub (CVE-2023-4750)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/09/2023
    Fecha de última actualización: 01/02/2024
    Use After Free en el repositorio de GitHub vim/vim anterior a 9.0.1857.
  • Vulnerabilidad en GitHub (CVE-2023-4752)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/09/2023
    Fecha de última actualización: 01/02/2024
    Use After Free en el repositorio de GitHub vim/vim anterior a 9.0.1858.
  • Vulnerabilidad en wpdevart Gallery – Image and Video Gallery with Thumbnails (CVE-2023-45629)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/10/2023
    Fecha de última actualización: 01/02/2024
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en el complemento wpdevart Gallery – Image and Video Gallery with Thumbnails en versiones <= 2.0.3.
  • Vulnerabilidad en kernel de Linux (CVE-2023-6931)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 01/02/2024
    Se puede aprovechar una vulnerabilidad de escritura fuera de los límites en la pila en el componente del sistema Performance Events del kernel de Linux para lograr una escalada de privilegios local. El read_size de un perf_event puede desbordarse, lo que lleva a un incremento o escritura fuera de los límites en la pila en perf_read_group(). Recomendamos actualizar al commit anterior 382c27f4ed28f803b1f1473ac2d8db0afc795a1b.
  • Vulnerabilidad en CodeAstro Internet Banking System 1.0 (CVE-2024-0781)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad fue encontrada en CodeAstro Internet Banking System 1.0 y clasificada como problemática. Esto afecta a una parte desconocida del archivo pages_client_signup.php. La manipulación del argumento Client Full Name con la entrada conduce a una redirección abierta. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-251697.
  • Vulnerabilidad en Tuta (CVE-2024-23330)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 01/02/2024
    Tuta es un servicio de correo electrónico cifrado. En versiones anteriores a la 119.10, un atacante puede adjuntar una imagen en un correo html que se carga desde un recurso externo en la configuración predeterminada, lo que debería impedir la carga de recursos externos. Al mostrar correos electrónicos con contenido externo, deben cargarse de forma predeterminada solo después de la confirmación por parte del usuario. Sin embargo, se podría reconocer que ciertas imágenes incrustadas (ver PoC) están cargadas, aunque la función "Recarga automática de imágenes" esté deshabilitada de forma predeterminada. La recarga también se realiza sin cifrar a través de HTTP y se siguen las redirecciones. Este comportamiento es inesperado para el usuario, ya que el usuario asume que el contenido externo solo se cargará después de una confirmación manual explícita. La carga de contenido externo en los correos electrónicos representa un riesgo, porque esto hace que el remitente sepa qué dirección de correo electrónico se utiliza, cuándo se leyó el correo electrónico, qué dispositivo se utiliza y expone la dirección IP del usuario. La versión 119.10 contiene un parche para este problema.
  • Vulnerabilidad en ROS2 Foxy Fitzroy ROS_VERSION=2 y ROS_PYTHON_VERSION=3 (CVE-2023-51200)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 01/02/2024
    Un problema en las configuraciones predeterminadas de ROS2 Foxy Fitzroy ROS_VERSION=2 y ROS_PYTHON_VERSION=3 permite a atacantes no autenticados autenticarse usando credenciales predeterminadas.
  • Vulnerabilidad en ROS2 Foxy Fitzroy ROS_VERSION=2 y ROS_PYTHON_VERSION=3 (CVE-2023-51199)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 01/02/2024
    Vulnerabilidad de desbordamiento de búfer en ROS2 Foxy Fitzroy ROS_VERSION=2 y ROS_PYTHON_VERSION=3 permite a atacantes ejecutar código arbitrario o provocar una denegación de servicio mediante el manejo inadecuado de matrices o cadenas.
  • Vulnerabilidad en ROS2 Foxy Fitzroy ROS_VERSION=2 y ROS_PYTHON_VERSION=3 (CVE-2023-51201)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 01/02/2024
    Problema de transmisión de texto plano en ROS2 (sistema operativo de robot 2) Foxy Fitzroy, con ROS_VERSION=2 y ROS_PYTHON_VERSION=3 permite a los atacantes acceder a información confidencial a través de un ataque man in the middle.
  • Vulnerabilidad en ROS2 Foxy Fitzroy ROS_VERSION=2 y ROS_PYTHON_VERSION=3 (CVE-2023-51208)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad de carga arbitraria de archivos en ROS2 Foxy Fitzroy ROS_VERSION=2 y ROS_PYTHON_VERSION=3 permite a los atacantes ejecutar código arbitrario y causar otros impactos mediante la carga de archivos manipulados.
