Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • CVE-2006-3906
    Severidad: MEDIA
    Fecha de publicación: 27/07/2006
    Fecha de última actualización: 02/07/2024
    Protocolo Internet Key Exchange (IKE) version 1, implementado para Cisco IOS, VPN 3000 Concentrators, y PIX firewalls, permite a atacantes remotos provocar denegación de servicio (agotamiento de recursos) a través de un flood de paquetes IKE Phase-1 que exceden el ratio de expiración de la sesión. NOTA: se ha indicado que esto es debido a un diseño debil del protocolo IKe version 1, en cuyo caso otros vendedores e implementaciones podrían verse afectados.
  • Vulnerabilidad en la función futex_requeue en el kernel de Linux (CVE-2014-3153)
    Severidad: ALTA
    Fecha de publicación: 07/06/2014
    Fecha de última actualización: 02/07/2024
    La función futex_requeue en kernel/futex.c en el kernel de Linux hasta 3.14.5 no asegura que las llamadas tengan dos direcciones futex diferentes, lo que permite a usuarios locales ganar privilegios a través de un comando FUTEX_REQUEUE manipulado que facilita la modificación insegura del objeto o función a la espera.
  • Vulnerabilidad en el componente TS WebProxy en Microsoft Windows Vista, Windows 7, Windows Server 2008, Windows 8, Windows 8.1, Windows Server 2012 y Windows RT (CVE-2015-0016)
    Severidad: ALTA
    Fecha de publicación: 13/01/2015
    Fecha de última actualización: 02/07/2024
    Vulnerabilidad de salto de directorio en el componente TS WebProxy (también conocido como TSWbPrxy) en Microsoft Windows Vista SP2, Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold y R2, y Windows RT Gold y 8.1 permite a atacantes remotos ganar privilegios a través de un nombre de ruta manipulado en un fichero ejecutable, tal y como fue demostrado mediante una transición de integridad baja a integridad media, también conocido como 'vulnerabilidad de la elevación de privilegios del salto de directorio.'
  • Vulnerabilidad en Microsoft Internet Explorer 9 hasta 11 (CVE-2015-0071)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2015
    Fecha de última actualización: 02/07/2024
    Microsoft Internet Explorer 9 hasta 11 permite a atacantes remotos evadir el mecanismo de protección ASLR a través de un sitio web manipulado, también conocido como 'vulnerabilidad de la evasión de ASRL de Internet Explorer.'
  • Vulnerabilidad en Microsoft Internet Explorer (CVE-2016-0162)
    Severidad: MEDIA
    Fecha de publicación: 12/04/2016
    Fecha de última actualización: 02/07/2024
    Microsoft Internet Explorer 9 hasta la versión 11 permite a atacantes remotos determinar la existencia de archivos a través código JavaScript manipulado, también conocida como "Internet Explorer Information Disclosure Vulnerability".
  • Vulnerabilidad en Microsoft Internet Explorer y el Internet Messaging API en Windows Vista SP2, Windows Server 2008 y Windows 7 (CVE-2016-3298)
    Severidad: BAJA
    Fecha de publicación: 14/10/2016
    Fecha de última actualización: 02/07/2024
    Microsoft Internet Explorer 9 hasta la versión 11 y el Internet Messaging API en Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1 y Windows 7 SP1 permiten a atacantes remotos determinar la existencia de archivos arbitrarios a través de un sitio web manipulado, vulnerabilidad también conocida como "Internet Explorer Information Disclosure Vulnerability".
  • Vulnerabilidad en Microsoft Internet Explorer y Microsoft Edge (CVE-2016-3351)
    Severidad: BAJA
    Fecha de publicación: 14/09/2016
    Fecha de última actualización: 02/07/2024
    Microsoft Internet Explorer 9 hasta la versión 11 y Microsoft Edge permiten a atacantes remotos obtener información sensible a través de un sitio web manipulado, vulnerabilidad también conocida como "Microsoft Browser Information Disclosure Vulnerability".
  • Vulnerabilidad en Graphics Device Interface (CVE-2016-3393)
    Severidad: ALTA
    Fecha de publicación: 14/10/2016
    Fecha de última actualización: 02/07/2024
    Graphics Device Interface (tambien conocido como GDI o GDI+) en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1 y Windows 10 Gold, 1511 y 1607 permite a atacantes remotos ejecutar un código arbitrario a través de una página web manipulada, vulnerabilidad también conocida como "Windows Graphics Component RCE Vulnerability".
  • Vulnerabilidad en el kernel en Apple iOS (CVE-2016-4655)
    Severidad: ALTA
    Fecha de publicación: 25/08/2016
    Fecha de última actualización: 02/07/2024
    El kernel en Apple iOS en versiones anteriores a 9.3.5 permite a atacantes obtener información sensible de la memoria a través de una aplicación manipulada.
