Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en standford-parser (CVE-2023-39020)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/07/2023
    Fecha de última actualización: 10/10/2024
    Se ha descubierto que standford-parser v3.9.2 y versiones inferiores contienen una vulnerabilidad de inyección de código en el componente "edu.stanford.nlp.io.getBZip2PipedInputStream". Esta vulnerabilidad se aprovecha pasando un argumento no comprobado.
  • Vulnerabilidad en codeplex-codehaus (CVE-2022-4244)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/09/2023
    Fecha de última actualización: 10/10/2024
    Se encontró una falla en codeplex-codehaus. Un ataque de directory traversal (también conocido como path traversal) tiene como objetivo acceder a archivos y directorios almacenados fuera de la carpeta deseada. Al manipular archivos con secuencias "dot-dot-slash (../)" y sus variaciones o al usar rutas de archivo absolutas, es posible acceder a archivos y directorios arbitrarios almacenados en el sistema de archivos, incluido el código fuente de la aplicación, la configuración, y otros archivos críticos del sistema.
  • Vulnerabilidad en codehaus-plexus (CVE-2022-4245)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/09/2023
    Fecha de última actualización: 10/10/2024
    Se encontró una falla en codehaus-plexus. El org.codehaus.plexus.util.xml.XmlWriterUtil#writeComment no puede sanitizar los comentarios para una secuencia -->. Este problema significa que el texto contenido en la cadena de comando podría interpretarse como XML y permitir la inyección de XML.
  • Vulnerabilidad en Intel(R) (CVE-2023-26585)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Un control de acceso inadecuado en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente la denegación de servicio a través del acceso local.
  • Vulnerabilidad en Intel(R) (CVE-2023-26591)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    El valor de retorno no verificado en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario no autenticado habilite potencialmente la denegación de servicio mediante acceso físico.
  • Vulnerabilidad en Intel(R) (CVE-2023-26592)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    La deserialización de datos que no son de confianza en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente una denegación de servicio a través del acceso local.
  • Vulnerabilidad en Intel(R) (CVE-2023-26596)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Un control de acceso inadecuado en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente la denegación de servicio a través del acceso local.
  • Vulnerabilidad en Intel(R) (CVE-2023-27300)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Las restricciones inadecuadas del búfer en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 pueden permitir que un usuario autenticado potencialmente habilite la divulgación de información a través del acceso local.
  • Vulnerabilidad en Intel(R) (CVE-2023-27301)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Un control de acceso inadecuado en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en Intel(R) (CVE-2023-27303)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Un control de acceso inadecuado en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado potencialmente habilite la divulgación de información a través del acceso local.
  • Vulnerabilidad en Intel(R) (CVE-2023-27307)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Las restricciones inadecuadas del búfer en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 pueden permitir que un usuario autenticado potencialmente habilite la divulgación de información a través del acceso local.
  • Vulnerabilidad en Intel(R) (CVE-2023-27308)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Las restricciones inadecuadas del búfer en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 pueden permitir que un usuario privilegiado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en Intel(R) Thunderbolt(TM) DCH para Windows (CVE-2023-22342)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    La validación de entrada incorrecta en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en Intel(R) Thunderbolt(TM) DCH para Windows (CVE-2023-22390)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Las restricciones inadecuadas del búfer en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 pueden permitir que un usuario autenticado potencialmente habilite la divulgación de información a través del acceso local.
  • Vulnerabilidad en Intel(R) Thunderbolt(TM) DCH para Windows (CVE-2023-22848)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Un control de acceso inadecuado en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente la denegación de servicio a través del acceso local.
  • Vulnerabilidad en Intel(R) Thunderbolt(TM) DCH para Windows (CVE-2023-24463)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    La validación de entrada incorrecta en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario no autenticado habilite potencialmente la divulgación de información a través de un acceso adyacente.
  • Vulnerabilidad en Intel(R) Thunderbolt(TM) DCH para Windows (CVE-2023-24481)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Un control de acceso inadecuado en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en Intel(R) Thunderbolt(TM) DCH para Windows (CVE-2023-24542)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    La ruta o elemento de búsqueda sin comillas en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en Intel(R) Thunderbolt(TM) DCH para Windows (CVE-2023-24589)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Las restricciones inadecuadas del búfer en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 pueden permitir que un usuario privilegiado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en Intel(R) (CVE-2023-25769)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    El consumo descontrolado de recursos en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente la denegación de servicio a través del acceso local.
