Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en kubeflow/kubeflow (CVE-2024-5552)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 23/09/2024
    kubeflow/kubeflow es vulnerable a un ataque de denegación de servicio de expresión regular (ReDoS) debido a la complejidad ineficiente de la expresión regular en su mecanismo de validación de correo electrónico. Un atacante puede explotar esta vulnerabilidad de forma remota sin autenticación proporcionando una entrada especialmente manipulada que hace que la aplicación consuma una cantidad excesiva de recursos de CPU. Esta vulnerabilidad afecta a la última versión de kubeflow/kubeflow, específicamente dentro del componente backend centraldashboard-angular. El impacto de explotar esta vulnerabilidad incluye el agotamiento de los recursos y la interrupción del servicio.
  • Vulnerabilidad en LabVantage LIMS 2017 (CVE-2024-6058)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2024
    Fecha de última actualización: 23/09/2024
    Una vulnerabilidad ha sido encontrada en LabVantage LIMS 2017 y clasificada como problemática. Una parte desconocida del archivo /labvantage/rc?command=page&page=SampleHistoricalList&_iframename=list&__crc=crc_1701669816260. La manipulación del argumento alto/ancho conduce a cross site scripting. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-268785. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Ingenico Estate Manager 2023 (CVE-2024-6059)
    Severidad: BAJA
    Fecha de publicación: 17/06/2024
    Fecha de última actualización: 23/09/2024
    Una vulnerabilidad clasificada como problemática fue encontrada en Ingenico Estate Manager 2023. Un procesamiento desconocido del archivo /emgui/rest/ums/messages del componente News Feed afecta a este problema. La manipulación del mensaje de argumento conduce a cross site scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-268787. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en visionOS (CVE-2024-40790)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    El problema se solucionó con un manejo mejorado de las memorias caché. Este problema se solucionó en visionOS 2. Es posible que una aplicación pueda leer datos confidenciales de la memoria de la GPU.
  • Vulnerabilidad en Concrete CMS (CVE-2024-8660)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 23/09/2024
    Las versiones 9.0.0 a 9.3.3 de Concrete CMS se ven afectadas por una vulnerabilidad XSS almacenado en el bloque "Barra de navegación superior". Dado que la salida de la "Barra de navegación superior" no se desinfectó lo suficiente, un administrador malintencionado podría agregar una carga maliciosa que podría ejecutarse cuando los usuarios objetivo visitaran la página de inicio. El equipo de seguridad de Concrete CMS le dio a esta vulnerabilidad una puntuación CVSS v4 de 4,6 con el vector CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N https://www.first.org/cvss/calculator/4.0#CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N . Esto no afecta a las versiones anteriores a la 9.0.0, ya que no tienen el bloque de la barra de navegación superior. Gracias, Chu Quoc Khanh, por informarnos.
  • Vulnerabilidad en Mautic (CVE-2022-25774)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 23/09/2024
    Antes de la versión parcheada, los usuarios que habían iniciado sesión en Mautic eran vulnerables a una vulnerabilidad XSS propia en las notificaciones dentro de Mautic. Los usuarios podían inyectar código malicioso en la notificación al guardar los Dashboards.
  • Vulnerabilidad en Mautic (CVE-2022-25775)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 23/09/2024
    Antes de la versión parcheada, los usuarios registrados de Mautic eran vulnerables a una vulnerabilidad de inyección SQL en el paquete de informes. El usuario podía recuperar y alterar datos como datos confidenciales, datos de inicio de sesión y, según el permiso de la base de datos, el atacante podía manipular los sistemas de archivos.