Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Binalyze IREC.sys (CVE-2023-41444)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/09/2023
    Fecha de última actualización: 23/09/2024
    Un problema en Binalyze IREC.sys v.3.11.0 y anteriores permite a un atacante local ejecutar código arbitrario y escalar privilegios a través de la función fun_1400084d0 en el controlador IREC.sys.
  • Vulnerabilidad en Acronis Agent (CVE-2023-45246)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 23/09/2024
    Divulgación y manipulación de información sensible por autenticación inadecuada. Los siguientes productos se ven afectados: Acronis Agent (Linux, macOS, Windows) antes de la compilación 36343.
  • Vulnerabilidad en berriai/litellm (CVE-2024-5225)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 23/09/2024
    Existe una vulnerabilidad de inyección SQL en el repositorio berriai/litellm, específicamente dentro del endpoint `/global/spend/logs`. La vulnerabilidad surge debido a una neutralización inadecuada de elementos especiales utilizados en un comando SQL. El código afectado construye una consulta SQL concatenando un parámetro `api_key` no validado directamente en la consulta, lo que la hace susceptible a la inyección SQL si `api_key` contiene datos maliciosos. Este problema afecta a la última versión del repositorio. La explotación exitosa de esta vulnerabilidad podría provocar acceso no autorizado, manipulación de datos, exposición de información confidencial y denegación de servicio (DoS).
  • Vulnerabilidad en Dell Data Domain (CVE-2024-29174)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 23/09/2024
    Dell Data Domain, versiones anteriores a 7.13.0.0, LTS 7.7.5.30, LTS 7.10.1.20 contienen una vulnerabilidad de inyección SQL. Un atacante local con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de ciertos comandos SQL en la base de datos backend de la aplicación, lo que provocaría un acceso no autorizado a los datos de la aplicación.
  • Vulnerabilidad en Dell PowerProtect Data Domain (CVE-2024-29175)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 23/09/2024
    Dell PowerProtect Data Domain, versiones anteriores a 7.13.0.0, LTS 7.7.5.40, LTS 7.10.1.30 contienen una vulnerabilidad de algoritmo criptográfico débil. Un atacante remoto no autenticado podría explotar esta vulnerabilidad, lo que provocaría un ataque de intermediario que exponga información confidencial de la sesión.
  • Vulnerabilidad en Dell PowerProtect DD (CVE-2024-29176)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 23/09/2024
    Dell PowerProtect DD, versiones anteriores a 8.0, LTS 7.13.1.0, LTS 7.10.1.30, LTS 7.7.5.40 contienen una vulnerabilidad de desbordamiento del búfer. Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que provocaría un bloqueo de la aplicación o la ejecución de código arbitrario en el sistema operativo subyacente de la aplicación vulnerable con los privilegios de la aplicación vulnerable.
  • Vulnerabilidad en Dell PowerProtect DD (CVE-2024-29177)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 23/09/2024
    Dell PowerProtect DD, versiones anteriores a 8.0, LTS 7.13.1.0, LTS 7.10.1.30, LTS 7.7.5.40 contienen una divulgación de vulnerabilidad de información confidencial temporal. Un atacante remoto con privilegios elevados podría explotar esta vulnerabilidad, lo que llevaría a la reutilización de la información divulgada para obtener acceso no autorizado al informe de la aplicación.
  • Vulnerabilidad en Dell PowerProtect DD (CVE-2024-37138)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 23/09/2024
    Dell PowerProtect DD, versiones anteriores a 8.0, LTS 7.13.1.0, LTS 7.10.1.30, LTS 7.7.5.40 en DDMC contienen una vulnerabilidad de Path Traversal relativo. Un atacante remoto con altos privilegios podría explotar esta vulnerabilidad, lo que provocaría que la aplicación envíe un archivo no autorizado al sistema administrado.
