Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la función usbhid_parse en el kernel de Linux (CVE-2017-16533)
    Severidad: ALTA
    Fecha de publicación: 04/11/2017
    Fecha de última actualización: 12/03/2024
    La función usbhid_parse en drivers/hid/usbhid/hid-core.c en el kernel de Linux, en versiones anteriores a la 4.13.8, permite que los usuarios locales provoquen una denegación de servicio (lectura fuera de límites y cierre inesperado del sistema) o, posiblemente, causen otros impactos no especificados mediante llamadas del sistema manipuladas.
  • Vulnerabilidad en las funciones de tiempo en las versiones de 64 bits de la biblioteca estándar de Microsoft Visual C++ (CVE-2007-0842)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2007
    Fecha de última actualización: 12/03/2024
    Las versiones de 64 bits de la biblioteca estándar de Microsoft Visual C++ versión 8.0 (MSVCR80.DLL) funciones de tiempo, incluyendo (1) localtime, (2) localtime_s, (3) gmtime, (4) gmtime_s, (5) ctime, (6) ctime_s , (7) wctime, (8) wctime_s, y (9) fstat, activan un error de aserción en lugar de un puntero NULL o EINVAL al procesar un argumento time después del 1 de enero de 3000, lo que podría permitir a los atacantes dependiendo del contexto causar una denegación de servicio (salida de aplicación) por medio de grandes valores de tiempo. NOTA: se podría argumentar que se trata de una limitación de diseño de las funciones, y la vulnerabilidad reside en cualquier aplicación que no valide los argumentos de estas funciones. Sin embargo, este comportamiento es inconsistente con la documentación, la cual no enumera las aserciones como un posible resultado de una condición de error.
  • Vulnerabilidad en las direcciones URL no válidas o malformadas en Next.js (CVE-2021-43803)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2021
    Fecha de última actualización: 12/03/2024
    Next.js es un framework de React. En las versiones de Next.js anteriores a 12.0.5 o 11.1.3, las direcciones URL no válidas o malformadas podrían conllevar a un bloqueo del servidor. Para verse afectado por este problema, el despliegue debe usar versiones de Next.js superiores a 11.1.0 y anteriores a 12.0.5, Node.js versiones posteriores a 15.0.0, y el siguiente inicio o un servidor personalizado. Los despliegues en Vercel no están afectados, junto con entornos similares en los que las peticiones no válidas son filtradas antes de llegar a Next.js. Las versiones 12.0.5 y 11.1.3 contienen parches para este problema
  • Vulnerabilidad en el repositorio de GitHub automattic/mongoose (CVE-2022-2564)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/07/2022
    Fecha de última actualización: 12/03/2024
    Una Contaminación de Prototipo en el repositorio de GitHub automattic/mongoose versiones anteriores a 6.4.6
  • Vulnerabilidad en una interacción de los códigos QR con un exec en la opción -r en vpn-user-portal (CVE-2021-41583)
    Severidad: ALTA
    Fecha de publicación: 24/09/2021
    Fecha de última actualización: 12/03/2024
    vpn-user-portal (también se conoce como eduVPN o Let's Connect!) versiones anteriores a 2.3.14, empaquetado para Debian 10, Debian 11 y Fedora, permite a usuarios remotos autenticados conseguir acceso al sistema de archivos del Sistema Operativo, debido a una interacción de los códigos QR con un exec que utiliza la opción -r. Esto puede ser aprovechado para conseguir acceso adicional a la VPN.
  • Vulnerabilidad en IBM Robotic Process Automation 21.0.2 (CVE-2022-22506)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/02/2024
    Fecha de última actualización: 12/03/2024
    IBM Robotic Process Automation 21.0.2 contiene una vulnerabilidad que podría permitir que los ID de usuario queden expuestos entre inquilinos. ID de IBM X-Force: 227293.
