Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Windows Common Log File System Driver de Microsoft (CVE-2022-24521)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2022
    Fecha de última actualización: 03/07/2024
    Una vulnerabilidad de Elevación de Privilegios en Windows Common Log File System Driver. Este ID de CVE es diferente de CVE-2022-24481
  • Vulnerabilidad en Active Directory Domain Services (CVE-2021-42278)
    Severidad: MEDIA
    Fecha de publicación: 10/11/2021
    Fecha de última actualización: 03/07/2024
    Una vulnerabilidad de Elevación de Privilegios en Active Directory Domain Services. Este ID de CVE es diferente de CVE-2021-42282, CVE-2021-42287, CVE-2021-42291
  • Vulnerabilidad en AdmirorFrames Joomla! (CVE-2024-5737)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/06/2024
    Fecha de última actualización: 03/07/2024
    Script afGdStream.php en AdmirorFrames Joomla! La extensión no especifica un tipo de contenido y, como resultado, se utiliza el valor predeterminado (texto/html). Un atacante puede incrustar etiquetas HTML directamente en datos de imágenes que una página web representa como HTML. Este problema afecta a AdmirorFrames: anteriores a 5.0.
  • Vulnerabilidad en GeoServer (CVE-2024-34696)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 03/07/2024
    GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. A partir de la versión 2.10.0 y antes de las versiones 2.24.4 y 2.25.1, la página Estado del servidor de GeoServer y la API REST enumeran todas las variables de entorno y propiedades de Java para cualquier usuario de GeoServer con derechos administrativos como parte del mensaje de estado de esos módulos. Estas variables/propiedades también pueden contener información confidencial, como contraseñas de bases de datos o keys/tokens API. Además, muchas imágenes de contenedores de GeoServer desarrolladas por la comunidad "exportan" otras credenciales desde sus scripts de inicio como variables de entorno al proceso de GeoServer ("java"). El alcance preciso del problema depende de qué imagen de contenedor se utiliza y cómo está configurada. El endpoint API "acerca del estado" que impulsa la página Estado del servidor solo está disponible para los administradores. Dependiendo del entorno operativo, los administradores pueden tener acceso legítimo a las credenciales de otras maneras, pero este problema anula controles más sofisticados (como el acceso sin barreras a secretos o cuentas de rol). De forma predeterminada, GeoServer solo permite el acceso API autenticado del mismo origen. Esto limita las posibilidades de que un atacante externo utilice las credenciales de un administrador para obtener acceso a las credenciales. Los investigadores que encontraron la vulnerabilidad no pudieron determinar otras condiciones bajo las cuales la API REST de GeoServer pueda estar disponible de manera más amplia. Los usuarios deben actualizar las imágenes del contenedor para usar GeoServer 2.24.4 o 2.25.1 para corregir el error. Como workaround, deje las variables de entorno y las propiedades del sistema Java ocultas de forma predeterminada. Quienes brinden la opción de volver a habilitarlo deben comunicar el impacto y los riesgos para que los usuarios puedan tomar una decisión informada.
  • Vulnerabilidad en MongoDB Server (CVE-2024-6375)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 03/07/2024
    A un comando para refinar una clave de fragmento de colección le falta una verificación de autorización. Esto puede hacer que el comando se ejecute directamente en un fragmento, lo que provoca una degradación del rendimiento de la consulta o revela límites de fragmentos a través de canales laterales de temporización. Esto afecta a las versiones de MongoDB Server v5.0, anteriores a la 5.0.22, a las versiones de MongoDB Server v6.0, anteriores a la 6.0.11 y a las versiones de MongoDB Server v7.0 anteriores a la 7.0.3.
  • Vulnerabilidad en MongoDB Compass (CVE-2024-6376)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 03/07/2024
    MongoDB Compass puede ser susceptible a la inyección de código debido a una configuración insuficiente de protección de la zona de pruebas con el uso del analizador de shell ejson en el manejo de conexiones de Compass. Este problema afecta a las versiones de MongoDB Compass anteriores a la versión 1.42.2
  • Vulnerabilidad en Cisco NX-OS (CVE-2024-20399)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 03/07/2024
    Una vulnerabilidad en la CLI del software Cisco NX-OS podría permitir que un atacante local autenticado ejecute comandos arbitrarios como root en el sistema operativo subyacente de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de los argumentos que se pasan a comandos CLI de configuración específicos. Un atacante podría aprovechar esta vulnerabilidad incluyendo una entrada manipulada como argumento de un comando CLI de configuración afectado. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root. Nota: Para explotar con éxito esta vulnerabilidad en un dispositivo Cisco NX-OS, un atacante debe tener credenciales de administrador.