  • Vulnerabilidad en Dell PowerProtect DD (CVE-2024-37139)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 23/09/2024
    Dell PowerProtect DD, versiones anteriores a 8.0, LTS 7.13.1.0, LTS 7.10.1.30, LTS 7.7.5.40 contienen una vulnerabilidad de control inadecuado de un recurso durante su vida útil en una operación de administración. Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que provocaría una limitación temporal de recursos de la aplicación del sistema. La explotación puede dar lugar a la denegación del servicio de la aplicación.
  • Vulnerabilidad en Dell PowerProtect DD (CVE-2024-37140)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 23/09/2024
    Dell PowerProtect DD, versiones anteriores a 8.0, LTS 7.13.1.0, LTS 7.10.1.30, LTS 7.7.5.40 contienen una vulnerabilidad de inyección de comandos del sistema operativo en una operación de administración. Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de comandos arbitrarios del sistema operativo en el sistema operativo subyacente de la aplicación del sistema con los privilegios de la aplicación vulnerable. La explotación puede llevar a que un atacante se apodere del sistema.
  • Vulnerabilidad en Dell PowerProtect DD (CVE-2024-37141)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 23/09/2024
    Dell PowerProtect DD, versiones anteriores a 8.0, LTS 7.13.1.0, LTS 7.10.1.30, LTS 7.7.5.40 contienen una vulnerabilidad de redireccionamiento abierto. Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la divulgación de información.
  • Vulnerabilidad en FactoryTalk® de Rockwell Automation (CVE-2024-6326)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 23/09/2024
    Existe una exposición de vulnerabilidad de información confidencial en el servicio del sistema FactoryTalk® de Rockwell Automation. Un usuario malintencionado podría aprovechar esta vulnerabilidad iniciando un proceso de copia de seguridad o restauración, que expone temporalmente claves privadas, contraseñas, claves previamente compartidas y carpetas de bases de datos cuando se copian temporalmente en una carpeta provisional. Esta vulnerabilidad se debe a la falta de permisos explícitos establecidos en la carpeta de respaldo. Si un usuario malintencionado obtiene claves privadas, podría hacerse pasar por recursos en la red segura.
  • Vulnerabilidad en Podman (CVE-2024-3056)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/08/2024
    Fecha de última actualización: 23/09/2024
    Se encontró una falla en Podman. Este problema puede permitir a un atacante crear un contenedor especialmente manipulado que, cuando se configura para compartir el mismo IPC con al menos otro contenedor, puede crear una gran cantidad de recursos de IPC en /dev/shm. El contenedor malicioso continuará agotando recursos hasta que se elimine por falta de memoria (OOM). Si bien se eliminará el cgroup del contenedor malicioso, los recursos de IPC que creó no se eliminarán. Esos recursos están vinculados al espacio de nombres IPC que no se eliminará hasta que se detengan todos los contenedores que lo utilizan y un contenedor no malicioso mantenga abierto el espacio de nombres. El contenedor malicioso se reinicia, ya sea automáticamente o por control del atacante, repitiendo el proceso y aumentando la cantidad de memoria consumida. Con un contenedor configurado para reiniciarse siempre, como `podman run --restart=always`, esto puede resultar en una denegación de servicio del sistema basada en la memoria.
  • Vulnerabilidad en OpenSC (CVE-2024-45619)
    Severidad: Pendiente de análisis
    Fecha de publicación: 03/09/2024
    Fecha de última actualización: 23/09/2024
    Se encontró una vulnerabilidad en OpenSC, herramientas OpenSC, módulo PKCS#11, minidriver y CTK. Un atacante podría usar un dispositivo USB o una tarjeta inteligente manipulada específicamente para presentar al sistema una respuesta especialmente manipulada a las APDU. Cuando los búferes están parcialmente llenos de datos, se puede acceder incorrectamente a las partes inicializadas del búfer.
