Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Dell Secure Connect Gateway 5.20 (CVE-2024-22457)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 04/12/2024
    Dell Secure Connect Gateway 5.20 contiene una vulnerabilidad de autenticación incorrecta durante la ruta de actualización de SRS a SCG. Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la suplantación del servidor mediante la presentación de un certificado autofirmado falso y la comunicación con el servidor remoto.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24900)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 04/12/2024
    Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de autorización incorrecta. Un atacante con pocos privilegios en una red adyacente podría explotar esta vulnerabilidad, lo que provocaría que se agreguen dispositivos no autorizados a las políticas. La explotación puede dar lugar a la divulgación de información y al acceso no autorizado al sistema.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24906)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 04/12/2024
    Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de Cross-Site Scripting almacenado en la página de políticas. Un atacante con altos privilegios de una red adyacente podría explotar esta vulnerabilidad, lo que llevaría al almacenamiento de códigos HTML o JavaScript maliciosos en un almacén de datos de aplicaciones confiables. Cuando un usuario víctima accede al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación web vulnerable. La explotación puede dar lugar a la divulgación de información, el robo de sesiones o la falsificación de solicitudes por parte del cliente.
  • Vulnerabilidad en Codezips E-Commerce Site 1.0 (CVE-2024-11663)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en Codezips E-Commerce Site 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo search.php. La manipulación de las palabras clave del argumento conduce a una inyección SQL. El ataque se puede lanzar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en eNMS (CVE-2024-11664)
    Severidad: ALTA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad, que se ha clasificado como crítica, en eNMS hasta la versión 4.2. Este problema afecta a la función multiselect_filtering del archivo eNMS/controller.py del componente TGZ File Handler. La manipulación conduce a un path traversal. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse. El parche se identifica como 22b0b443acca740fc83b5544165c1f53eff3f529. Se recomienda aplicar un parche para solucionar este problema.
  • Vulnerabilidad en Visteon Infotainment (CVE-2024-8360)
    Severidad: MEDIA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 04/12/2024
    Vulnerabilidad de ejecución remota de código mediante inyección de comando REFLASH_DDU_ExtractFile de Visteon Infotainment. Esta vulnerabilidad permite a atacantes físicamente presentes ejecutar código arbitrario en las instalaciones afectadas de los sistemas de Visteon Infotainment. No se requiere autenticación para explotar esta vulnerabilidad. La falla específica existe dentro de la función REFLASH_DDU_ExtractFile. Un archivo de actualización de software manipulado puede desencadenar la ejecución de una llamada del sistema compuesta por una cadena proporcionada por el usuario. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del dispositivo. Era ZDI-CAN-23421.
  • Vulnerabilidad en code-projects Farmacia 1.0 (CVE-2024-11660)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad en code-projects Farmacia 1.0. Se ha clasificado como problemática. Afecta a una parte desconocida del archivo usuario.php. La manipulación del nombre del argumento provoca ataques de cross-site scripting. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. También pueden verse afectados otros parámetros.
  • Vulnerabilidad en Codezips Free Exam Hall Seating Management System 1.0 (CVE-2024-11661)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad en Codezips Free Exam Hall Seating Management System 1.0. Se ha declarado como problemática. Esta vulnerabilidad afecta al código desconocido del archivo profile.php del componente Profile Image Handler. La manipulación del argumento image conduce a una carga sin restricciones. El ataque se puede iniciar de forma remota. El investigador envía información confusa sobre la clase de vulnerabilidad de este problema.
  • Vulnerabilidad en hardy-barth cph2_echarge_firmware (CVE-2024-11665)
    Severidad: ALTA
    Fecha de publicación: 24/11/2024
    Fecha de última actualización: 04/12/2024
    La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando ('Inyección de comando') en hardy-barth cph2_echarge_firmware permite la inyección de comandos del sistema operativo. Este problema afecta a cph2_echarge_firmware: hasta 2.0.4.
  • Vulnerabilidad en 1000 Projects Bookstore Management System 1.0 (CVE-2024-11673)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en 1000 Projects Bookstore Management System 1.0. Este problema afecta a algunos procesos desconocidos. La manipulación conduce a cross-site request forgery. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en CodeAstro Hospital Management System 1.0 (CVE-2024-11674)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en CodeAstro Hospital Management System 1.0. Se trata de una función desconocida del archivo /backend/doc/his_doc_update-account.php. La manipulación del argumento doc_dpic permite la carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en CodeAstro Hospital Management System 1.0 (CVE-2024-11675)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad en CodeAstro Hospital Management System 1.0 y se ha clasificado como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /backend/admin/his_admin_register_patient.php del componente Add Patient Details Page. La manipulación del argumento pat_fname/pat_ailment/pat_lname/pat_age/pat_dob/pat_number/pat_phone/pat_type/pat_addr provoca cross-site scripting. El ataque se puede ejecutar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en CodeAstro Hospital Management System 1.0 (CVE-2024-11676)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 04/12/2024
    Se encontró una vulnerabilidad en CodeAstro Hospital Management System 1.0 y se clasificó como problemática. Este problema afecta a algunas funciones desconocidas del archivo /backend/admin/his_admin_add_lab_equipment.php del componente Add Laboratory Equipment Page. La manipulación del argumento eqp_code/eqp_name/eqp_vendor/eqp_desc/eqp_dept/eqp_status/eqp_qty genera cross-site scripting. El ataque puede ejecutarse de forma remota. El exploit se ha revelado al público y puede utilizarse.
  • Vulnerabilidad en CodeAstro Hospital Management System 1.0 (CVE-2024-11677)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad en CodeAstro Hospital Management System 1.0. Se ha clasificado como problemática. Afecta a una parte desconocida del archivo /backend/admin/his_admin_add_vendor.php del componente Add Vendor Details Page. La manipulación del argumento v_name/v_adr/v_number/v_email/v_phone/v_desc provoca cross-site scripting. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en CodeAstro Hospital Management System 1.0 (CVE-2024-11678)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad en CodeAstro Hospital Management System 1.0. Se ha declarado como problemática. Esta vulnerabilidad afecta al código desconocido del archivo /backend/doc/his_doc_register_patient.php. La manipulación del argumento pat_fname/pat_ailment/pat_lname/pat_age/pat_dob/pat_number/pat_phone/pat_type/pat_addr conduce a cross-site scripting. El ataque se puede iniciar de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en code-projects Farmacia 1.0 (CVE-2024-11995)
    Severidad: MEDIA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad en code-projects Farmacia 1.0 y se ha clasificado como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /pagamento.php. La manipulación del argumento total provoca ataques de Cross-site Scripting. El ataque puede ejecutarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en code-projects Farmacia 1.0 (CVE-2024-11996)
    Severidad: MEDIA
    Fecha de publicación: 30/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad en code-projects Farmacia 1.0 y se ha clasificado como problemática. Este problema afecta a algunas funciones desconocidas del archivo /editar-fornecedor.php. La manipulación del argumento cidade provoca Cross-site Scripting. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse. También pueden verse afectados otros parámetros.
  • Vulnerabilidad en code-projects Farmacia 1.0 (CVE-2024-11997)
    Severidad: MEDIA
    Fecha de publicación: 30/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad en code-projects Farmacia 1.0. Se ha clasificado como problemática. Afecta a una parte desconocida del archivo /vendas.php. La manipulación del argumento notaFiscal provoca ataques de Cross-site Scripting. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en code-projects Farmacia 1.0 (CVE-2024-11998)
    Severidad: MEDIA
    Fecha de publicación: 30/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad en code-projects Farmacia 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /visualizer-forneccedor.chp. La manipulación del argumento id provoca una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse.