Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en vision.c en ImageMagick (CVE-2014-9804)
    Severidad: ALTA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    vision.c en ImageMagick permite a atacantes remotos provocar una denegación de servicio (bucle infinito) a través de vectores relacionados con "demasiados objetos".
  • Vulnerabilidad en ImageMagick (CVE-2014-9805)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    ImageMagick permite a atacantes remotos provocar una denegación de servicio (fallo de segmentación y caída de aplicación) a través de un archivo pnm manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9806)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    ImageMagick permite a atacantes remotos provocar una denegación de servicio (consumo del descriptor de archivo) a través de un archivo manipulado.
  • Vulnerabilidad en el codificador pdb en ImageMagick (CVE-2014-9807)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    El codificador pdb en ImageMagick permite a atacantes remotos provocar una denegación de servicio (liberación doble) a través de vectores no especificados.
  • Vulnerabilidad en ImageMagick (CVE-2014-9808)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    ImageMagick permite a atacantes remotos provocar una denegación de servicio (fallo de segmentación y caída de aplicación) a través de un archivo dpc manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9809)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    ImageMagick permite a atacantes remotos provocar una denegación de servicio (fallo de segmentación y caída de aplicación) a través de un archivo xwd manipulado.
  • Vulnerabilidad en el manejador de archivos dpx en ImageMagick (CVE-2014-9810)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    El manejador de archivos dpx en ImageMagick permite a atacantes remotos provocar una denegación de servicio (fallo de segmentación y caída de aplicación) a través de un archivo dpx mal formado.
  • Vulnerabilidad en el manejador de archivos xwd en ImageMagick (CVE-2014-9811)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    El manejador de archivos xwd en ImageMagick permite a atacantes remotos provocar una denegación de servicio (fallo de segmentación y caída de aplicación) a través de un archivo xwd mal formado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9812)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    ImageMagick permite a atacantes remotos provocar una denegación de servicio (referencia a puntero NULL) a través de un archivo ps manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9815)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    ImageMagick permite a atacantes remotos provocar una denegación de servicio (caída de aplicación) a través de un archivo wpg manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9813)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    ImageMagick permite a atacantes remotos provocar una denegación de servicio (caída de aplicación) a través de un archivo viff manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9814)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    ImageMagick permite a atacantes remotos provocar una denegación de servicio (referencia a puntero NULL) a través de un archivo wpg manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9816)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    ImageMagick permite a atacantes remotos provocar una denegación de servicio (acceso fuera de límites) a través de un archivo viff manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9817)
    Severidad: ALTA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    Desbordamiento de búfer basado en memoria dinámica en ImageMagick permite a atacantes remotos tener un impacto no especificado a través de un archivo pdb manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9818)
    Severidad: MEDIA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    ImageMagick permite a atacantes remotos provocar una denegación de servicio (acceso fuera de límites) a través de un archivo sun mal formado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9819)
    Severidad: ALTA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    Desbordamiento de búfer basado en memoria dinámica en ImageMagick permite a atacantes remotos tener un impacto no especificado a través de un archivo palm file, una vulnerabilidad diferente a CVE-2014-9823.
  • Vulnerabilidad en ImageMagick (CVE-2014-9820)
    Severidad: ALTA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    Desbordamiento de búfer basado en memoria dinámica en ImageMagick permite a atacantes remotos tener un impacto no especificado a través de un archivo pnm manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9821)
    Severidad: ALTA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    Desbordamiento de búfer basado en memoria dinámica en ImageMagick permite a atacantes remotos tener un impacto no especificado a través de un archivo xpm manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9822)
    Severidad: ALTA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    Desbordamiento de búfer basado en memoria dinámica en ImageMagick permite a atacantes remotos tener un impacto no especificado a través de un archivo quantum manipulado.