  • Vulnerabilidad en OSCAT (CVE-2024-6876)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 23/09/2024
    La vulnerabilidad de lectura fuera de los límites en la librería básica OSCAT permite que un atacante local sin privilegios acceda a datos internos limitados del PLC, lo que puede provocar un bloqueo del servicio afectado.
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-26186)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de ejecución remota de código en Microsoft SQL Server Native Scoring
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-26191)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de ejecución remota de código en Microsoft SQL Server Native Scoring
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-37335)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de ejecución remota de código en Microsoft SQL Server Native Scoring
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-37337)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de divulgación de información de puntuación nativa de Microsoft SQL Server
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-37338)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de ejecución remota de código en Microsoft SQL Server Native Scoring
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-37339)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de ejecución remota de código en Microsoft SQL Server Native Scoring
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-37340)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de ejecución remota de código en Microsoft SQL Server Native Scoring
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-37341)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de elevación de privilegios en Microsoft SQL Server
  • Vulnerabilidad en macOS Sequoia (CVE-2024-23237)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en macOS Sequoia 15. Es posible que una aplicación pueda provocar una denegación de servicio.
  • Vulnerabilidad en macOS Sequoia (CVE-2024-27795)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15. Es posible que una extensión de cámara pueda acceder a Internet.
  • Vulnerabilidad en macOS Sequoia (CVE-2024-27858)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15. Una aplicación puede tener acceso a datos de usuario protegidos.
  • Vulnerabilidad en macOS Sequoia (CVE-2024-27860)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en macOS Sequoia 15. Es posible que una aplicación pueda leer memoria restringida.
  • Vulnerabilidad en macOS Sequoia (CVE-2024-27861)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    El problema se solucionó mejorando el manejo de la memoria. Este problema se solucionó en macOS Sequoia 15. Es posible que una aplicación pueda leer memoria restringida.
  • Vulnerabilidad en iOS, iPadOS y macOS Sequoia (CVE-2024-40826)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Se solucionó un problema de privacidad mejorando el manejo de archivos. Este problema se solucionó en iOS 18 y iPadOS 18, macOS Sequoia 15. Es posible que un documento no cifrado se escriba en un archivo temporal al usar la vista previa de impresión.
  • Vulnerabilidad en iOS y iPadOS (CVE-2024-40830)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Este problema se solucionó con una protección de datos mejorada. Este problema se solucionó en iOS 18 y iPadOS 18. Es posible que una aplicación pueda enumerar las aplicaciones instaladas de un usuario.
  • Vulnerabilidad en macOS Sequoia (CVE-2024-40831)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15. Una aplicación puede acceder a la librería de fotos de un usuario.
  • Vulnerabilidad en macOS Sequoia (CVE-2024-40837)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15. Una aplicación puede tener acceso a datos de usuario protegidos.
  • Vulnerabilidad en code-projects Hospital Management System 1.0 (CVE-2024-8944)
    Severidad: ALTA
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en code-projects Hospital Management System 1.0. Afecta a una parte desconocida del archivo check_availability.php. La manipulación del argumento email provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en Contao (CVE-2024-45612)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Contao es un CMS de código abierto. En las versiones afectadas, un usuario no confiable puede insertar etiquetas de inserción en la etiqueta canónica, que luego se reemplazan en la página web (interfaz). Se recomienda a los usuarios que actualicen a Contao 4.13.49, 5.3.15 o 5.4.3. Los usuarios que no puedan actualizar deben deshabilitar las etiquetas canónicas en la configuración de la página raíz.
  • Vulnerabilidad en MicroPython 1.23.0 (CVE-2024-8948)
    Severidad: ALTA
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Se encontró una vulnerabilidad en MicroPython 1.23.0. Se ha calificado como crítica. Este problema afecta a la función mpz_as_bytes del archivo py/objint.c. La manipulación provoca un desbordamiento del búfer en el montón. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse. El parche se identifica como 908ab1ceca15ee6fd0ef82ca4cba770a3ec41894. Se recomienda aplicar un parche para solucionar este problema. En el componente objint de micropython, la conversión de cero de int a bytes provoca un desbordamiento del búfer en el montón en mpz_as_bytes.
