Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en IBM QRadar Suite e IBM Cloud Pak for Security (CVE-2024-22337)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2024
    Fecha de última actualización: 03/12/2024
    IBM QRadar Suite 1.10.12.0 a 1.10.17.0 e IBM Cloud Pak for Security 1.10.0.0 a 1.10.11.0 almacenan información potencialmente confidencial en archivos de registro que un usuario local podría leer. ID de IBM X-Force: 279977.
  • Vulnerabilidad en iOS y iPadOS (CVE-2023-42939)
    Severidad: BAJA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 03/12/2024
    Se solucionó un problema de lógica con controles mejorados. Este problema se solucionó en iOS 17.1 y iPadOS 17.1. La actividad de navegación privada de un usuario puede guardarse inesperadamente en el Informe de privacidad de la aplicación.
  • Vulnerabilidad en watchOS, macOS Sonoma, tvOS1, iOS, iPadOS y macOS Ventura (CVE-2023-42942)
    Severidad: ALTA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 03/12/2024
    Este problema se solucionó mejorando el manejo de los enlaces simbólicos. Este problema se solucionó en watchOS 10.1, macOS Sonoma 14.1, tvOS 17.1, iOS 16.7.2 y iPadOS 16.7.2, iOS 17.1 y iPadOS 17.1, macOS Ventura 13.6.1. Es posible que una aplicación maliciosa pueda obtener privilegios de root.
  • Vulnerabilidad en macOS Sonoma (CVE-2023-42945)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 03/12/2024
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sonoma 14.1. Una aplicación puede obtener acceso no autorizado a Bluetooth.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26119)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar una omisión de la función de seguridad. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26120)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) Almacenado que un atacante podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26124)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) Almacenado que un atacante podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26125)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) Almacenado que un atacante podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en PDF-XChange Editor (CVE-2024-27323)
    Severidad: ALTA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 03/12/2024
    Vulnerabilidad de ejecución remota de código de validación de certificado incorrecta de PDF-XChange Editor Updater. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en instalaciones afectadas de PDF-XChange Editor. No se requiere la interacción del usuario para aprovechar esta vulnerabilidad. La falla específica existe dentro de la funcionalidad de actualización. El problema se debe a la falta de validación adecuada del certificado presentado por el servidor. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Era ZDI-CAN-22224.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-20778)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-20779)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-20780)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26046)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26047)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26076)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26079)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26084)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26087)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26097)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosos en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-26098)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 03/12/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenada que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en kernel de Linux (CVE-2024-53059)
    Severidad: ALTA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 03/12/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: wifi: iwlwifi: mvm: Se ha corregido el manejo de respuestas en iwl_mvm_send_recovery_cmd() 1. No se valida el tamaño del paquete de respuesta. 2. No se libera el búfer de respuesta. Resuelva estos problemas cambiando a iwl_mvm_send_cmd_status(), que maneja tanto la validación del tamaño como la liberación del búfer.
  • Vulnerabilidad en kernel de Linux (CVE-2024-53060)
    Severidad: MEDIA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 03/12/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amdgpu: evitar la desreferenciación de punteros NULL si no se admite ATIF acpi_evaluate_object() puede devolver AE_NOT_FOUND (error), lo que provocaría la desreferenciación de buffer.pointer (obj) mientras sea NULL. Aunque este caso puede ser poco realista para el código actual, sigue siendo mejor protegerse contra posibles errores. También se debe abandonar cuando el estado sea AE_NOT_FOUND. Esto soluciona 1 problema de FORWARD_NULL informado por Coverity Report: CID 1600951: Desreferencias de punteros nulos (FORWARD_NULL) (seleccionado de el commit 91c9e221fe2553edf2db71627d8453f083de87a1)
  • Vulnerabilidad en ChargePoint Home Flex (CVE-2024-7391)
    Severidad: MEDIA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 03/12/2024
    Vulnerabilidad de divulgación de información de Bluetooth Low Energy en ChargePoint Home Flex. Esta vulnerabilidad permite a los atacantes adyacentes a la red divulgar información confidencial sobre las instalaciones afectadas de los dispositivos de carga ChargePoint Home Flex. Se requiere la interacción del usuario para explotar esta vulnerabilidad. La falla específica existe dentro de la lógica de configuración de Wi-Fi. Al conectarse al dispositivo a través de Bluetooth Low Energy durante el proceso de configuración, un atacante puede obtener credenciales de Wi-Fi. Un atacante puede aprovechar esta vulnerabilidad para divulgar credenciales y obtener acceso a la red Wi-Fi del propietario del dispositivo. Era ZDI-CAN-21454.
  • Vulnerabilidad en ChargePoint Home Flex (CVE-2024-7392)
    Severidad: MEDIA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 03/12/2024
    Vulnerabilidad de denegación de servicio de Bluetooth Low Energy en ChargePoint Home Flex. Esta vulnerabilidad permite a los atacantes adyacentes a la red crear una condición de denegación de servicio en las instalaciones afectadas de los dispositivos de carga ChargePoint Home Flex. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe en el manejo de la conexión de la interfaz Bluetooth Low Energy. El problema es el resultado de limitar la cantidad de conexiones activas al producto. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio en el sistema. Era ZDI-CAN-21455.
  • Vulnerabilidad en Trimble SketchUp (CVE-2024-7509)
    Severidad: ALTA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 03/12/2024
    Vulnerabilidad de ejecución remota de código por desbordamiento del búfer basado en pila en el análisis de archivos SKP de Trimble SketchUp. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Trimble SketchUp. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos SKP. El problema es el resultado de la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer basado en pila. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-19576.
  • Vulnerabilidad en Trimble SketchUp (CVE-2024-7510)
    Severidad: ALTA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 03/12/2024
    Vulnerabilidad de ejecución remota de código en el análisis de archivos SKP de Trimble SketchUp. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Trimble SketchUp. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos SKP. El problema es el resultado de la falta de validación de la existencia de un objeto antes de realizar operaciones en el objeto. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-19631.
  • Vulnerabilidad en Trimble SketchUp Pro (CVE-2024-7511)
    Severidad: MEDIA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 03/12/2024
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el análisis de archivos SKP de Trimble SketchUp Pro. Esta vulnerabilidad permite a atacantes remotos divulgar información confidencial sobre las instalaciones afectadas de Trimble SketchUp Pro. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos PSD incrustados en archivos SKP. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede dar como resultado una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-23000.
  • Vulnerabilidad en PDF-XChange Editor (CVE-2024-8838)
    Severidad: ALTA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 03/12/2024
    Vulnerabilidad de ejecución de código remoto en el análisis de archivos XPS fuera de los límites en PDF-XChange Editor. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de PDF-XChange Editor. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos XPS. El problema es el resultado de la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-24409.