  • Vulnerabilidad en Label Studio (CVE-2023-47115)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 01/02/2024
    Label Studio es una popular herramienta de etiquetado de datos de código abierto. Las versiones anteriores a la 1.9.2 tienen una vulnerabilidad de cross-site scripting (XSS) que podría explotarse cuando un usuario autenticado carga un archivo de imagen manipulado para su avatar que se representa como un archivo HTML en el sitio web. La ejecución de JavaScript arbitrario podría provocar que un atacante realice acciones maliciosas en los usuarios de Label Studio si visitan la imagen de avatar creada. Por ejemplo, un atacante puede crear un payload de JavaScript que agregue un nuevo usuario de Superadministrador de Django si un administrador de Django visita la imagen. Las líneas 18-49 del archivo `users/functions.py` muestran que la única verificación de verificación es que el archivo es una imagen extrayendo las dimensiones del archivo. Label Studio sirve imágenes de avatar utilizando la vista "servir" incorporada de Django, que no es segura para uso en producción según la documentación de Django. El problema con la vista `serve` de Django es que determina el `Tipo de contenido` de la respuesta por la extensión del archivo en la ruta URL. Por lo tanto, un atacante puede cargar una imagen que contenga código HTML malicioso y nombrar el archivo con una extensión ".html" para que se represente como una página HTML. La única validación de la extensión de archivo se realiza en el lado del cliente, lo que se puede omitir fácilmente. La versión 1.9.2 soluciona este problema. Otras estrategias de corrección incluyen validar la extensión del archivo en el lado del servidor, no en el código del lado del cliente; eliminar el uso de la vista `serve` de Django e implementar un controlador seguro para ver las imágenes de avatar cargadas; guardar el contenido del archivo en la base de datos en lugar de en el sistema de archivos para mitigar otras vulnerabilidades relacionadas con los archivos; y evitar confiar en las entradas controladas por el usuario.
  • Vulnerabilidad en Label Studio (CVE-2024-23633)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/01/2024
    Fecha de última actualización: 01/02/2024
    Label Studio, una herramienta de etiquetado de datos de código abierto, tenía una función de importación remota que permitía a los usuarios importar datos desde una fuente web remota, que se descargaba y se podía ver en el sitio web. Antes de la versión 1.10.1, se podía abusar de esta característica para descargar un archivo HTML que ejecutaba código JavaScript malicioso en el contexto del sitio web de Label Studio. La ejecución de JavaScript arbitrario podría provocar que un atacante realice acciones maliciosas en los usuarios de Label Studio si visitan la imagen de avatar creada. Por ejemplo, un atacante puede crear un payload de JavaScript que agregue un nuevo usuario de Superadministrador de Django si un administrador de Django visita la imagen. Las líneas 125C5 a 146 de `data_import/uploader.py` mostraban que si una URL pasaba las verificaciones de verificación de server side request forgery, el contenido del archivo se descargaría usando el nombre de archivo en la URL. La ruta del archivo descargado podría recuperarse enviando una solicitud a `/api/projects/{project_id}/file-uploads?ids=[{download_id}]` donde `{project_id}` era el ID del proyecto y `{ download_id}` era el ID del archivo descargado. Una vez que el endpoint API anterior recuperó la ruta del archivo descargado, las líneas `data_import/api.py` 595C1 a 616C62 demostraron que el `Content-Type` de la respuesta estaba determinado por la extensión del archivo, ya que `mimetypes.guess_type` adivina el `Tipo de contenido` basado en la extensión del archivo. Dado que el "Tipo de contenido" estaba determinado por la extensión del archivo descargado, un atacante podría importar un archivo ".html" que ejecutaría JavaScript cuando lo visitara. La versión 1.10.1 contiene un parche para este problema. También se encuentran disponibles otras estrategias de remediación. Para todos los archivos proporcionados por el usuario que Label Studio descarga, configure el encabezado de respuesta `Content-Security-Policy: sandbox;` cuando se vea en el sitio. La directiva `sandbox` restringe las acciones de una página para evitar ventanas emergentes, la ejecución de complementos y scripts y aplica una política de `mismo origen`. Alternativamente, restrinja las extensiones de archivos permitidas que se pueden descargar.