  • Vulnerabilidad en SourceCodester Online Eyewear Shop 1.0 (CVE-2024-8949)
    Severidad: MEDIA
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Online Eyewear Shop 1.0. Afecta a una parte desconocida del archivo /classes/Master.php del componente Cart Content Handler. La manipulación del argumento cart_id/id provoca una gestión incorrecta de la propiedad. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en SourceCodester Resort Reservation System 1.0 (CVE-2024-8951)
    Severidad: MEDIA
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en SourceCodester Resort Reservation System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo manage_fee.php. La manipulación del argumento toview provoca cross site scripting. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en Backstage (CVE-2024-45815)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Backstage es un framework abierto para crear portales para desarrolladores. Un actor malintencionado con acceso autenticado a una instancia de Backstage con el complemento de backend de catálogo instalado puede interrumpir el servicio mediante una consulta especialmente manipulada a la API de catálogo. Esto se ha solucionado en la versión `1.26.0` de `@backstage/plugin-catalog-backend`. Se recomienda a todos los usuarios que actualicen la versión. No existen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Backstage (CVE-2024-45816)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Backstage es un framework abierto para crear portales para desarrolladores. Al utilizar el proveedor de almacenamiento AWS S3 o GCS para TechDocs, es posible acceder al contenido de todo el depósito de almacenamiento. Esto puede filtrar contenido del depósito al que no se pretende acceder, así como eludir las comprobaciones de permisos en Backstage. Esto se ha solucionado en la versión 1.10.13 del paquete `@backstage/plugin-techdocs-backend`. Se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Backstage (CVE-2024-46976)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Backstage es un framework abierto para crear portales para desarrolladores. Un atacante con control sobre el contenido de los depósitos de almacenamiento de TechDocs puede inyectar secuencias de comandos ejecutables en el contenido de TechDocs que se ejecutarán en el navegador de la víctima cuando explore la documentación o navegue hacia un enlace proporcionado por el atacante. Esto se ha solucionado en la versión 1.10.13 del paquete `@backstage/plugin-techdocs-backend`. Se recomienda a los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Google Chrome (CVE-2024-8906)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    La interfaz de seguridad incorrecta en Descargas en Google Chrome anterior a la versión 129.0.6668.58 permitía que un atacante remoto que convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario realizara una suplantación de la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-8907)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    La validación de datos insuficiente en Omnibox en Google Chrome en Android anterior a la versión 129.0.6668.58 permitió que un atacante remoto convenciera a un usuario para que realizara gestos de IU específicos para inyectar secuencias de comandos arbitrarias o HTML (XSS) a través de un conjunto de gestos de IU manipulados. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-8908)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Una implementación inadecuada de Autocompletar en Google Chrome anterior a la versión 129.0.6668.58 permitió que un atacante remoto suplantara la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: baja)
  • Vulnerabilidad en Google Chrome (CVE-2024-8909)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Una implementación inadecuada en la interfaz de usuario de Google Chrome en iOS anterior a la versión 129.0.6668.58 permitió que un atacante remoto suplantara la interfaz de usuario a través de una página HTML manipulada específicamente. (Gravedad de seguridad de Chromium: baja)
  • Vulnerabilidad en kernel de Linux (CVE-2024-46772)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 23/09/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: comprobar el denominador crb_pipes antes de usarlo [QUÉ Y CÓMO] Un denominador no puede ser 0 y se comprueba antes de usarlo. Esto soluciona 2 problemas de DIVIDE_BY_ZERO informados por Coverity.