  • Vulnerabilidad en Intel(R) (CVE-2023-25777)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    Un control de acceso inadecuado en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en Intel(R) (CVE-2023-25779)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 10/10/2024
    El elemento de ruta de búsqueda no controlado en algunos controladores Intel(R) Thunderbolt(TM) DCH para Windows anteriores a la versión 88 puede permitir que un usuario autenticado habilite potencialmente la escalada de privilegios a través del acceso local.
  • Vulnerabilidad en berriai/litellm (CVE-2024-4890)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 10/10/2024
    Existe una vulnerabilidad de inyección SQL ciega en la aplicación berriai/litellm, específicamente dentro del proceso '/team/update'. La vulnerabilidad surge debido al manejo inadecuado del parámetro 'user_id' en la consulta SQL sin formato utilizada para eliminar usuarios. Un atacante puede aprovechar esta vulnerabilidad inyectando comandos SQL maliciosos a través del parámetro 'user_id', lo que lleva a un posible acceso no autorizado a información confidencial como claves API, información de usuario y tokens almacenados en la base de datos. La versión afectada es la 1.27.14.
  • Vulnerabilidad en dnsmasq 2.9 (CVE-2023-49441)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 10/10/2024
    dnsmasq 2.9 es vulnerable al desbordamiento de enteros a través de forward_query.
  • Vulnerabilidad en WPZOOM Social Icons Widget & Block de WPZOOM (CVE-2024-30464)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 10/10/2024
    Vulnerabilidad de autorización faltante en WPZOOM Social Icons Widget & Block de WPZOOM. Este problema afecta a Social Icons Widget & Block de WPZOOM: desde n/a hasta 4.2.15.
  • Vulnerabilidad en Pagelayer Team PageLayer (CVE-2024-30465)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 10/10/2024
    Vulnerabilidad de autorización faltante en Pagelayer Team PageLayer. Este problema afecta a PageLayer: desde n/a hasta 1.8.1.
  • Vulnerabilidad en D-Link DIR-860L v2.03 (CVE-2024-42812)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/08/2024
    Fecha de última actualización: 10/10/2024
    En D-Link DIR-860L v2.03, existe una vulnerabilidad de desbordamiento del búfer debido a la falta de verificación de longitud para el campo SID en gena.cgi. Los atacantes que explotan con éxito esta vulnerabilidad pueden provocar que el dispositivo de destino remoto falle o ejecute comandos arbitrarios.
  • Vulnerabilidad en Auto Amazon Links – Amazon Associates Affiliate Plugin para WordPress (CVE-2024-9349)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 10/10/2024
    El complemento Auto Amazon Links – Amazon Associates Affiliate Plugin para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape apropiado en la URL en todas las versiones hasta la 5.4.2 incluida. Esto hace posible que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Aggregator Advanced Settings para WordPress (CVE-2024-9368)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 10/10/2024
    El complemento Aggregator Advanced Settings para WordPress es vulnerable a Cross-Site Scripting Almacenado mediante cargas de archivos SVG en todas las versiones hasta la 1.2.1 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de autor y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
  • Vulnerabilidad en WP Blocks Hub para WordPress (CVE-2024-9372)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 10/10/2024
    El complemento WP Blocks Hub para WordPress es vulnerable a Cross-Site Scripting Almacenado mediante la carga de archivos SVG en todas las versiones hasta la 1.0.2 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de autor o superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
  • Vulnerabilidad en Captcha de WordPress de Captcha Bank para WordPress (CVE-2024-9375)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 10/10/2024
    El complemento Captcha de WordPress de Captcha Bank para WordPress es vulnerable a ataques de Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta la 4.0.36 incluida. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
  • Vulnerabilidad en Quantity Dynamic Pricing & Bulk Discounts for WooCommerce para WordPress (CVE-2024-9384)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 10/10/2024
    El complemento Quantity Dynamic Pricing & Bulk Discounts for WooCommerce para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta la 3.8.0 incluida. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
  • Vulnerabilidad en Login Logout Shortcode para WordPress (CVE-2024-9421)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 10/10/2024
    El complemento Login Logout Shortcode para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'class' en todas las versiones hasta la 1.1.0 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Display Medium Posts para WordPress (CVE-2024-9445)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 10/10/2024
    El complemento Display Medium Posts para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado display_medium_posts del complemento en todas las versiones hasta la 5.0.1 incluida, debido a una desinfección de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Code Embed para WordPress (CVE-2024-8804)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 10/10/2024
    El complemento Code Embed para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la función de inserción de secuencias de comandos del complemento en todas las versiones hasta la 2.4 incluida, debido a restricciones insuficientes sobre quién puede utilizar la función. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.