Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en kernel de Linux (CVE-2024-46805)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 02/10/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: corrige la subárbol de desreferenciación waring. Comprueba el subárbol *amdgpu_hive_info que puede ser NULL.
  • Vulnerabilidad en kernel de Linux (CVE-2024-46806)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 02/10/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: Corrige la advertencia de división o módulo por cero. Comprueba el modo de partición y devuelve un error si el modo es inválido.
  • Vulnerabilidad en kernel de Linux (CVE-2024-46849)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 02/10/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ASoC: meson: axg-card: se corrige el problema 'use-after-free'. El búfer 'card->dai_link' se reasigna en 'meson_card_reallocate_links()', por lo que se mueve la inicialización del puntero 'pad' después de esta función cuando la memoria ya está reasignada. Informe de error de Kasan: ===================================================================== ERROR: KASAN: slab-use-after-free en axg_card_add_link+0x76c/0x9bc Lectura de tamaño 8 en la dirección ffff000000e8b260 por la tarea modprobe/356 CPU: 0 PID: 356 Comm: modprobe Contaminado: GO 6.9.12-sdkernel #1 Rastreo de llamadas: dump_backtrace+0x94/0xec show_stack+0x18/0x24 dump_stack_lvl+0x78/0x90 print_report+0xfc/0x5c0 kasan_report+0xb8/0xfc __asan_load8+0x9c/0xb8 axg_card_add_link+0x76c/0x9bc [snd_soc_meson_axg_sound_card] meson_card_probe+0x344/0x3b8 [snd_soc_meson_card_utils] platform_probe+0x8c/0xf4 really_probe+0x110/0x39c __driver_probe_device+0xb8/0x18c driver_probe_device+0x108/0x1d8 __driver_attach+0xd0/0x25c bus_for_each_dev+0xe0/0x154 driver_attach+0x34/0x44 bus_add_driver+0x134/0x294 registro_controlador+0xa8/0x1e8 __registro_controlador_plataforma+0x44/0x54 axg_card_pdrv_init+0x20/0x1000 [snd_soc_meson_axg_sound_card] hacer_una_llamada_inicio+0xdc/0x25c hacer_módulo_inicio+0x10c/0x334 cargar_módulo+0x24c4/0x26cc módulo_inicio_desde_archivo+0xd4/0x128 __arm64_sys_finit_module+0x1f4/0x41c invocar_llamada_al_sistema+0x60/0x188 el0_svc_common.constprop.0+0x78/0x13c hacer_el0_svc+0x30/0x40 el0_svc+0x38/0x78 el0t_64_sync_handler+0x100/0x12c el0t_64_sync+0x190/0x194
  • Vulnerabilidad en kernel de Linux (CVE-2024-46852)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 02/10/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: dma-buf: heaps: Fix off-by-one in CMA heap fault handler Hasta que se agregó VM_DONTEXPAND en el commit 1c1914d6e8c6 ("dma-buf: heaps: Don't track CMA dma-buf pages under RssFile") era posible obtener un mapeo más grande que el tamaño del buffer a través de mremap y omitir la verificación de desbordamiento en dma_buf_mmap_internal. Al usar dicho mapeo para intentar fallar más allá del final del búfer, el manejador de fallas del montón de CMA también verifica el desplazamiento de la falla contra el tamaño del búfer, pero obtiene el límite incorrecto por 1. Corrija la verificación del límite para que no leamos el final de la matriz de páginas e insertemos una página arbitraria en el mapeo.
  • Vulnerabilidad en kernel de Linux (CVE-2024-46855)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 02/10/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: netfilter: nft_socket: corrige fugas de referencias de sk Debemos poner la referencia 'sk' antes de regresar.
  • Vulnerabilidad en code-projects Blood Bank Management System 1.0 (CVE-2024-9316)
    Severidad: MEDIA
    Fecha de publicación: 28/09/2024
    Fecha de última actualización: 02/10/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en code-projects Blood Bank Management System 1.0. Se ve afectada una función desconocida del archivo /admin/blood/update/B+.php. La manipulación del argumento Bloodname provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en code-projects Supply Chain Management 1.0 (CVE-2024-9322)
    Severidad: MEDIA
    Fecha de publicación: 29/09/2024
    Fecha de última actualización: 02/10/2024
    Se ha encontrado una vulnerabilidad en code-projects Supply Chain Management 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /admin/edit_manufacturer.php. La manipulación del argumento id provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en PHPGurukul Online Shopping Portal 2.0 (CVE-2024-9326)
    Severidad: ALTA
    Fecha de publicación: 29/09/2024
    Fecha de última actualización: 02/10/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en PHPGurukul Online Shopping Portal 2.0. Esta vulnerabilidad afecta al código desconocido del archivo /shopping/admin/index.php del componente Admin Panel. La manipulación del argumento username provoca una inyección SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en code-projects Blood Bank System 1.0 (CVE-2024-9327)
    Severidad: MEDIA
    Fecha de publicación: 29/09/2024
    Fecha de última actualización: 02/10/2024
    Se ha encontrado una vulnerabilidad en code-projects Blood Bank System 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /forgot.php. La manipulación del argumento useremail conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.