Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Pixelfed (CVE-2024-25108)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/02/2024
    Fecha de última actualización: 11/10/2024
    Pixelfed es una plataforma para compartir fotografías de código abierto. Al procesar las solicitudes, la autorización se verificó de manera inadecuada e insuficiente, lo que permitió a los atacantes acceder a muchas más funciones de las que los usuarios pretendían, incluidas las funciones administrativas y de moderador del servidor Pixelfed. Esta vulnerabilidad afecta a todas las versiones de Pixelfed entre la v0.10.4 y la v0.11.9, inclusive. Existe una prueba de concepto de esta vulnerabilidad. Esta vulnerabilidad afecta a todos los usuarios locales de un servidor Pixelfed y puede afectar potencialmente la capacidad de los servidores para federarse. Se requiere cierta interacción del usuario para configurar las condiciones para poder ejercer la vulnerabilidad, pero el atacante podría realizar este ataque de manera retardada, donde no se requiere activamente la interacción del usuario. Esta vulnerabilidad se ha solucionado en la versión 0.11.11. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en mhenrixon / sidekiq-unique-jobs de GitHub (CVE-2024-25122)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 11/10/2024
    sidekiq-unique-jobs es un proyecto de código abierto que evita que se ejecuten trabajos Sidekiq simultáneos con los mismos argumentos únicos. Los parámetros de solicitud GET especialmente manipulados manejados por cualquiera de los siguientes endpoints de la interfaz de usuario web "admin" de sidekiq-unique-jobs, permiten que un atacante superusuario o una víctima involuntaria, pero autorizada, que haya recibido un enlace disfrazado/manipulado, para ejecutar con éxito código malicioso, que podría robar cookies, datos de sesión o datos de almacenamiento local de la aplicación en la que está montada la interfaz de usuario web de sidekiq-unique-jobs. 1. `/changelogs`, 2. `/locks` o 3. `/cerraduras_expirantes`. Este problema se solucionó en las versiones 7.1.33 y 8.0.7. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.