  • Vulnerabilidad en Contiki-NG tinyDTLS (CVE-2021-42147)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/01/2024
    Fecha de última actualización: 01/02/2024
    Vulnerabilidad de lectura excesiva del búfer en la función dtls_sha256_update en Contiki-NG tinyDTLS a través de la rama maestra 53a0d97 permite a atacantes remotos provocar una denegación de servicio a través de un paquete de datos manipulado.
  • Vulnerabilidad en EzServer 6.4.017 (CVE-2024-23985)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/01/2024
    Fecha de última actualización: 01/02/2024
    EzServer 6.4.017 permite una denegación de servicio (caída del daemon) a través de una cadena larga, como la del comando RNTO.
  • Vulnerabilidad en Networker (CVE-2024-22432)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/01/2024
    Fecha de última actualización: 01/02/2024
    Networker 19.9 y todas las versiones anteriores contienen una contraseña de texto plano almacenada en un archivo de configuración temporal durante la duración de la copia de seguridad en las copias de seguridad de la base de datos NMDA MySQL. El usuario que tiene acceso con privilegios bajos al sistema Networker Client podría explotar esta vulnerabilidad, lo que llevaría a la divulgación de las credenciales de usuario configuradas de la base de datos MySQL. Es posible que el atacante pueda utilizar las credenciales expuestas para acceder a la base de datos de la aplicación vulnerable con los privilegios de la cuenta comprometida.
  • Vulnerabilidad en Motorola MR2600 (CVE-2024-23626)
    Severidad: ALTA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Existe una vulnerabilidad de inyección de comandos en el parámetro 'SaveSysLogParams' del Motorola MR2600. Un atacante remoto puede aprovechar esta vulnerabilidad para lograr la ejecución de comandos. Se requiere autenticación, pero se puede omitir.
  • Vulnerabilidad en Motorola MR2600 (CVE-2024-23627)
    Severidad: ALTA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Existe una vulnerabilidad de inyección de comandos en el parámetro 'SaveStaticRouteIPv4Params' del Motorola MR2600. Un atacante remoto puede aprovechar esta vulnerabilidad para lograr la ejecución de comandos. Se requiere autenticación, pero se puede omitir.
  • Vulnerabilidad en van_der_Schaar LAB TemporAI 0.0.3 (CVE-2024-0936)
    Severidad: ALTA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad fue encontrada en van_der_Schaar LAB TemporAI 0.0.3 y clasificada como crítica. La función load_from_file del componente PKL File Handler es afectada por esta vulnerabilidad. La manipulación conduce a la deserialización. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-252181. NOTA: Se contactó al proveedor con anticipación y confirmó de inmediato la existencia del problema. Está previsto lanzar un parche en febrero de 2024.
  • Vulnerabilidad en OpenFGA (CVE-2024-23820)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    OpenFGA, un motor de autorización/permisos, es vulnerable a un ataque de denegación de servicio en versiones anteriores a la 1.4.3. En algunos escenarios que dependen del modelo y las tuplas utilizadas, es posible que una llamada a `ListObjects` no libere memoria correctamente. Entonces, cuando se ejecuta una cantidad suficientemente alta de esas llamadas, el servidor OpenFGA puede crear un error de "memoria insuficiente" y finalizar. La versión 1.4.3 contiene un parche para este problema.
  • Vulnerabilidad en van_der_Schaar LAB synthcity 0.2.9 (CVE-2024-0937)
    Severidad: ALTA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad fue encontrada en van_der_Schaar LAB synthcity 0.2.9 y clasificada como crítica. La función load_from_file del componente PKL File Handler es afectada por esta vulnerabilidad. La manipulación conduce a la deserialización. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-252182 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó al proveedor con anticipación y confirmó de inmediato la existencia del problema. Está previsto lanzar un parche en febrero de 2024.
  • Vulnerabilidad en Tongda OA 2017 (CVE-2024-0938)
    Severidad: MEDIA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad fue encontrada en Tongda OA 2017 hasta 11.9 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /general/email/inbox/delete_webmail.php. La manipulación del argumento WEBBODY_ID_STR conduce a la inyección SQL. La explotación ha sido divulgada al público y puede utilizarse. La actualización a la versión 11.10 puede solucionar este problema. Se recomienda actualizar el componente afectado. El identificador asociado de esta vulnerabilidad es VDB-252183. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Novel-Plus 4.3.0-RC1 (CVE-2024-0941)
    Severidad: MEDIA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad fue encontrada en Novel-Plus 4.3.0-RC1 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /novel/bookComment/list. La manipulación del argumento sort conduce a la inyección de SQL. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-252185. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.