Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en iOS, iPadOS, macOS Ventura, macOS Sonoma y macOS Monterey (CVE-2023-42952)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/12/2024
    El problema se solucionó con controles mejorados. Este problema se solucionó en iOS 17.1 y iPadOS 17.1, macOS Ventura 13.6.3, macOS Sonoma 14.1, macOS Monterey 12.7.1. Una aplicación con privilegios de root puede acceder a información privada.
  • Vulnerabilidad en tvOS, watchOS, macOS Sonoma1, iOS y iPadOS (CVE-2023-42953)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/12/2024
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en tvOS 17.1, watchOS 10.1, macOS Sonoma 14.1, iOS 17.1 y iPadOS 17.1. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma (CVE-2024-23232)
    Severidad: BAJA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    Se solucionó un problema de privacidad mejorando el manejo de archivos temporales. Este problema se solucionó en macOS Sonoma 14.4. Es posible que una aplicación pueda capturar la pantalla de un usuario.
  • Vulnerabilidad en macOS Sonoma (CVE-2024-23233)
    Severidad: ALTA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    Este problema se solucionó con controles mejorados. Este problema se solucionó en macOS Sonoma 14.4. Una aplicación maliciosa puede utilizar los derechos y permisos de privacidad otorgados a esta aplicación.
  • Vulnerabilidad en macOS Sonoma (CVE-2024-23238)
    Severidad: BAJA
    Fecha de publicación: 08/03/2024
    Fecha de última actualización: 05/12/2024
    Se solucionó un problema de acceso mejorando las restricciones de acceso. Este problema se solucionó en macOS Sonoma 14.4. Es posible que una aplicación pueda editar variables NVRAM.
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-26162)
    Severidad: ALTA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de ejecución remota de código del controlador ODBC de Microsoft
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21322)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de ejecución remota de código de Microsoft Defender para IoT
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21323)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de ejecución remota de código de Microsoft Defender para IoT
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21324)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de elevación de privilegios de Microsoft Defender para IoT
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-26251)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de suplantación de identidad de Microsoft SharePoint Server
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-26254)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de denegación de servicio del bus de máquina virtual de Microsoft (VMBus)
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-26257)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de ejecución remota de código de Microsoft Excel
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-28904)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de elevación de privilegios del sistema de archivos de intermediación de Microsoft
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-28905)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de elevación de privilegios del sistema de archivos de intermediación de Microsoft
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-28907)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad de elevación de privilegios del sistema de archivos de intermediación de Microsoft
  • Vulnerabilidad en Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-21005)
    Severidad: BAJA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: JavaFX). Las versiones compatibles que se ven afectadas son Oracle Java SE: 8u401; Oracle GraalVM Enterprise Edition: 20.3.13 y 21.3.9. Una vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM Enterprise Edition. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar como resultado una actualización, inserción o eliminación no autorizada del acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, generalmente en clientes que ejecutan aplicaciones Java Web Start en espacio aislado o subprogramas de Java en espacio aislado, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, normalmente en servidores, que cargan y ejecutan sólo código confiable (por ejemplo, código instalado por un administrador). CVSS 3.1 Puntaje base 3.1 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N).
  • Vulnerabilidad en Illustrator (CVE-2024-20792)
    Severidad: ALTA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 05/12/2024
    Las versiones 28.4, 27.9.3 y anteriores de Illustrator se ven afectadas por una vulnerabilidad de tipo Use After Free que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-21131)
    Severidad: BAJA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles que se ven afectadas son Oracle Java SE: 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3, 22.0.1; Oracle GraalVM para JDK: 17.0.11, 21.0.3, 22.0.1; Oracle GraalVM Enterprise Edition: 20.3.14 y 21.3.10. Una vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Los ataques exitosos a esta vulnerabilidad pueden dar como resultado una actualización, inserción o eliminación no autorizada del acceso a algunos de los datos accesibles de Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se puede aprovechar utilizando API en el componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API. Esta vulnerabilidad también se aplica a las implementaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en un espacio aislado o subprogramas de Java en un espacio aislado, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. CVSS 3.1 Puntaje base 3.7 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N).