  • Vulnerabilidad en el kernel en Apple iOS (CVE-2016-4656)
    Severidad: ALTA
    Fecha de publicación: 25/08/2016
    Fecha de última actualización: 02/07/2024
    El kernel en Apple iOS en versiones anteriores a 9.3.5 permite a atacantes ejecutar código arbitrario en un contexto privilegiado o provocar una denegación de servicio (corrupción de memoria) a través de una aplicación manipulada.
  • Vulnerabilidad en WebKit en Apple iOS (CVE-2016-4657)
    Severidad: MEDIA
    Fecha de publicación: 25/08/2016
    Fecha de última actualización: 02/07/2024
    WebKit en Apple iOS en versiones anteriores a 9.3.5 permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un sitio web manipulado.
  • Vulnerabilidad en desbordamiento de búfer en Cisco Adaptive Security Applicance (ASA) Software hasta la versión 9.4.2.3 en dispositivos ASA 5500, ASA 5500-X, ASA Services Module, ASA 1000V, ASAv, Firepower 9300 ASA Security Module, PIX y FWSM (CVE-2016-6366)
    Severidad: ALTA
    Fecha de publicación: 18/08/2016
    Fecha de última actualización: 02/07/2024
    Desbordamiento de búfer en Cisco Adaptive Security Applicance (ASA) Software hasta la versión 9.4.2.3 en dispositivos ASA 5500, ASA 5500-X, ASA Services Module, ASA 1000V, ASAv, Firepower 9300 ASA Security Module, PIX y FWSM permite a usuarios remotos autenticados ejecutar código arbitrario a través de paquetes IPv4 SNMP manipulados, también conocido como Bug ID CSCva92151 o EXTRABACON.
  • Vulnerabilidad en Cisco Adaptive Security Applicance (ASA) Software en dispositivos ASA 5500, ASA 5500-X, PIX y FWSM (CVE-2016-6367)
    Severidad: MEDIA
    Fecha de publicación: 18/08/2016
    Fecha de última actualización: 02/07/2024
    Cisco Adaptive Security Applicance (ASA) Software en versiones anteriores a 8.4(1) en dispositivos ASA 5500, ASA 5500-X, PIX y FWSM permite a usuarios locales obtener privilegios a través de comandos CLI no válidos, también conocido como Bug ID CSCtu74257 o EPICBANANA.
  • Vulnerabilidad en atmfd.dll en la fuente de biblioteca Windows (CVE-2016-7256)
    Severidad: ALTA
    Fecha de publicación: 10/11/2016
    Fecha de última actualización: 02/07/2024
    atmfd.dll en la fuente de biblioteca Windows en Microsoft Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1, Windows 8.1, Windows Server 2012 Gold y R2, Windows RT 8.1, Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permite a atacantes remotos ejecutar un código arbitrario a través de de un sitio web manipulado, vulnerabilidad también conocida como "Open Type Font Remote Code Execution Vulnerability".
  • Vulnerabilidad en Microsoft Internet Explorer (CVE-2017-0149)
    Severidad: ALTA
    Fecha de publicación: 17/03/2017
    Fecha de última actualización: 02/07/2024
    Microsoft Internet Explorer 9 hasta la versión 11 permiten a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un sitio web manipulado, vulnerabilidad también conocida como "Internet Explorer Memory Corruption Vulnerability". Esta vulnerabilidad es diferente a la descrita en CVE-2017-0018 y CVE-2017-0037.
  • Vulnerabilidad en en Artifex Ghostscript (CVE-2017-8291)
    Severidad: MEDIA
    Fecha de publicación: 27/04/2017
    Fecha de última actualización: 02/07/2024
    Artifex Ghostscript permite sobrepasar -dSAFER y la ejecución de comandos remotos a través de una vulnerabilidad de type confusion en .rsdparams con una subcadena "/ OutputFile (% pipe%" en un documento .eps que se utilice como entrada al gs.
  • Vulnerabilidad en SMBv1 en múltiples productos de Micorsoft Windows (CVE-2017-0147)
    Severidad: MEDIA
    Fecha de publicación: 17/03/2017
    Fecha de última actualización: 02/07/2024
    El servidor SMBv1 en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1; y Windows 10 Gold, 1511 y 1607; y Windows Server 2016 permite a atacantes remotos obtener información sensible de la memoria del proceso a través de paquetes manipulados, vulnerabilidad también conocida como "Windows SMB Information Disclosure Vulnerability".