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21349)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 12/03/2024
    Vulnerabilidad de ejecución remota de código de objetos de datos ActiveX de Microsoft
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21356)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 12/03/2024
    Vulnerabilidad de denegación de servicio del Protocolo ligero de acceso a directorios (LDAP) de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21339)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 12/03/2024
    Vulnerabilidad de ejecución remota de código del controlador principal genérico USB de Windows
  • Vulnerabilidad en ECshop 4.1.8 (CVE-2024-1530)
    Severidad: MEDIA
    Fecha de publicación: 15/02/2024
    Fecha de última actualización: 12/03/2024
    Una vulnerabilidad fue encontrada en ECshop 4.1.8 y clasificada como crítica. Una función desconocida del archivo /admin/view_sendlist.php es afectada por esta vulnerabilidad. La manipulación conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-250562 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Acrobat Reader (CVE-2024-20735)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/02/2024
    Fecha de última actualización: 12/03/2024
    Las versiones 20.005.30539, 23.008.20470 y anteriores de Acrobat Reader se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Acrobat Reader (CVE-2024-20736)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/02/2024
    Fecha de última actualización: 12/03/2024
    Las versiones 20.005.30539, 23.008.20470 y anteriores de Acrobat Reader se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Adobe Framemaker (CVE-2024-20738)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/02/2024
    Fecha de última actualización: 12/03/2024
    Las versiones 2022.1 y anteriores de Adobe Framemaker se ven afectadas por una vulnerabilidad de autenticación incorrecta que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta vulnerabilidad para eludir los mecanismos de autenticación y obtener acceso no autorizado. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Oracle Installed Base de Oracle E-Business Suite (CVE-2024-20941)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/02/2024
    Fecha de última actualización: 12/03/2024
    Vulnerabilidad en el producto Oracle Installed Base de Oracle E-Business Suite (componente: interfaz de usuario HTML). Las versiones compatibles que se ven afectadas son 12.2.3-12.2.13. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa la base instalada de Oracle. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad está en la base instalada de Oracle, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserción o eliminación de algunos de los datos accesibles de Oracle Installed Base, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Installed Base. CVSS 3.1 Puntaje base 6.1 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
  • Vulnerabilidad en Oracle Knowledge Management de Oracle E-Business Suite (CVE-2024-20943)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/02/2024
    Fecha de última actualización: 12/03/2024
    Vulnerabilidad en el producto Oracle Knowledge Management de Oracle E-Business Suite (componente: Operaciones Internas). Las versiones compatibles que se ven afectadas son 12.2.3-12.2.13. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y acceso a la red a través de HTTP comprometa Oracle Knowledge Management. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad está en Oracle Knowledge Management, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserción o eliminación de algunos de los datos accesibles de Oracle Knowledge Management, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Knowledge Management. CVSS 3.1 Puntaje base 5.4 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
  • Vulnerabilidad en Apache OFBiz (CVE-2024-23946)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 12/03/2024
    Posible path traversal en Apache OFBiz permitiendo la inclusión de archivos. Se recomienda a los usuarios actualizar a la versión 18.12.12, que soluciona el problema.
  • Vulnerabilidad en libming v0.4.8 (CVE-2024-24146)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 12/03/2024
    Un problema de pérdida de memoria descubierto en parseSWF_DEFINEBUTTON en libming v0.4.8 permite a los atacantes provocar una denegación de servicio a través de un archivo SWF manipulado.
  • Vulnerabilidad en libming v0.4.8 (CVE-2024-24147)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 12/03/2024
    Un problema de pérdida de memoria descubierto en parseSWF_FILLSTYLEARRAY en libming v0.4.8 permite a los atacantes provocar una denegación de servicio a través de un archivo SWF manipulado.
  • Vulnerabilidad en libming v0.4.8 (CVE-2024-24149)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 12/03/2024
    Un problema de pérdida de memoria descubierto en parseSWF_GLYPHENTRY en libming v0.4.8 permite a los atacantes provocar una denegación de servicio a través de un archivo SWF manipulado.
  • Vulnerabilidad en libming v0.4.8 (CVE-2024-24150)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 12/03/2024
    Un problema de pérdida de memoria descubierto en parseSWF_TEXTRECORD en libming v0.4.8 permite a los atacantes provocar una denegación de servicio a través de un archivo SWF manipulado.
  • Vulnerabilidad en iOS y iPadOS (CVE-2024-23225)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 12/03/2024
    Se solucionó un problema de corrupción de memoria con una validación mejorada. Este problema se solucionó en iOS 16.7.6 y iPadOS 16.7.6, iOS 17.4 y iPadOS 17.4. Un atacante con capacidad arbitraria de lectura y escritura del kernel puede eludir las protecciones de la memoria del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado.
  • Vulnerabilidad en iOS y iPadOS (CVE-2024-23296)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 12/03/2024
    Se solucionó un problema de corrupción de memoria con una validación mejorada. Este problema se solucionó en iOS 17.4 y iPadOS 17.4. Un atacante con capacidad arbitraria de lectura y escritura del kernel puede eludir las protecciones de la memoria del kernel. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado.
  • Vulnerabilidad en TP-Link JetStream Smart Switch TL-SG2210P 5.0 Build 20211201 (CVE-2023-43318)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/03/2024
    Fecha de última actualización: 12/03/2024
    TP-Link JetStream Smart Switch TL-SG2210P 5.0 Build 20211201 permite a los atacantes escalar privilegios mediante la modificación de los valores 'tid' y 'usrlvl' en las solicitudes GET.
  • Vulnerabilidad en VMware Cloud Director (CVE-2024-22256)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/03/2024
    Fecha de última actualización: 12/03/2024
    VMware Cloud Director contiene una vulnerabilidad de divulgación parcial de información. Un actor malintencionado puede potencialmente recopilar información sobre los nombres de las organizaciones en función del comportamiento de la instancia.