Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en ICS-CERT (CVE-2024-7029)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/08/2024
    Fecha de última actualización: 17/09/2024
    Los comandos pueden inyectarse a través de la red y ejecutarse sin autenticación.
  • Vulnerabilidad en Ubuntu wpa_supplicant (CVE-2024-5290)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/08/2024
    Fecha de última actualización: 17/09/2024
    Se descubrió un problema en Ubuntu wpa_supplicant que resultó en la carga de objetos compartidos arbitrarios, lo que permite a un atacante local sin privilegios escalar privilegios al usuario con el que se ejecuta wpa_supplicant (generalmente root). La membresía en el grupo netdev o el acceso a la interfaz dbus de wpa_supplicant permiten a un usuario sin privilegios especificar una ruta arbitraria a un módulo que el proceso wpa_supplicant cargará; podrían existir otras vías de escalada.
  • Vulnerabilidad en Pulp (CVE-2024-7143)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/08/2024
    Fecha de última actualización: 17/09/2024
    Se encontró un defecto en el paquete Pulp. Cuando un objeto de control de acceso basado en roles (RBAC) en Pulp está configurado para asignar permisos en su creación, utiliza `AutoAddObjPermsMixin` (normalmente el método add_roles_for_object_creator). Este método encuentra al creador del objeto verificando el usuario autenticado actual. Para los objetos que se crean dentro de una tarea, este usuario actual lo establece el primer usuario con permisos en el objeto de la tarea. Esto significa que el usuario más antiguo con permisos de tareas a nivel de modelo/dominio siempre se configurará como el usuario actual de una tarea, incluso si no envió la tarea. Por lo tanto, todos los objetos creados en tareas tendrán sus permisos asignados a este usuario más antiguo y el usuario creador no recibirá nada.
  • Vulnerabilidad en Huawei Technologies (CVE-2024-42033)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/08/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de control de acceso en el módulo de verificación de seguridad mpact: La explotación exitosa de esta vulnerabilidad afectará la integridad y la confidencialidad.
  • Vulnerabilidad en NVIDIA GPU Display Driver (CVE-2024-0107)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/08/2024
    Fecha de última actualización: 17/09/2024
    NVIDIA GPU Display Driver para Windows contiene una vulnerabilidad en la capa de modo de usuario, donde un usuario normal sin privilegios puede provocar una lectura fuera de los límites. Una explotación exitosa de esta vulnerabilidad podría provocar la ejecución de código, denegación de servicio, escalada de privilegios, divulgación de información y manipulación de datos.
  • Vulnerabilidad en fish-shop/syntax-check (CVE-2024-42482)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/08/2024
    Fecha de última actualización: 17/09/2024
    fish-shop/syntax-check es una acción de GitHub para verificar la sintaxis de fish shell files. La neutralización inadecuada de los delimitadores en la entrada `patrón` (específicamente el separador de comando `;` y los caracteres de sustitución de comando `(` y `)`) significa que la inyección de comando arbitraria es posible mediante la modificación del valor de entrada utilizado en un flujo de trabajo. Esto tiene el potencial de exponer o exfiltrar información confidencial del ejecutor del flujo de trabajo, como podría lograrse enviando variables de entorno a una entidad externa. Se recomienda que los usuarios actualicen a la versión parcheada `v1.6.12` o a la última versión `v2.0.0`; sin embargo, es posible realizar una corrección mediante un control cuidadoso de los flujos de trabajo y el valor de entrada del `patrón` utilizado por esta acción.
  • Vulnerabilidad en kernel de Linux (CVE-2024-44945)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/08/2024
    Fecha de última actualización: 17/09/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nfnetlink: Inicializar extack antes de su uso en ACK. Agregar inicialización de extack faltante al ACKear BATCH_BEGIN y BATCH_END.
  • Vulnerabilidad en VMware Fusion (CVE-2024-38811)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/09/2024
    Fecha de última actualización: 17/09/2024
    VMware Fusion (13.x anterior a 13.6) contiene una vulnerabilidad de ejecución de código debido al uso de una variable de entorno insegura. Un actor malintencionado con privilegios de usuario estándar puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la aplicación Fusion.
  • Vulnerabilidad en Authenticator (CVE-2024-45394)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/09/2024
    Fecha de última actualización: 17/09/2024
    Authenticator es una extensión del navegador que genera códigos de verificación en dos pasos. En las versiones 7.0.0 y anteriores, las claves de cifrado de los datos de los usuarios se almacenaban cifradas en reposo utilizando únicamente AES-256 y el KDF EVP_BytesToKey. Por lo tanto, los atacantes con una copia de los datos de un usuario pueden forzar la clave de cifrado del usuario. Los usuarios de la versión 8.0.0 y posteriores se migran automáticamente de la codificación débil en el primer inicio de sesión. Los usuarios deben destruir las copias de seguridad cifradas realizadas con versiones anteriores a la 8.0.0.
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43461)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 17/09/2024
    Vulnerabilidad de suplantación de la plataforma MSHTML de Windows
  • Vulnerabilidad en composiohq composio (CVE-2024-8864)
    Severidad: MEDIA
    Fecha de publicación: 15/09/2024
    Fecha de última actualización: 17/09/2024
    Se ha encontrado una vulnerabilidad en composiohq composio hasta la versión 0.5.6 y se ha clasificado como crítica. Esta vulnerabilidad afecta a la función Calculator del archivo python/composio/tools/local/mathematical/actions/calculator.py. La manipulación conduce a la inyección de código. El exploit se ha hecho público y puede utilizarse. Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en composiohq composio (CVE-2024-8865)
    Severidad: BAJA
    Fecha de publicación: 15/09/2024
    Fecha de última actualización: 17/09/2024
    Se encontró una vulnerabilidad en composiohq composio hasta la versión 0.5.8 y se clasificó como problemática. Este problema afecta la ruta de función del archivo composio\server\api.py. La manipulación del archivo de argumentos provoca path traversal. La vulnerabilidad se ha divulgado al público y puede utilizarse. Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Perfex CRM 3.1.6 (CVE-2024-8867)
    Severidad: MEDIA
    Fecha de publicación: 15/09/2024
    Fecha de última actualización: 17/09/2024
    Se ha encontrado una vulnerabilidad en Perfex CRM 3.1.6. Se ha declarado como problemática. Esta vulnerabilidad afecta al código desconocido del archivo application/controllers/Clients.php del componente Parameter Handler. La manipulación del argumento message provoca ataques de Cross-site Scripting. El ataque se puede iniciar de forma remota. El exploit se ha hecho público y puede utilizarse. Se recomienda aplicar un parche para solucionar este problema.
  • Vulnerabilidad en code-projects Crud Operation System 1.0 (CVE-2024-8868)
    Severidad: ALTA
    Fecha de publicación: 15/09/2024
    Fecha de última actualización: 17/09/2024
    Se ha encontrado una vulnerabilidad en code-projects Crud Operation System 1.0. Se ha calificado como crítica. Este problema afecta a algunos procesos desconocidos del archivo savedata.php. La manipulación del argumento sname provoca una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en OMFLOW de The SYSCOM Group (CVE-2024-8779)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/09/2024
    Fecha de última actualización: 17/09/2024
    OMFLOW de The SYSCOM Group no restringe adecuadamente el acceso a la funcionalidad de modificación de la configuración del sistema, lo que permite a atacantes remotos con privilegios regulares actualizar la configuración del sistema o crear cuentas con privilegios de administrador, obteniendo así el control del servidor.