  • Vulnerabilidad en kernel de Linux (CVE-2024-46773)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 23/09/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: comprobar el denominador pbn_div antes de usarlo [QUÉ Y CÓMO] Un denominador no puede ser 0 y se comprueba antes de usarlo. Esto soluciona un problema DIVIDE_BY_ZERO informado por Coverity.
  • Vulnerabilidad en kernel de Linux (CVE-2024-46779)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 23/09/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/imagination: pvr_vm_gpuva libre después de la desvinculación Esto provocó una pérdida de memoria medible. Aunque las asignaciones individuales son pequeñas, las pérdidas se producen en una ruta de código de alto uso (reasignación o anulación de la asignación de la memoria del dispositivo), por lo que se acumulan rápidamente.
  • Vulnerabilidad en kernel de Linux (CVE-2024-46781)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 23/09/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: nilfs2: se corrige el error de limpieza faltante en la recuperación de avance En una prueba de inyección de errores de una rutina para la recuperación en tiempo de montaje, KASAN encontró un error de use after free. Resultó que si la recuperación de datos se realizaba utilizando registros parciales creados por escrituras dsync, pero se producía un error antes de iniciar el escritor de registros para crear un punto de control recuperado, los inodos cuyos datos se habían recuperado se dejaban en la lista ns_dirty_files del objeto nilfs y no se liberaban. Solucione este problema limpiando los inodos que han leído los datos de recuperación si la rutina de recuperación falla a mitad de camino antes de que se inicie el escritor de registros.
  • Vulnerabilidad en NetCat CMS (CVE-2024-8651)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/09/2024
    Fecha de última actualización: 23/09/2024
    Una vulnerabilidad en NetCat CMS permite a un atacante enviar una solicitud http especialmente manipulada que puede utilizarse para comprobar si un usuario existe en el sistema, lo que podría ser la base para futuros ataques. Este problema afecta a NetCat CMS v. 6.4.0.24126.2 y posiblemente a otros. Aplicar el parche del proveedor https://netcat.ru/ https://netcat.ru/] . Las versiones 6.4.0.24248 y posteriores tienen el parche.
  • Vulnerabilidad en NetCat CMS (CVE-2024-8652)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/09/2024
    Fecha de última actualización: 23/09/2024
    Una vulnerabilidad en NetCat CMS permite a un atacante ejecutar código JavaScript en el navegador de un usuario cuando visita una ruta específica en el sitio. Este problema afecta a NetCat CMS v. 6.4.0.24126.2 y posiblemente a otros. Aplicar el parche del proveedor https://netcat.ru/ https://netcat.ru/]. Las versiones 6.4.0.24248 y posteriores tienen el parche.
  • Vulnerabilidad en NetCat CMS (CVE-2024-8653)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/09/2024
    Fecha de última actualización: 23/09/2024
    Una vulnerabilidad en NetCat CMS permite a un atacante ejecutar código JavaScript en el navegador de un usuario cuando visita rutas específicas en el sitio. Este problema afecta a NetCat CMS v. 6.4.0.24126.2 y posiblemente a otros. Aplicar el parche del proveedor https://netcat.ru/ https://netcat.ru/]. Las versiones 6.4.0.24248 y posteriores tienen el parche.
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38221)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de suplantación de identidad en Microsoft Edge (basado en Chromium)
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43489)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de ejecución remota de código en Microsoft Edge (basado en Chromium)
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43496)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/09/2024
    Fecha de última actualización: 23/09/2024
    Vulnerabilidad de ejecución remota de código en Microsoft Edge (basado en Chromium)
  • Vulnerabilidad en D-Link DAR-7000 (CVE-2024-9004)
    Severidad: MEDIA
    Fecha de publicación: 19/09/2024
    Fecha de última actualización: 23/09/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en D-Link DAR-7000 hasta el 20240912. Se ve afectada una función desconocida del archivo /view/DBManage/Backup_Server_commit.php. La manipulación del argumento host provoca la inyección de comandos del sistema operativo. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. NOTA: Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.