Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Tianchoy Blog (CVE-2024-7114)
    Severidad: MEDIA
    Fecha de publicación: 26/07/2024
    Fecha de última actualización: 30/09/2024
    Se encontró una vulnerabilidad en Tianchoy Blog hasta 1.8.8. Ha sido clasificada como crítica. Esto afecta a una parte desconocida del archivo /so.php. La manipulación del argumento search conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-272445. NOTA: Se contactó al proveedor tempranamente sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en txtdot (CVE-2024-41812)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/07/2024
    Fecha de última actualización: 30/09/2024
    txtdot es un proxy HTTP que analiza sólo texto, enlaces e imágenes de las páginas, eliminando anuncios y scripts pesados. Antes de la versión 1.7.0, una vulnerabilidad de Server-Side Request Forgery (SSRF) en la ruta `/get` de txtdot permitía a atacantes remotos usar el servidor como proxy para enviar solicitudes HTTP GET a objetivos arbitrarios y recuperar información en el servidor interno. red. La versión 1.7.0 impide mostrar la respuesta de solicitudes falsificadas, pero las solicitudes aún se pueden enviar. Para una mitigación completa, se debe configurar un firewall entre txtdot y otros recursos de la red interna.
  • Vulnerabilidad en txtdot (CVE-2024-41813)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/07/2024
    Fecha de última actualización: 30/09/2024
    txtdot es un proxy HTTP que analiza sólo texto, enlaces e imágenes de las páginas, eliminando anuncios y scripts pesados. A partir de la versión 1.4.0 y antes de la versión 1.6.1, una vulnerabilidad de Server-Side Request Forgery (SSRF) en la ruta `/proxy` de txtdot permite a atacantes remotos usar el servidor como proxy para enviar solicitudes HTTP GET a usuarios arbitrarios. objetivos y recuperar información en la red interna. La versión 1.6.1 soluciona el problema.
  • Vulnerabilidad en Akana API Platform (CVE-2024-3930)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 30/09/2024
    En versiones de Akana API Platform anteriores a 2024.1.0, se descubrió un fallo que resultaba en XML External Entity (XXE).
  • Vulnerabilidad en iOS, iPadOS, watchOS y macOS Sequoia (CVE-2024-44170)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 30/09/2024
    Se solucionó un problema de privacidad moviendo los datos confidenciales a una ubicación más segura. Este problema se solucionó en iOS 18 y iPadOS 18, watchOS 11 y macOS Sequoia 15. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en ProGauge MAGLINK LX CONSOLE (CVE-2024-41725)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/09/2024
    Fecha de última actualización: 30/09/2024
    ProGauge MAGLINK LX CONSOLE no tiene filtrado suficiente en los campos de entrada que se utilizan para renderizar páginas, lo que puede permitir Cross Site Scripting.
  • Vulnerabilidad en Scriptcase (CVE-2024-8941)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/09/2024
    Fecha de última actualización: 30/09/2024
    Vulnerabilidad de Path Traversal en Scriptcase versión 9.4.019, en /scriptcase/devel/compat/nm_edit_php_edit.php (en el parámetro “subpage”), que permite a usuarios remotos no autenticados eludir las restricciones previstas por SecurityManager y enumerar y/o leer un directorio principal a través de un “/...” o directamente en una ruta utilizada en el parámetro POST “field_file” por una aplicación web.