Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Artifex Ghostscript (CVE-2024-29506)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/07/2024
    Fecha de última actualización: 02/08/2024
    Artifex Ghostscript anterior a 10.03.0 tiene un desbordamiento de búfer basado en pila en la función pdfi_apply_filter() a través de un nombre de filtro PDF largo.
  • Vulnerabilidad en Artifex Ghostscript (CVE-2024-29509)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/07/2024
    Fecha de última actualización: 02/08/2024
    Artifex Ghostscript anterior a 10.03.0 tiene un desbordamiento basado en montón cuando PDFPassword (por ejemplo, para runpdf) tiene un byte \000 en el medio.
  • Vulnerabilidad en Artifex Ghostscript (CVE-2024-29508)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/07/2024
    Fecha de última actualización: 02/08/2024
    Artifex Ghostscript anterior a 10.03.0 tiene una divulgación de puntero basada en montón (observable en un nombre BaseFont construido) en la función pdf_base_font_alloc.
  • Vulnerabilidad en Membership Software WishList Member X (CVE-2024-37112)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Membership Software WishList Member X. Este problema afecta a WishList Member X: desde n/a antes de 3.26.7.
  • Vulnerabilidad en Zoho Marketing Automation (CVE-2024-37225)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ("inyección SQL") en Zoho Marketing Automation. Este problema afecta a Zoho Marketing Automation: desde n/a hasta 1.2.7.
  • Vulnerabilidad en Themeum Tutor LMS (CVE-2024-37256)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en Themeum Tutor LMS. Este problema afecta a Tutor LMS: desde n/a hasta 2.7.1.
  • Vulnerabilidad en Paid Memberships Pro (CVE-2024-37486)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en Paid Memberships Pro. Este problema afecta a Paid Memberships Pro: desde n/a hasta 3.0.5.
  • Vulnerabilidad en KaineLabs Youzify (CVE-2024-37494)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en KaineLabs Youzify. Este problema afecta a Youzify: desde n/a hasta 1.2.5.
  • Vulnerabilidad en InDesign Desktop (CVE-2024-20781)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Las versiones ID19.3, ID18.5.2 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InDesign Desktop (CVE-2024-20782)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Las versiones ID19.3, ID18.5.2 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InDesign Desktop (CVE-2024-20783)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Las versiones ID19.3, ID18.5.2 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en InDesign Desktop (CVE-2024-20785)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Las versiones ID19.3, ID18.5.2 y anteriores de InDesign Desktop se ven afectadas por una vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Bridge (CVE-2024-34139)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Las versiones de Bridge 14.0.4, 13.0.7, 14.1 y anteriores se ven afectadas por una vulnerabilidad de desbordamiento de enteros o Wraparound que podría resultar en la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Bridge (CVE-2024-34140)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Las versiones de Bridge 14.0.4, 13.0.7, 14.1 y anteriores se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Outline (CVE-2024-37830)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Un problema en Outline <= v0.76.1 permite a los atacantes redirigir a un usuario víctima a un sitio malicioso interceptando y cambiando la cookie de estado.
  • Vulnerabilidad en Itsourcecode Payroll Management System en PHP (CVE-2024-37873)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 02/08/2024
    Vulnerabilidad de inyección SQL en view_payslip.php en el proyecto Itsourcecode Payroll Management System en PHP con código fuente 1.0 permite a atacantes remotos ejecutar comandos SQL de su elección a través del parámetro id.
  • Vulnerabilidad en IBM Security QRadar EDR 3.12 (CVE-2023-33860)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/07/2024
    Fecha de última actualización: 02/08/2024
    IBM Security QRadar EDR 3.12 no establece el atributo seguro en tokens de autorización o cookies de sesión. Los atacantes pueden obtener los valores de las cookies enviando un enlace http:// a un usuario o colocando este enlace en un sitio al que accede el usuario. La cookie se enviará al enlace inseguro y el atacante podrá obtener el valor de la cookie espiando el tráfico. ID de IBM X-Force: 257702.
