Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en DouPHP 1.7 Release 20220822 (CVE-2024-7917)
    Severidad: MEDIA
    Fecha de publicación: 18/08/2024
    Fecha de última actualización: 21/08/2024
    Una vulnerabilidad ha sido encontrada en DouPHP 1.7 Release 20220822 y clasificada como crítica. Una función desconocida del archivo /admin/system.php del componente Favicon Handler es afectada por esta vulnerabilidad. La manipulación del argumento site_favicon conduce a una carga sin restricciones. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en Anhui Deshun Intelligent Technology Jieshun JieLink+ JSOTC2016 (CVE-2024-7919)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2024
    Fecha de última actualización: 21/08/2024
    Una vulnerabilidad fue encontrada en Anhui Deshun Intelligent Technology Jieshun JieLink+ JSOTC2016 hasta 20240805 y clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /report/ParkChargeRecord/GetDataList. La manipulación conduce a controles de acceso inadecuados. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en Anhui Deshun Intelligent Technology Jieshun JieLink+ JSOTC2016 (CVE-2024-7920)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2024
    Fecha de última actualización: 21/08/2024
    Una vulnerabilidad ha sido encontrada en Anhui Deshun Intelligent Technology Jieshun JieLink+ JSOTC2016 hasta 20240805 y clasificada como problemática. Una función desconocida del archivo /Report/ParkCommon/GetParkInThroughDeivces es afectada por esta vulnerabilidad. La manipulación conduce a controles de acceso inadecuados. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en FRRouting (CVE-2024-44070)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/08/2024
    Fecha de última actualización: 21/08/2024
    Se descubrió un problema en FRRouting (FRR) hasta 10.1. bgp_attr_encap en bgpd/bgp_attr.c no verifica la longitud real restante del flujo antes de tomar el valor TLV.
  • Vulnerabilidad en Miniscript (CVE-2024-44073)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/08/2024
    Fecha de última actualización: 21/08/2024
    La librería Miniscript (también conocida como rust-miniscript) anterior a 12.2.0 para Rust permite el consumo de pila porque no realiza un seguimiento adecuado de la profundidad del árbol.
  • Vulnerabilidad en Microcks (CVE-2024-44076)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/08/2024
    Fecha de última actualización: 21/08/2024
    En Microcks anterior a 1.10.0, los endpoints POST /api/import y POST /api/export permiten el acceso a no administradores.
  • Vulnerabilidad en Anhui Deshun Intelligent Technology Jieshun JieLink+ JSOTC2016 (CVE-2024-7921)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2024
    Fecha de última actualización: 21/08/2024
    Una vulnerabilidad ha sido encontrada en Anhui Deshun Intelligent Technology Jieshun JieLink+ JSOTC2016 hasta 20240805 y clasificada como problemática. Una funcionalidad desconocida del archivo /report/ParkOutRecord/GetDataList es afectada por esta vulnerabilidad. La manipulación conduce a controles de acceso inadecuados. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en ida64.dll en Hex-Rays IDA Pro (CVE-2024-44083)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/08/2024
    Fecha de última actualización: 21/08/2024
    ida64.dll en Hex-Rays IDA Pro hasta 8.4 falla cuando hay una sección que tiene muchos saltos vinculados, y el salto final corresponde al payload desde donde se invocará el punto de entrada real. NOTA: en muchos casos de uso, esto es un inconveniente pero no un problema de seguridad.
  • Vulnerabilidad en TruffleHog (CVE-2024-43379)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/08/2024
    Fecha de última actualización: 21/08/2024
    TruffleHog es una herramienta de escaneo de secretos. Antes de la versión 3.81.9, esta vulnerabilidad permitía a un actor malintencionado crear datos de una manera que, cuando los escaneaban detectores específicos, podía hacer que el detector realizara una solicitud no autorizada a un endpoint elegido por el atacante. Para que un exploit sea efectivo, el endpoint de destino debe ser un endpoint GET no autenticado que produzca efectos secundarios. La víctima debe escanear los datos creados con fines malintencionados y tener como objetivo un endpoint para que el exploit tenga éxito. La vulnerabilidad se resolvió en TruffleHog v3.81.9 y versiones posteriores.
  • Vulnerabilidad en fugit (CVE-2024-43380)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/08/2024
    Fecha de última actualización: 21/08/2024
    fugit contiene herramientas de tiempo para flor y el grupo floraison. El analizador "natural" fugit, que convierte "todos los miércoles a las 5 p.m." en "0 17 * * 3", aceptó cualquier longitud de entrada y continuó intentando analizarla, sin regresar rápidamente, como se esperaba. La llamada de análisis podría mantener el hilo sin un final a la vista. Los dependientes de Fugit que no verifican la plausibilidad de la longitud de entrada (del usuario) se ven afectados. Se publicó una solución en fugit 1.11.1.