Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el controlador exFAT del núcleo de Linux (CVE-2023-4273)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/08/2023
    Fecha de última actualización: 16/09/2024
    Se ha encontrado un fallo en el controlador exFAT del núcleo de Linux. La vulnerabilidad se encuentra en la implementación de la función de reconstrucción de nombres de archivo, que se encarga de leer entradas de nombres de archivo de un índice de directorio y fusionar partes de nombres de archivo pertenecientes a un archivo en un único nombre de archivo largo. Dado que los caracteres del nombre de archivo se copian en una variable de pila, un atacante local con privilegios podría utilizar este fallo para desbordar la pila del kernel.
  • Vulnerabilidad en PHPVibe 11.0.46 (CVE-2024-6083)
    Severidad: MEDIA
    Fecha de publicación: 18/06/2024
    Fecha de última actualización: 16/09/2024
    Una vulnerabilidad fue encontrada en PHPVibe 11.0.46 y clasificada como crítica. Una función desconocida del archivo /app/uploading/upload-mp3.php del componente Media Upload Page es afectada por esta vulnerabilidad. La manipulación del archivo de argumentos conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-268824. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en JetElements para Elementor (CVE-2023-48759)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 16/09/2024
    Vulnerabilidad de autorización faltante en Crocoblock JetElements para Elementor. Este problema afecta a JetElements para Elementor: desde n/a hasta 2.6.13.
  • Vulnerabilidad en JetElements para Elementor (CVE-2023-48760)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 16/09/2024
    Vulnerabilidad de autorización faltante en Crocoblock JetElements para Elementor. Este problema afecta a JetElements para Elementor: desde n/a hasta 2.6.13.
  • Vulnerabilidad en JetElements para Elementor (CVE-2023-48761)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 16/09/2024
    Vulnerabilidad de autorización faltante en Crocoblock JetElements para Elementor. Este problema afecta a JetElements para Elementor: desde n/a hasta 2.6.13.
  • Vulnerabilidad en ThinManager® ThinServer™ de Rockwell Automation. (CVE-2024-5988)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 16/09/2024
    Debido a una validación de entrada incorrecta, un actor de amenazas no autenticado puede enviar un mensaje malicioso para invocar un ejecutable local o remoto y provocar una condición de ejecución remota de código en el ThinManager® ThinServer™ de Rockwell Automation.
  • Vulnerabilidad en ThinManager® ThinServer™ de Rockwell Automation (CVE-2024-5989)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 16/09/2024
    Debido a una validación de entrada incorrecta, un actor de amenazas no autenticado puede enviar un mensaje malicioso para invocar una inyección SQL en el programa y provocar una condición de ejecución remota de código en el ThinManager® ThinServer™ de Rockwell Automation.
  • Vulnerabilidad en Rockwell Automation ThinServer™ (CVE-2024-5990)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 16/09/2024
    Debido a una validación de entrada incorrecta, un actor de amenazas no autenticado puede enviar un mensaje malicioso a un hilo de monitor dentro de Rockwell Automation ThinServer™ y provocar una condición de denegación de servicio en el dispositivo afectado.
  • Vulnerabilidad en kernel de Linux (CVE-2024-44996)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/09/2024
    Fecha de última actualización: 16/09/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: vsock: corregir llamadas recursivas ->recvmsg Después de que se ha añadido un socket vsock a un sockmap BPF, su prot->recvmsg se ha reemplazado por vsock_bpf_recvmsg(). Por lo tanto, podría ocurrir la siguiente recursión: vsock_bpf_recvmsg() -> __vsock_recvmsg() -> vsock_connectible_recvmsg() -> prot->recvmsg() -> vsock_bpf_recvmsg() de nuevo Necesitamos solucionarlo llamando al ->recvmsg() original sin ninguna lógica sockmap BPF en __vsock_recvmsg().