  • Vulnerabilidad en IBM Security QRadar EDR 3.12 (CVE-2023-35006)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/07/2024
    Fecha de última actualización: 02/08/2024
    IBM Security QRadar EDR 3.12 es vulnerable a la inyección de HTML. Un atacante remoto podría inyectar código HTML malicioso que, una vez visto, se ejecutaría en el navegador web de la víctima dentro del contexto de seguridad del sitio de alojamiento. ID de IBM X-Force: 297165.
  • Vulnerabilidad en ContentLock para WordPress (CVE-2024-6022)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/07/2024
    Fecha de última actualización: 02/08/2024
    El complemento ContentLock para WordPress hasta la versión 1.0.3 no tiene activada la verificación CSRF al actualizar su configuración, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los cambie mediante un ataque CSRF.
  • Vulnerabilidad en ContentLock para WordPress (CVE-2024-6023)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/07/2024
    Fecha de última actualización: 02/08/2024
    El complemento ContentLock para WordPress hasta la versión 1.0.3 no tiene activada la verificación CSRF al agregar correos electrónicos, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión realice dicha acción a través de un ataque CSRF.
  • Vulnerabilidad en Roundup (CVE-2024-39124)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/07/2024
    Fecha de última actualización: 02/08/2024
    En Roundup anterior a 2.4.0, los classhelpers (_generic.help.html) permiten XSS.
  • Vulnerabilidad en Roundup (CVE-2024-39125)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/07/2024
    Fecha de última actualización: 02/08/2024
    Roundup anterior a 2.4.0 permite XSS a través de un elemento SCRIPT en un encabezado HTTP Referer.
  • Vulnerabilidad en Roundup (CVE-2024-39126)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/07/2024
    Fecha de última actualización: 02/08/2024
    Roundup anterior a 2.4.0 permite XSS a través de JavaScript en documentos PDF, XML y SVG.
  • Vulnerabilidad en Security Directory Integrator 7.2.0 e IBM Security Verify Directory Integrator 10.0.0 (CVE-2022-32759)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/07/2024
    Fecha de última actualización: 02/08/2024
    IBM Security Directory Integrator 7.2.0 e IBM Security Verify Directory Integrator 10.0.0 utilizan una caducidad de sesión insuficiente, lo que podría permitir que un usuario no autorizado obtenga información confidencial. ID de IBM X-Force: 228565.
  • Vulnerabilidad en Security Directory Integrator 7.2.0 e IBM Security Verify Directory Integrator (CVE-2024-28772)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/07/2024
    Fecha de última actualización: 02/08/2024
    IBM Security Directory Integrator 7.2.0 e IBM Security Verify Directory Integrator 10.0.0 son vulnerables a Cross Site Scripting almacenado. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría conducir a la divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 285645.
  • Vulnerabilidad en Absolute Secure Access (CVE-2024-40873)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/07/2024
    Fecha de última actualización: 02/08/2024
    Existe una vulnerabilidad de Cross Site Scripting en la consola administrativa de Secure Access de Absolute Secure Access anterior a la versión 13.07. Los atacantes con permisos de administrador del sistema pueden interferir con el uso de la interfaz de usuario de publicación por parte de otro administrador del sistema cuando los administradores están editando el mismo objeto de administración. El alcance no cambia, no hay pérdida de confidencialidad. El impacto en la disponibilidad del sistema es nulo, el impacto en la integridad del sistema es alto.
  • Vulnerabilidad en Tenda FH1201 v1.2.0.14 (CVE-2024-41468)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/07/2024
    Fecha de última actualización: 02/08/2024
    Se descubrió que Tenda FH1201 v1.2.0.14 contiene una vulnerabilidad de inyección de comandos a través del parámetro cmdinput en /goform/exeCommand
  • Vulnerabilidad en Tenda FH1201 v1.2.0.14 (CVE-2024-41473)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/07/2024
    Fecha de última actualización: 02/08/2024
    Se descubrió que Tenda FH1201 v1.2.0.14 contiene una vulnerabilidad de inyección de comandos a través del parámetro mac en ip/goform/WriteFacMac