Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en alf.io (CVE-2024-45300)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2024
    Fecha de última actualización: 29/09/2024
    alf.io es un sistema de reserva de entradas de código abierto para conferencias, ferias comerciales, talleres y reuniones. Antes de la versión 2.0-M5, una condición de ejecución permitía al usuario eludir el límite de la cantidad de códigos promocionales y usar el cupón de descuento varias veces. En "alf.io", un organizador de eventos puede aplicar descuentos de precios mediante el uso de códigos promocionales en sus eventos. El organizador puede limitar la cantidad de códigos promocionales que se utilizarán para esto, pero el lapso de tiempo entre la verificación de la cantidad de códigos y la restricción del uso de los mismos permite que un actor de amenazas eluda el límite de códigos promocionales. La versión 2.0-M5 soluciona este problema.
  • Vulnerabilidad en Music Station (CVE-2023-45038)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2024
    Fecha de última actualización: 28/09/2024
    Se ha informado de una vulnerabilidad de autenticación incorrecta que afecta a Music Station. Si se explota, la vulnerabilidad podría permitir a los usuarios poner en peligro la seguridad del sistema a través de una red. Ya hemos corregido la vulnerabilidad en la siguiente versión: Music Station 5.4.0 y posteriores
  • Vulnerabilidad en Video Station (CVE-2023-47563)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2024
    Fecha de última actualización: 28/09/2024
    Se ha informado de una vulnerabilidad de inyección de comandos del sistema operativo que afecta a Video Station. Si se explota, la vulnerabilidad podría permitir que los usuarios autenticados ejecuten comandos a través de una red. Ya hemos corregido la vulnerabilidad en la siguiente versión: Video Station 5.8.2 y posteriores
  • Vulnerabilidad en Video Station (CVE-2023-50360)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2024
    Fecha de última actualización: 28/09/2024
    Se ha informado de una vulnerabilidad de inyección SQL que afecta a Video Station. Si se explota, la vulnerabilidad podría permitir a los usuarios autenticados inyectar código malicioso a través de una red. Ya hemos corregido la vulnerabilidad en la siguiente versión: Video Station 5.8.1 (2024/02/26) y posteriores
  • Vulnerabilidad en CERT VDE (CVE-2024-7734)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/09/2024
    Fecha de última actualización: 28/09/2024
    Un atacante remoto no autenticado puede explotar el comportamiento del servicio de encapsulación TCP de Pathfinder estableciendo una gran cantidad de conexiones TCP con dicho servicio. El impacto se limita al bloqueo de pares VPN IPsec válidos.
  • Vulnerabilidad en Decidim (CVE-2024-32034)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/09/2024
    Fecha de última actualización: 29/09/2024
    Decidim es una democracia participativa, participación ciudadana y gobierno abierto de código abierto y gratuito para ciudades y organizaciones. El panel de administración está sujeto a posibles ataques de cross site scripting (XSS) en caso de que un administrador asigne un evaluador a una propuesta o realice cualquier otra acción que genere un registro de actividad de administración donde uno de los recursos tenga un XSS creado. Este problema se ha solucionado en las versiones de lanzamiento 0.27.7, 0.28.2 y posteriores. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar pueden redirigir las páginas /admin y /admin/logs a otras páginas de administración para evitar este acceso (es decir, `/admin/organization/edit`).
  • Vulnerabilidad en Decidim (CVE-2024-39910)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/09/2024
    Fecha de última actualización: 29/09/2024
    Decidim es una democracia participativa, participación ciudadana y gobierno abierto de código abierto y gratuito para ciudades y organizaciones. El editor WYSWYG QuillJS está sujeto a posibles ataques XSS en caso de que el atacante logre modificar el HTML antes de subirlo al servidor. El atacante puede cambiar, por ejemplo, a si sabe cómo crear estas solicitudes por sí mismo. Este problema se ha solucionado en la versión 0.27.7. Se recomienda a todos los usuarios que actualicen. Los usuarios que no puedan actualizar deben revisar las cuentas de usuario que tienen acceso al panel de administración (es decir, administradores generales y administradores del espacio participativo) y eliminar el acceso a ellas si no lo necesitan. Desactive la opción "Habilitar editor de texto enriquecido para participantes" en el panel de administración
  • Vulnerabilidad en Xcode 16 (CVE-2024-44162)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 29/09/2024
    Este problema se solucionó habilitando el tiempo de ejecución reforzado. Este problema se solucionó en Xcode 16. Una aplicación malintencionada puede obtener acceso a los elementos de Keychain de un usuario.
  • Vulnerabilidad en Mautic (CVE-2021-27915)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 29/09/2024
    Antes de la versión parcheada, existe una vulnerabilidad XSS en los campos de descripción dentro de la aplicación Mautic que podría ser explotada por un usuario registrado de Mautic con los permisos adecuados. Esto podría provocar que el usuario tenga acceso elevado al sistema.
  • Vulnerabilidad en kernel de Windows (CVE-2024-37985)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 29/09/2024
    Vulnerabilidad de divulgación de información del kernel de Windows
  • Vulnerabilidad en ZTE MF296R (CVE-2022-39068)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 29/09/2024
    Existe una vulnerabilidad de desbordamiento de búfer en ZTE MF296R. Debido a una validación insuficiente de la longitud del parámetro SMS, un atacante autenticado podría utilizar la vulnerabilidad para realizar un ataque de denegación de servicio.
  • Vulnerabilidad en IBM Business Automation Workflow (CVE-2024-43188)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 29/09/2024
    IBM Business Automation Workflow 22.0.2, 23.0.1, 23.0.2 y 24.0.0 podrían permitir que un usuario privilegiado realice actividades no autorizadas debido a una validación incorrecta del lado del cliente.
  • Vulnerabilidad en RWS MultiTrans v7.0.23324.2 (CVE-2024-43024)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 29/09/2024
    Varias vulnerabilidades de cross-site scripting (XSS) almacenado en RWS MultiTrans v7.0.23324.2 y versiones anteriores permiten a los atacantes ejecutar secuencias de comandos web o HTML arbitrarios a través de un payload especialmente manipulado.
  • Vulnerabilidad en CheckUser en ScadaServerEngine/MainLogic.cs en Rapid SCADA (CVE-2024-47221)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/09/2024
    Fecha de última actualización: 29/09/2024
    CheckUser en ScadaServerEngine/MainLogic.cs en Rapid SCADA hasta 5.8.4 permite una contraseña vacía.