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-21138)
    Severidad: BAJA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles que se ven afectadas son Oracle Java SE: 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3, 22.0.1; Oracle GraalVM para JDK: 17.0.11, 21.0.3, 22.0.1; Oracle GraalVM Enterprise Edition: 20.3.14 y 21.3.10. Una vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se puede aprovechar utilizando API en el componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API. Esta vulnerabilidad también se aplica a las implementaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en un espacio aislado o subprogramas de Java en un espacio aislado, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. CVSS 3.1 Puntuación base 3.7 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
  • Vulnerabilidad en Oracle Business Intelligence Enterprise Edition de Oracle Analytics (CVE-2024-21139)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Analytics (componente: Analytics Web Answers). Las versiones compatibles que se ven afectadas son 7.0.0.0.0, 7.6.0.0.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer Oracle Business Intelligence Enterprise Edition. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad está en Oracle Business Intelligence Enterprise Edition, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserción o eliminación de algunos de los datos accesibles de Oracle Business Intelligence Enterprise Edition, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.1 Puntaje base 5.4 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
  • Vulnerabilidad en Oracle iStore de Oracle E-Business Suite (CVE-2024-21143)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle iStore de Oracle E-Business Suite (componente: Gestión de usuarios). Las versiones compatibles que se ven afectadas son 12.2.3-12.2.13. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle iStore. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle iStore. CVSS 3.1 Puntaje base 5.3 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
  • Vulnerabilidad en Oracle Enterprise Asset Management de Oracle E-Business Suite (CVE-2024-21149)
    Severidad: ALTA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle Enterprise Asset Management de Oracle E-Business Suite (componente: Problemas de definición de trabajo). Las versiones compatibles que se ven afectadas son 12.2.11-12.2.13. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer Oracle Enterprise Asset Management. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a la creación, eliminación o modificación de datos críticos o a todos los datos accesibles de Oracle Enterprise Asset Management, así como acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Enterprise Asset Management. CVSS 3.1 Puntaje base 8.1 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
  • Vulnerabilidad en JD Edwards EnterpriseOne Tools de Oracle JD Edwards (CVE-2024-21150)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto JD Edwards EnterpriseOne Tools de Oracle JD Edwards (componente: Web Runtime SEC). Las versiones compatibles que se ven afectadas son anteriores a la 9.2.8.2. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa JD Edwards EnterpriseOne Tools. Los ataques exitosos requieren la interacción humana de una persona distinta del atacante y, si bien la vulnerabilidad está en JD Edwards EnterpriseOne Tools, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden dar como resultado una actualización, inserción o eliminación no autorizada del acceso a algunos de los datos accesibles de JD Edwards EnterpriseOne Tools, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de JD Edwards EnterpriseOne Tools. CVSS 3.1 Puntaje base 6.1 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
  • Vulnerabilidad en Oracle Solaris de Oracle Systems (CVE-2024-21151)
    Severidad: BAJA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Filesystem). La versión compatible que se ve afectada es la 11. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios iniciar sesión en la infraestructura donde se ejecuta Oracle Solaris para comprometer Oracle Solaris. Los ataques exitosos de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de Oracle Solaris. CVSS 3.1 Puntuación base 3.3 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L).
  • Vulnerabilidad en Oracle ZFS Storage Appliance Kit de Oracle Systems (CVE-2024-21155)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle ZFS Storage Appliance Kit de Oracle Systems (componente: Interfaz de usuario). La versión compatible que se ve afectada es la 8.8. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa el kit de dispositivo de almacenamiento Oracle ZFS. Los ataques exitosos requieren la interacción humana de una persona que no sea el atacante y, si bien la vulnerabilidad está en Oracle ZFS Storage Appliance Kit, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles del Oracle ZFS Storage Appliance Kit. CVSS 3.1 Puntaje base 4.7 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N).
  • Vulnerabilidad en PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2024-21158)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Portal). Las versiones compatibles que se ven afectadas son 8.59, 8.60 y 8.61. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer PeopleSoft Enterprise PeopleTools. Si bien la vulnerabilidad está en PeopleSoft Enterprise PeopleTools, los ataques pueden afectar significativamente a productos adicionales (cambio de alcance). Los ataques exitosos a esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserción o eliminación de algunos de los datos accesibles de PeopleSoft Enterprise PeopleTools, así como acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.1 Puntaje base 6.4 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N).
  • Vulnerabilidad en Oracle Trading Community de Oracle E-Business Suite (CVE-2024-21167)
    Severidad: ALTA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto Oracle Trading Community de Oracle E-Business Suite (componente: IU de Party Search). Las versiones compatibles que se ven afectadas son 12.2.3-12.2.13. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y acceso a la red a través de HTTP comprometa a Oracle Trading Community. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a la creación, eliminación o modificación de datos críticos o a todos los datos accesibles de Oracle Trading Community, así como acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Trading Community. CVSS 3.1 Puntaje base 8.1 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
  • Vulnerabilidad en JD Edwards EnterpriseOne Orchestrator de Oracle JD Edwards (CVE-2024-21168)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 05/12/2024
    Vulnerabilidad en el producto JD Edwards EnterpriseOne Orchestrator de Oracle JD Edwards (componente: E1 IOT Orchestrator Security). Las versiones compatibles que se ven afectadas son anteriores a la 9.2.8.3. Una vulnerabilidad fácilmente explotable permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer JD Edwards EnterpriseOne Orchestrator. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de JD Edwards EnterpriseOne Orchestrator. CVSS 3.1 Puntaje base 6.5 (Impactos en la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).
  • Vulnerabilidad en uOS V1.21 (CVE-2024-9677)
    Severidad: MEDIA
    Fecha de publicación: 22/10/2024
    Fecha de última actualización: 05/12/2024
    La vulnerabilidad de credenciales insuficientemente protegidas en el comando CLI de la versión de firmware uOS V1.21 y versiones anteriores de la serie USG FLEX H podría permitir que un atacante local autenticado obtenga una escalada de privilegios al robar el token de autenticación de un administrador que inició sesión. Tenga en cuenta que este ataque podría tener éxito solo si el administrador no ha cerrado sesión.
  • Vulnerabilidad en Zyxel Corporation (CVE-2024-11667)
    Severidad: ALTA
    Fecha de publicación: 27/11/2024
    Fecha de última actualización: 05/12/2024
    Una vulnerabilidad de directory traversal en la interfaz de administración web de las versiones de firmware de la serie Zyxel ATP V5.00 a V5.38, las versiones de firmware de la serie USG FLEX V5.00 a V5.38, las versiones de firmware de la serie USG FLEX 50(W) V5.10 a V5.38 y las versiones de firmware de la serie USG20(W)-VPN V5.10 a V5.38 podría permitir que un atacante descargue o cargue archivos a través de una URL manipulada específicamente.