Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en PicUploader (CVE-2024-44796)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/08/2024
    Fecha de última actualización: 06/09/2024
    Una vulnerabilidad de cross-site scripting (XSS) en el componente /auth/AzureRedirect.php de el commit de PicUploader fcf82ea permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro error_description.
  • Vulnerabilidad en SudoBot (CVE-2024-45307)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/09/2024
    Fecha de última actualización: 07/09/2024
    SudoBot, un bot de moderación de Discord, es vulnerable a la escalada de privilegios y al exploit del comando `-config` en versiones anteriores a la 9.26.7. En teoría, cualquiera puede actualizar cualquier configuración del bot y potencialmente obtener control sobre las configuraciones del bot. Todas las versiones de v9 anteriores a la v9.26.7 están afectadas. Otras versiones (por ejemplo, v8) no están afectadas. Los usuarios deben actualizar a la versión 9.26.7 para recibir un parche. Un workaround sería crear una sobrescritura de permiso de comando en la base de datos. Se puede ejecutar una declaración SQL provista en el Asesor de seguridad de GitHub para crear una sobrescritura que no permita a los usuarios sin permiso `ManageGuild` ejecutar el comando `-config`. Ejecute la declaración SQL para cada servidor en el que esté el bot y reemplace `` con el ID de gremio apropiado cada vez.