  • Vulnerabilidad en Download Station (CVE-2024-38640)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2024
    Fecha de última actualización: 16/09/2024
    Se ha informado de una vulnerabilidad de cross site scripting (XSS) que afecta a Download Station. Si se explota, la vulnerabilidad podría permitir a los usuarios autenticados inyectar código malicioso a través de una red. Ya hemos corregido la vulnerabilidad en la siguiente versión: Download Station 5.8.6.283 (2024/06/21) y posteriores
  • Vulnerabilidad en QNAP (CVE-2024-38641)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2024
    Fecha de última actualización: 16/09/2024
    Se ha informado de una vulnerabilidad de inyección de comandos del sistema operativo que afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a los usuarios de la red local ejecutar comandos a través de vectores no especificados. Ya hemos corregido la vulnerabilidad en las siguientes versiones: QTS 5.1.8.2823 build 20240712 y posteriores QuTS hero h5.1.8.2823 build 20240712 y posteriores
  • Vulnerabilidad en QuMagie (CVE-2024-38642)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2024
    Fecha de última actualización: 16/09/2024
    Se ha informado de una vulnerabilidad de validación de certificado incorrecta que afecta a QuMagie. Si se explota, la vulnerabilidad podría permitir a los usuarios de la red local comprometer la seguridad del sistema a través de vectores no especificados. Ya hemos corregido la vulnerabilidad en la siguiente versión: QuMagie 2.3.1 y posteriores
  • Vulnerabilidad en Mini-Tmall (CVE-2024-8568)
    Severidad: MEDIA
    Fecha de publicación: 08/09/2024
    Fecha de última actualización: 16/09/2024
    Se ha detectado una vulnerabilidad clasificada como crítica en Mini-Tmall hasta el 20240901. La función prizeMapper.select del archivo tmall/admin/order/1/1 está afectada. La manipulación del argumento orderBy provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en WebITR de Uniong (CVE-2024-8586)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/09/2024
    Fecha de última actualización: 16/09/2024
    WebITR de Uniong tiene una vulnerabilidad de redirección abierta que permite a atacantes remotos no autorizados aprovechar esta vulnerabilidad para falsificar URL. Los usuarios, creyendo que están accediendo a un dominio confiable, pueden ser redirigidos a otra página, lo que puede derivar en ataques de phishing.
  • Vulnerabilidad en @cosme (CVE-2024-45203)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/09/2024
    Fecha de última actualización: 16/09/2024
    La autorización incorrecta en el controlador para el problema del esquema de URL personalizado en la aplicación "@cosme" para versiones de Android anteriores a la 5.69.0 y la aplicación "@cosme" para versiones de iOS anteriores a la 6.74.0 permite que un atacante haga que un usuario acceda a un sitio web arbitrario a través de la aplicación vulnerable. Como resultado, el usuario puede convertirse en víctima de un ataque de phishing.
  • Vulnerabilidad en Kibana (CVE-2024-37288)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/09/2024
    Fecha de última actualización: 16/09/2024
    Un problema de deserialización en Kibana puede provocar la ejecución de código arbitrario cuando Kibana intenta analizar un documento YAML que contiene un payload manipulado. Este problema solo afecta a los usuarios que utilizan las herramientas de inteligencia artificial integradas de Elastic Security https://www.elastic.co/guide/en/security/current/ai-for-security.html y han configurado un conector de Amazon Bedrock https://www.elastic.co/guide/en/security/current/assistant-connect-to-bedrock.html
  • Vulnerabilidad en Media Encoder (CVE-2024-39377)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 16/09/2024
    Las versiones 24.5, 23.6.8 y anteriores de Media Encoder se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Media Encoder (CVE-2024-41870)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 16/09/2024
    Las versiones 24.5, 23.6.8 y anteriores de Media Encoder se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Media Encoder (CVE-2024-41871)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 16/09/2024
    Las versiones 24.5, 23.6.8 y anteriores de Media Encoder se ven afectadas por una vulnerabilidad de lectura fuera de los límites al analizar un archivo creado, lo que podría provocar una lectura más allá del final de una estructura de memoria asignada. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Media Encoder (CVE-2024-41872)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 16/09/2024
    Las versiones 24.5, 23.6.8 y anteriores de Media Encoder se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Media Encoder (CVE-2024-41873)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 16/09/2024
    Las versiones 24.5, 23.6.8 y anteriores de Media Encoder se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Illustrator (CVE-2024-34121)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 16/09/2024
    Las versiones 28.6, 27.9.5 y anteriores de Illustrator se ven afectadas por una vulnerabilidad de desbordamiento de enteros o de envoltura que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Premiere Pro (CVE-2024-39384)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 16/09/2024
    Las versiones 24.5, 23.6.8 y anteriores de Premiere Pro se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Premiere Pro (CVE-2024-39385)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 16/09/2024
    Las versiones 24.5, 23.6.8 y anteriores de Premiere Pro se ven afectadas por una vulnerabilidad de Use After Free que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para eludir mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Illustrator (CVE-2024-41857)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 16/09/2024
    Las versiones 28.6, 27.9.5 y anteriores de Illustrator se ven afectadas por una vulnerabilidad de desbordamiento de enteros (Wrap o Wraparound) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.