  • Vulnerabilidad en ImageMagick (CVE-2014-9824)
    Severidad: ALTA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    Desbordamiento de búfer basado en memoria dinámica en ImageMagick permite a atacantes remotos tener un impacto no especificado a través de un archivo psd manipulado, una vulnerabilidad diferente a CVE-2014-9825
  • Vulnerabilidad en ImageMagick (CVE-2014-9823)
    Severidad: ALTA
    Fecha de publicación: 30/03/2017
    Fecha de última actualización: 31/10/2024
    Desbordamiento de búfer basado en memoria dinámica en ImageMagick permite a atacantes remotos tener un impacto no especificado a través de un archivo palm manipulado, una vulnerabilidad diferente a CVE-2014-9819.
  • Vulnerabilidad en YSoft SAFEQ 6 (CVE-2022-38176)
    Severidad: ALTA
    Fecha de publicación: 06/09/2022
    Fecha de última actualización: 30/10/2024
    Se ha detectado un problema en YSoft SAFEQ 6 versiones anteriores a 6.0.72. Fueron configurados privilegios incorrectos como parte del paquete de instalación de los servicios del Cliente V3, permitiendo una escalada de privilegios del usuario local al sobrescribir el archivo ejecutable por medio de un flujo de datos alternativo. NOTA: esto no es lo mismo que CVE-2021-31859.
  • Vulnerabilidad en Quiz And Survey Master – Best Quiz, Exam and Survey para WordPress (CVE-2024-3592)
    Severidad: MEDIA
    Fecha de publicación: 07/06/2024
    Fecha de última actualización: 31/10/2024
    El complemento Quiz And Survey Master – Best Quiz, Exam and Survey para WordPress es vulnerable a la inyección SQL a través del parámetro 'question_id' en todas las versiones hasta la 9.0.1 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y falta de preparación suficiente en la consulta SQL existente. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en zsa (CVE-2024-37162)
    Severidad: MEDIA
    Fecha de publicación: 07/06/2024
    Fecha de última actualización: 31/10/2024
    zsa es una librería para crear acciones de servidor con seguridad tipográfica en Next.js. Todos los usuarios se ven afectados. La aplicación zsa transfiere la pila de errores de análisis desde el servidor al cliente en modo de compilación de producción. Potencialmente, esto puede revelar información confidencial sobre el entorno del servidor, como el nombre de usuario de la máquina y las rutas del directorio. Un atacante podría aprovechar esta vulnerabilidad para obtener acceso no autorizado a información confidencial del servidor. Esta información podría usarse para planificar futuros ataques u obtener una comprensión más profunda de la infraestructura del servidor. Esto ha sido parcheado en `0.3.3`.
  • Vulnerabilidad en WP Reset para WordPress (CVE-2024-4661)
    Severidad: MEDIA
    Fecha de publicación: 08/06/2024
    Fecha de última actualización: 31/10/2024
    El complemento WP Reset para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función save_ajax en todas las versiones hasta la 2.02 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, modifiquen el valor del campo 'Clave de licencia' para la configuración 'Activar licencia Pro'.
  • Vulnerabilidad en Minimal Coming Soon – Coming Soon Page para WordPress (CVE-2024-5087)
    Severidad: MEDIA
    Fecha de publicación: 08/06/2024
    Fecha de última actualización: 31/10/2024
    El complemento Minimal Coming Soon – Coming Soon Page para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en las funciones validar_ajax, desactivar_ajax y guardar_ajax en todas las versiones hasta la 2.38 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, editen la clave de licencia, lo que podría deshabilitar las funciones del complemento.