  • Vulnerabilidad en Microsoft XML Core Services en múltiples productos de Windows (CVE-2017-0022)
    Severidad: MEDIA
    Fecha de publicación: 17/03/2017
    Fecha de última actualización: 02/07/2024
    Microsoft XML Core Services (MSXML) en Windows 10 Gold, 1511 y 1607; Windows 7 SP1; Windows 8.1; Windows RT 8.1; Windows Server 2008 SP2 y R2 SP1; Windows Server 2012 Gold y R2; Windows Server 2016 y Windows Vista SP2 maneja incorrectamente objetos en la memoria, permitiendo a atacantes probar archivos en disco a través de un sitio web manipulado, vulnerabilidad también conocida como "Microsoft XML Information Disclosure Vulnerability".
  • Vulnerabilidad en la Graphics Device Interface en múltiples productos de Microsoft Windows (CVE-2017-0005)
    Severidad: MEDIA
    Fecha de publicación: 17/03/2017
    Fecha de última actualización: 02/07/2024
    La Graphics Device Interface (GDI) en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1 y Windows 10 Gold, 1511 y 1607 permite a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Windows GDI Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0001, CVE-2017-0025 y CVE-2017-0047.
  • Vulnerabilidad en Internet Explorer (CVE-2017-0210)
    Severidad: MEDIA
    Fecha de publicación: 12/04/2017
    Fecha de última actualización: 02/07/2024
    Existe una vulnerabilidad de elevación de privilegios cuando Internet Explorer no aplica adecuadamente las directivas entre dominios, lo que podría permitir a un atacante acceder a información de un dominio e inyectarla en otro dominio, vulnerabilidad también conocido como "Internet Explorer Elevation of Privilege Vulnerability".
  • Vulnerabilidad en macOS Ventura, macOS Monterey, iOS, iPadOS, tvOS, watchOS ymacOS Sonoma (CVE-2024-27805)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 02/07/2024
    Se solucionó un problema con la validación mejorada de las variables de entorno. Este problema se solucionó en macOS Ventura 13.6.7, macOS Monterey 12.7.5, iOS 16.7.8 y iPadOS 16.7.8, tvOS 17.5, iOS 17.5 y iPadOS 17.5, watchOS 10.5, macOS Sonoma 14.5. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Ventura, macOS Monterey, iOS, iPadOS, tvOS, watchOS y macOS Sonoma (CVE-2024-27806)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 02/07/2024
    Este problema se abordó con una mejor sanitización del medio ambiente. Este problema se solucionó en macOS Ventura 13.6.7, macOS Monterey 12.7.5, iOS 16.7.8 y iPadOS 16.7.8, tvOS 17.5, iOS 17.5 y iPadOS 17.5, watchOS 10.5, macOS Sonoma 14.5. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en tvOS, visionOS, Safari, iOS, iPadOS, watchOS y macOS Sonoma (CVE-2024-27808)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 02/07/2024
    El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en tvOS 17.5, visionOS 1.2, Safari 17.5, iOS 17.5 y iPadOS 17.5, watchOS 10.5, macOS Sonoma 14.5. El procesamiento de contenido web puede dar lugar a la ejecución de código arbitrario.
  • Vulnerabilidad en tvOS, visionOS, iOS, iPadOS, watchOS y macOS Sonoma (CVE-2024-27811)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 02/07/2024
    El problema se solucionó con controles mejorados. Este problema se solucionó en tvOS 17.5, visionOS 1.2, iOS 17.5 y iPadOS 17.5, watchOS 10.5, macOS Sonoma 14.5. Es posible que una aplicación pueda elevar los privilegios.
  • Vulnerabilidad en visionOS (CVE-2024-27812)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 02/07/2024
    El problema se solucionó con mejoras en el protocolo de manejo de archivos. Este problema se solucionó en visionOS 1.2. El procesamiento de contenido web puede dar lugar a una denegación de servicio.
  • Vulnerabilidad en watchOS (CVE-2024-27814)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 02/07/2024
    Esta cuestión se abordó mediante una mejora de gestión de estado. Este problema se solucionó en watchOS 10.5. Una persona con acceso físico a un dispositivo puede ver la información de contacto desde la pantalla de bloqueo.
  • Vulnerabilidad en tvOS, visionOS, iOS, iPadOS, watchOS y macOS Sonoma (CVE-2024-27815)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 02/07/2024
    Se solucionó un problema de escritura fuera de los límites con una validación de entrada mejorada. Este problema se solucionó en tvOS 17.5, visionOS 1.2, iOS 17.5 y iPadOS 17.5, watchOS 10.5, macOS Sonoma 14.5. Una aplicación puede ejecutar código arbitrario con privilegios del kernel.