Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el archivo kernel/trace/trace.c en la función allocate_trace_buffer en el kernel de Linux (CVE-2017-18595)
    Severidad: ALTA
    Fecha de publicación: 04/09/2019
    Fecha de última actualización: 07/03/2024
    Se detectó un problema en el kernel de Linux versiones anteriores a 4.14.11. Una doble liberación puede ser causada por la función allocate_trace_buffer en el archivo kernel/trace/trace.c.
  • Vulnerabilidad en Windows GDI (CVE-2023-38161)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2023
    Fecha de última actualización: 07/03/2024
    Vulnerabilidad de Elevación de Privilegios de Windows GDI
  • Vulnerabilidad en mp_grow en libtom libtommath (CVE-2023-36328)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/09/2023
    Fecha de última actualización: 07/03/2024
    La vulnerabilidad de Desbordamiento de Enteros en mp_grow en libtom libtommath antes de commit beba892bc0d4e4ded4d667ab1d2a94f4d75109a9, permite a los atacantes ejecutar código arbitrario y provocar una denegación de servicio (DoS).
  • Vulnerabilidad en QEMU (CVE-2023-5088)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/11/2023
    Fecha de última actualización: 07/03/2024
    Un error en QEMU podría causar que una operación de E/S de invitado que de otro modo estaría dirigida a un desplazamiento de disco arbitrario se dirija al desplazamiento 0 (potencialmente sobrescribiendo el código de arranque de la VM). Esto podría ser utilizado, por ejemplo, por invitados L2 con un disco virtual (vdiskL2) almacenado en un disco virtual de un hipervisor L1 (vdiskL1) para leer y/o escribir datos en el LBA 0 de vdiskL1, obteniendo potencialmente el control de L1 en su próximo reinicio.
  • Vulnerabilidad en Jenkins y LTS (CVE-2024-23897)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/01/2024
    Fecha de última actualización: 07/03/2024
    Jenkins 2.441 y anteriores, LTS 2.426.2 y anteriores no desactivan una función de su analizador de comandos CLI que reemplaza un carácter '@' seguido de una ruta de archivo en un argumento con el contenido del archivo, lo que permite a atacantes no autenticados leer archivos arbitrarios en el sistema de archivos del controlador Jenkins.
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21391)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/03/2024
    Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21412)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/03/2024
    Vulnerabilidad de omisión de la función de seguridad de archivos de acceso directo a Internet
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21362)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/03/2024
    Vulnerabilidad de omisión de la característica de seguridad del kernel de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21364)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/03/2024
    Vulnerabilidad de elevación de privilegios de Microsoft Azure Site Recovery
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21376)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/03/2024
    Vulnerabilidad de ejecución remota de código del contenedor confidencial del servicio Microsoft Azure Kubernetes
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21347)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/03/2024
    Vulnerabilidad de ejecución remota de código del controlador ODBC de Microsoft
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21348)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/03/2024
    Vulnerabilidad de denegación de servicio de conexión compartida a Internet (ICS)
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21351)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/03/2024
    Vulnerabilidad de omisión de la función de seguridad SmartScreen de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21354)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/03/2024
    Vulnerabilidad de elevación de privilegios de Microsoft Message Queuing (MSMQ)
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21355)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/03/2024
    Vulnerabilidad de elevación de privilegios de Microsoft Message Queuing (MSMQ)
  • Vulnerabilidad en IBM Engineering Requisitos Management 9.7.2.7 (CVE-2023-28525)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 07/03/2024
    IBM Engineering Requisitos Management 9.7.2.7 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría conducir a la divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 251052.
  • Vulnerabilidad en IBM Engineering Requisitos Management DOORS 9.7.2.7 (CVE-2023-28949)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 07/03/2024
    IBM Engineering Requisitos Management DOORS 9.7.2.7 es vulnerable a la Cross-Site Request Forgery, lo que podría permitir a un atacante ejecutar acciones maliciosas y no autorizadas transmitidas por un usuario en el que confía el sitio web. ID de IBM X-Force: 251216.
  • Vulnerabilidad en IBM Engineering Requisitos Management DOORS 9.7.2.7 (CVE-2023-50305)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 07/03/2024
    IBM Engineering Requisitos Management DOORS 9.7.2.7 no requiere que los usuarios tengan contraseñas seguras de forma predeterminada, lo que facilita que los atacantes comprometan las cuentas de los usuarios. ID de IBM X-Force: 273336.
  • Vulnerabilidad en Industrial Control Systems Network Protocol Parsers (CVE-2023-7242)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 07/03/2024
    Industrial Control Systems Network Protocol Parsers (ICSNPP): las versiones d78dda6 y anteriores del complemento Ethercat Zeek son vulnerables a lecturas fuera de los límites durante el proceso de análisis de un paquete Ethercat específico. Esto podría permitir que un atacante bloquee el proceso Zeek y filtre información en la memoria.
  • Vulnerabilidad en Industrial Control Systems Network Protocol Parsers (CVE-2023-7243)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 07/03/2024
    Industrial Control Systems Network Protocol Parsers (ICSNPP): las versiones d78dda6 y anteriores del complemento Ethercat Zeek son vulnerables a escritura fuera de los límites al analizar datagramas Ethercat específicos. Esto podría permitir que un atacante provoque la ejecución de código arbitrario.
  • Vulnerabilidad en Industrial Control Systems Network Protocol Parsers (CVE-2023-7244)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 07/03/2024
    Industrial Control Systems Network Protocol Parsers (ICSNPP): las versiones d78dda6 y anteriores del complemento Ethercat Zeek son vulnerables a escritura fuera de los límites en su función de análisis principal para paquetes de comunicación Ethercat. Esto podría permitir que un atacante provoque la ejecución de código arbitrario.
  • Vulnerabilidad en iOS y iPadOS (CVE-2024-23225)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 07/03/2024
    Se solucionó un problema de corrupción de memoria con una validación mejorada. Este problema se solucionó en iOS 16.7.6 y iPadOS 16.7.6, iOS 17.4 y iPadOS 17.4. Un atacante con capacidad arbitraria de lectura y escritura del kernel puede eludir las protecciones de la memoria del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado.
  • Vulnerabilidad en iOS y iPadOS (CVE-2024-23296)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 07/03/2024
    Se solucionó un problema de corrupción de memoria con una validación mejorada. Este problema se solucionó en iOS 17.4 y iPadOS 17.4. Un atacante con capacidad arbitraria de lectura y escritura del kernel puede eludir las protecciones de la memoria del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado.