Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en macOS Sonoma (CVE-2023-42835)
    Severidad: ALTA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 04/12/2024
    Se solucionó un problema de lógica con controles mejorados. Este problema se solucionó en macOS Sonoma 14.1. Un atacante puede acceder a los datos del usuario.
  • Vulnerabilidad en iOS y iPadOS (CVE-2023-42928)
    Severidad: ALTA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 04/12/2024
    El problema se solucionó con comprobaciones de los límites mejoradas. Este problema se solucionó en iOS 17.1 y iPadOS 17.1. Es posible que una aplicación pueda obtener privilegios elevados.
  • Vulnerabilidad en ZhongBangKeJi CRMEB 5.2.2 (CVE-2024-1703)
    Severidad: BAJA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 04/12/2024
    Se encontró una vulnerabilidad en ZhongBangKeJi CRMEB 5.2.2. Ha sido clasificada como problemática. Esto afecta a la función openfile del archivo /adminapi/system/file/openfile. La manipulación conduce a un path traversal. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-254391. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en ZhongBangKeJi CRMEB 5.2.2 (CVE-2024-1704)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 04/12/2024
    Se encontró una vulnerabilidad en ZhongBangKeJi CRMEB 5.2.2. Ha sido declarada crítica. Esta vulnerabilidad afecta a la función guardar/eliminar del archivo /adminapi/system/crud. La manipulación conduce a path traversal. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-254392. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en ColdFusion (CVE-2024-20767)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 04/12/2024
    Las versiones 2023.6, 2021.12 y anteriores de ColdFusion se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar una lectura arbitraria del sistema de archivos. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso no autorizado a archivos confidenciales y realizar escrituras arbitrarias en el sistema de archivos. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en Premiere Pro (CVE-2024-20745)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 04/12/2024
    Las versiones 24.1, 23.6.2 y anteriores de Premiere Pro se ven afectadas por una vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Premiere Pro (CVE-2024-20746)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 04/12/2024
    Las versiones 24.1, 23.6.2 y anteriores de Premiere Pro se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Bridge (CVE-2024-20752)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 04/12/2024
    Las versiones de Bridge 13.0.5, 14.0.1 y anteriores se ven afectadas por una vulnerabilidad Use After Free que podría resultar en la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Bridge (CVE-2024-20755)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 04/12/2024
    Las versiones 13.0.5, 14.0.1 y anteriores de Bridge se ven afectadas por una vulnerabilidad de desbordamiento de búfer de almacenamiento dinámico que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Bridge (CVE-2024-20756)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 04/12/2024
    Las versiones 13.0.5, 14.0.1 y anteriores de Bridge se ven afectadas por una vulnerabilidad de escritura fuera de los límites que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Bridge (CVE-2024-20757)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 04/12/2024
    Las versiones 13.0.5, 14.0.1 y anteriores de Bridge se ven afectadas por una vulnerabilidad de lectura fuera de los límites que podría provocar la divulgación de memoria confidencial. Un atacante podría aprovechar esta vulnerabilidad para evitar mitigaciones como ASLR. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Lightroom Desktop (CVE-2024-20754)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 04/12/2024
    Las versiones 7.1.2 y anteriores de Lightroom Desktop se ven afectadas por una vulnerabilidad de ruta de búsqueda no confiable que podría resultar en la ejecución de código arbitrario en el contexto del usuario actual. Si la aplicación utiliza una ruta de búsqueda para localizar recursos críticos, como programas, entonces un atacante podría modificar esa ruta de búsqueda para que apunte a un programa malicioso, que luego ejecutaría la aplicación objetivo. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Checkmk (CVE-2024-2380)
    Severidad: MEDIA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 04/12/2024
    XSS almacenado en representación gráfica en Checkmk <2.3.0b4.
  • Vulnerabilidad en Illustrator (CVE-2024-20791)
    Severidad: ALTA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 04/12/2024
    Las versiones 28.4, 27.9.3 y anteriores de Illustrator se ven afectadas por una vulnerabilidad de lectura fuera de los límites al analizar un archivo manipulado, lo que podría provocar una lectura más allá del final de una estructura de memoria asignada. Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en SourceCodester Best House Rental Management System 1.0 (CVE-2024-11742)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad, que se ha clasificado como problemática, en SourceCodester Best House Rental Management System 1.0. Este problema afecta a algunos procesos desconocidos del archivo /rental/ajax.php?action=save_tenant. La manipulación del argumento lastname/firstname/middlename conduce a cross-site scripting. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse. También pueden verse afectados otros parámetros.
  • Vulnerabilidad en SourceCodester Best House Rental Management System 1.0 (CVE-2024-11743)
    Severidad: MEDIA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en SourceCodester Best House Rental Management System 1.0. Se trata de una función desconocida del archivo /rental/ajax.php?action=delete_user del componente POST Request Handler. La manipulación conduce a cross-site request forgery. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en SourceCodester Best House Rental Management System 1.0 (CVE-2024-11860)
    Severidad: MEDIA
    Fecha de publicación: 27/11/2024
    Fecha de última actualización: 04/12/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Best House Rental Management System 1.0. Afecta a una parte desconocida del archivo /rental/ajax.php?action=delete_tenant del componente POST Request Handler. La manipulación del argumento id conduce a una autorización incorrecta. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.