  • Vulnerabilidad en Formula para WordPress (CVE-2024-5613)
    Severidad: MEDIA
    Fecha de publicación: 08/06/2024
    Fecha de última actualización: 31/10/2024
    El tema Formula para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'id' en la acción AJAX 'quality_customizer_notify_dismiss_action' en todas las versiones hasta la 0.5.1 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Formula para WordPress (CVE-2024-5638)
    Severidad: MEDIA
    Fecha de publicación: 08/06/2024
    Fecha de última actualización: 31/10/2024
    El tema Formula para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'id' en la acción AJAX 'ti_customizer_notify_dismiss_recommended_plugins' en todas las versiones hasta la 0.5.1 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Salon booking system para WordPress (CVE-2024-4468)
    Severidad: MEDIA
    Fecha de publicación: 08/06/2024
    Fecha de última actualización: 31/10/2024
    El complemento Salon booking system para WordPress es vulnerable al acceso no autorizado y a la modificación de datos debido a una falta de verificación de capacidad en varias funciones conectadas a admin_init en todas las versiones hasta la 9.9 incluida. Esto hace posible que atacantes autenticados con acceso de suscriptor o superior modifiquen la configuración del complemento y vean códigos de descuento destinados a otros usuarios.
  • Vulnerabilidad en Cisco Firepower Management Center (CVE-2024-20264)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 31/10/2024
    Una vulnerabilidad en la interfaz de administración basada en web del software Cisco Firepower Management Center (FMC) podría permitir que un atacante remoto autenticado realice un ataque de cross-site scripting (XSS) contra un usuario de la interfaz de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por parte de la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad insertando una entrada manipulada en varios campos de datos en una interfaz afectada. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz o acceder a información confidencial basada en el navegador.
  • Vulnerabilidad en Cisco Firepower Management Center (CVE-2024-20269)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 31/10/2024
    Una vulnerabilidad en la interfaz de administración basada en web del software Cisco Firepower Management Center (FMC) podría permitir que un atacante remoto autenticado realice un ataque de cross-site scripting (XSS) contra un usuario de la interfaz de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por parte de la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad insertando una entrada manipulada en varios campos de datos en una interfaz afectada. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz o acceder a información confidencial basada en el navegador.
  • Vulnerabilidad en Cisco Firepower Management Center (CVE-2024-20273)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 31/10/2024
    Una vulnerabilidad en la interfaz de administración basada en web del software Cisco Firepower Management Center (FMC) podría permitir que un atacante remoto no autenticado realice un ataque de cross-site scripting (XSS) contra un usuario de la interfaz de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por parte de la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad insertando una entrada manipulada en varios campos de datos en una interfaz afectada. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz o acceder a información confidencial basada en el navegador.
  • Vulnerabilidad en Cisco Firepower Management Center (CVE-2024-20298)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 31/10/2024
    Una vulnerabilidad en la interfaz de administración basada en web del software Cisco Firepower Management Center (FMC) podría permitir que un atacante remoto autenticado realice un ataque de cross-site scripting (XSS) contra un usuario de la interfaz de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por parte de la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad insertando una entrada manipulada en varios campos de datos en una interfaz afectada. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz o acceder a información confidencial basada en el navegador.
  • Vulnerabilidad en Cisco Firepower Management Center (CVE-2024-20364)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 31/10/2024
    Una vulnerabilidad en la interfaz de administración basada en web del software Cisco Firepower Management Center (FMC) podría permitir que un atacante remoto autenticado realice un ataque de cross-site scripting (XSS) almacenado contra un usuario de la interfaz de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por parte de la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad insertando una entrada manipulada en varios campos de datos en una interfaz afectada. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz o acceder a información confidencial basada en el navegador.
  • Vulnerabilidad en Cisco Firepower Management Center (CVE-2024-20415)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 31/10/2024
    Una vulnerabilidad en la interfaz de administración basada en web del software Cisco Firepower Management Center (FMC) podría permitir que un atacante remoto no autenticado realice un ataque de cross-site scripting (XSS) contra un usuario de la interfaz de un dispositivo afectado. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario por parte de la interfaz de administración basada en web. Un atacante podría aprovechar esta vulnerabilidad insertando una entrada diseñada en varios campos de datos en una interfaz afectada. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz o acceder a información confidencial basada en el navegador.
  • Vulnerabilidad en RockOA v2.6.5 (CVE-2024-48213)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 31/10/2024
    RockOA v2.6.5 es vulnerable a Directory Traversal en webmain/system/beifen/beifenAction.php.