Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en dbartholomae lambda-middleware frameguard (CVE-2021-4437)
    Severidad: BAJA
    Fecha de publicación: 12/02/2024
    Fecha de última actualización: 11/10/2024
    Una vulnerabilidad clasificada como problemática fue encontrada en dbartholomae lambda-middleware frameguard hasta 1.0.4. Una función desconocida del archivo packages/json-deserializer/src/JsonDeserializer.ts del componente JSON Mime-Type Handler es afectado por esta vulnerabilidad. La manipulación conduce a una complejidad de expresiones regulares ineficiente. La actualización a la versión 1.1.0 puede solucionar este problema. El parche se identifica como f689404d830cbc1edd6a1018d3334ff5f44dc6a6. Se recomienda actualizar el componente afectado. VDB-253406 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en UAMQP para AMQP 1.0 (CVE-2024-25110)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/02/2024
    Fecha de última actualización: 11/10/2024
    UAMQP es una librería C de uso general para AMQP 1.0. Durante una llamada a open_get_offered_capabilities, una asignación de memoria puede fallar causando un problema de use-after-free y si un cliente lo llamó durante la comunicación de conexión, puede causar una ejecución remota de código. Se recomienda a los usuarios actualizar el submódulo con el commit `30865c9c`. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Siemens SINEC Security Monitor (CVE-2024-47553)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 11/10/2024
    Se ha identificado una vulnerabilidad en Siemens SINEC Security Monitor (todas las versiones anteriores a la V4.9.0). La aplicación afectada no valida correctamente la entrada del usuario en el comando ```ssmctl-client```. Esto podría permitir que un atacante remoto autenticado y con pocos privilegios ejecute código arbitrario con privilegios de root en el sistema operativo subyacente.
  • Vulnerabilidad en Siemens SINEC Security Monitor (CVE-2024-47562)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 11/10/2024
    Se ha identificado una vulnerabilidad en Siemens SINEC Security Monitor (todas las versiones anteriores a V4.9.0). La aplicación afectada no neutraliza correctamente los elementos especiales en la entrada del usuario al comando ```ssmctl-client```. Esto podría permitir que un atacante local autenticado y con pocos privilegios ejecute comandos privilegiados en el sistema operativo subyacente.
  • Vulnerabilidad en Siemens SINEC Security Monitor (CVE-2024-47563)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 11/10/2024
    Se ha identificado una vulnerabilidad en Siemens SINEC Security Monitor (todas las versiones anteriores a la V4.9.0). La aplicación afectada no valida correctamente la ruta de archivo que se proporciona a un endpoint destinado a crear archivos CSR. Esto podría permitir que un atacante remoto no autenticado cree archivos en directorios editables fuera de la ubicación prevista y, por lo tanto, comprometa la integridad de los archivos en esos directorios editables.
  • Vulnerabilidad en Siemens SINEC Security Monitor (CVE-2024-47565)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 11/10/2024
    Se ha identificado una vulnerabilidad en Siemens SINEC Security Monitor (todas las versiones anteriores a la V4.9.0). La aplicación afectada no valida correctamente que la entrada del usuario cumpla con una lista de valores permitidos. Esto podría permitir que un atacante remoto autenticado comprometa la integridad de la configuración de la aplicación afectada.
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-47161)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 11/10/2024
    En JetBrains TeamCity antes de 2024.07.3 la contraseña podría quedar expuesta a través de la API REST de Sonar runner
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-47948)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 11/10/2024
    En JetBrains TeamCity antes de 2024.07.3, el path traversal que conducía a la divulgación de información era posible a través de copias de seguridad del servidor
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-47949)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 11/10/2024
    En JetBrains TeamCity antes de 2024.07.3, path traversal permitía escribir archivos de respaldo en una ubicación arbitraria
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-47950)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 11/10/2024
    En JetBrains TeamCity antes de 2024.07.3 era posible XSS almacenado en la configuración de copia de seguridad
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-47951)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 11/10/2024
    En JetBrains TeamCity antes de 2024.07.3, el XSS almacenado era posible a través de la configuración global del servidor