Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Ubiquiti Networks (CVE-2013-3572)
    Severidad: MEDIA
    Fecha de publicación: 31/12/2013
    Fecha de última actualización: 12/12/2024
    Cross-site scripting (XSS) en la interfaz de administracion en el controlador UniFi de Ubiquiti Networks UniFi 2.3.5 y anteriores permite a atacantes remotos inyectar secuencias de comandos web o HTML a través de un nombre de host del cliente manipulado.
  • Vulnerabilidad en F5 Networks (CVE-2024-21763)
    Severidad: ALTA
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 12/12/2024
    Cuando el perfil DoS o DoS del dispositivo BIG-IP AFM se configura con el vector de ataque NXDOMAIN y la detección de malos actores, las consultas no reveladas pueden provocar la finalización del Microkernel de gestión de tráfico (TMM). NOTA: Las versiones de software que han llegado al final del soporte técnico (EoTS) no se evalúan
  • Vulnerabilidad en F5 Networks (CVE-2024-21789)
    Severidad: ALTA
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 12/12/2024
    Cuando se configura una política de seguridad BIG-IP ASM/WAF avanzada en un servidor virtual, las solicitudes no divulgadas pueden provocar un aumento en la utilización de recursos de memoria. Nota: Las versiones de software que han llegado al final del soporte técnico (EoTS) no se evalúan
  • Vulnerabilidad en F5 Networks (CVE-2024-21849)
    Severidad: ALTA
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 12/12/2024
    Cuando se configura una política de seguridad WAF/ASM avanzada y un perfil Websockets en un servidor virtual, el tráfico no divulgado puede hacer que finalice el proceso de Microkernel de gestión de tráfico (TMM). Nota: Las versiones de software que han llegado al final del soporte técnico (EoTS) no se evalúan.
  • Vulnerabilidad en F5 Networks (CVE-2024-23308)
    Severidad: ALTA
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 12/12/2024
    Cuando una política BIG-IP Advanced WAF o BIG-IP ASM con una opción de Manejo del cuerpo de la solicitud se adjunta a un servidor virtual, las solicitudes no divulgadas pueden hacer que el proceso BD finalice. La condición resulta de configurar la opción Manejo del cuerpo de la solicitud en el perfil de contenido basado en encabezado para una URL permitida con "Aplicar firmas de valor y contenido y detectar campañas de amenazas". Nota: Las versiones de software que han llegado al final del soporte técnico (EoTS) no se evalúan
  • Vulnerabilidad en F5 Networks (CVE-2024-23982)
    Severidad: ALTA
    Fecha de publicación: 14/02/2024
    Fecha de última actualización: 12/12/2024
    Cuando se configura un perfil de clasificación BIG-IP PEM en un servidor virtual UDP, las solicitudes no divulgadas pueden provocar la finalización del Microkernel de gestión de tráfico (TMM). Este problema afecta a los motores de clasificación que utilizan firmas publicadas entre el 08-09-2022 y el 16-02-2023. Consulte la tabla en el Aviso de seguridad F5 para obtener una lista completa de los archivos de firmas de clasificación afectados. NOTA: Las versiones de software que han llegado al final del soporte técnico (EoTS) no se evalúan
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-26301)
    Severidad: MEDIA
    Fecha de publicación: 27/02/2024
    Fecha de última actualización: 12/12/2024
    Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager podría permitir que un atacante remoto autenticado con privilegios bajos acceda a información confidencial. Un exploit exitoso permite a un atacante recuperar información que podría usarse para obtener acceso adicional a los servicios de red compatibles con ClearPass Policy Manager.
  • Vulnerabilidad en Gutenberg Blocks de Kadence Blocks – Page Builder Features para WordPress (CVE-2024-1541)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2024
    Fecha de última actualización: 12/12/2024
    El complemento Gutenberg Blocks de Kadence Blocks – Page Builder Features para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo htmlTag en todas las versiones hasta la 3.2.23 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Apache Fineract (CVE-2024-23537)
    Severidad: ALTA
    Fecha de publicación: 29/03/2024
    Fecha de última actualización: 12/12/2024
    Vulnerabilidad de gestión de privilegios incorrecta en Apache Fineract. Este problema afecta a Apache Fineract: <1.8.5. Se recomienda a los usuarios actualizar a la versión 1.9.0, que soluciona el problema.
  • Vulnerabilidad en Apache Fineract (CVE-2024-23538)
    Severidad: CRÍTICA
    Fecha de publicación: 29/03/2024
    Fecha de última actualización: 12/12/2024
    Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Apache Fineract. Este problema afecta a Apache Fineract: <1.8.5. Se recomienda a los usuarios actualizar a la versión 1.8.5 o 1.9.0, que soluciona el problema.
  • Vulnerabilidad en Apache Fineract (CVE-2024-23539)
    Severidad: ALTA
    Fecha de publicación: 29/03/2024
    Fecha de última actualización: 12/12/2024
    Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Apache Fineract. Este problema afecta a Apache Fineract: <1.8.5. Se recomienda a los usuarios actualizar a la versión 1.8.5 o 1.9.0, que soluciona el problema.
  • Vulnerabilidad en Fortinet FortiProxy y Fortinet FortiOS (CVE-2023-41677)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 12/12/2024
    Credenciales insuficientemente protegidas en Fortinet FortiProxy 7.4.0, 7.2.0 a 7.2.6, 7.0.0 a 7.0.12, 2.0.0 a 2.0.13, 1.2.0 a 1.2.13, 1.1.0 a 1.1.6 , 1.0.0 a 1.0.7, Fortinet FortiOS 7.4.0 a 7.4.1, 7.2.0 a 7.2.6, 7.0.0 a 7.0.12, 6.4.0 a 6.4.14, 6.2.0 a 6.2.15 , 6.0.0 a 6.0.17 permite al atacante ejecutar código o comandos no autorizados mediante un ataque de ingeniería social dirigido
  • Vulnerabilidad en GitLab (CVE-2024-2434)
    Severidad: ALTA
    Fecha de publicación: 25/04/2024
    Fecha de última actualización: 12/12/2024
    Se descubrió un problema en GitLab que afecta a todas las versiones de GitLab CE/EE 16.9 anteriores a 16.9.6, 16.10 anteriores a 16.10.4 y 16.11 anteriores a 16.11.1, donde el path traversal podría provocar DoS y lectura restringida de archivos.
  • Vulnerabilidad en F5 Networks (CVE-2024-21793)
    Severidad: ALTA
    Fecha de publicación: 08/05/2024
    Fecha de última actualización: 12/12/2024
    Existe una vulnerabilidad de inyección de OData en la API (URI) del Administrador Central de BIG-IP Next. Nota: Las versiones de software que han llegado al final del soporte técnico (EoTS) no se evalúan.
  • Vulnerabilidad en BIG-IP Next Central Manager (CVE-2024-26026)
    Severidad: ALTA
    Fecha de publicación: 08/05/2024
    Fecha de última actualización: 12/12/2024
    Existe una vulnerabilidad de inyección SQL en la API (URI) de BIG-IP Next Central Manager. Nota: Las versiones de software que han llegado al final del soporte técnico (EoTS) no se evalúan
  • Vulnerabilidad en BIG-IP Next LTM/WAF (CVE-2024-32049)
    Severidad: ALTA
    Fecha de publicación: 08/05/2024
    Fecha de última actualización: 12/12/2024
    BIG-IP Next Central Manager (CM) puede permitir que un atacante remoto no autenticado obtenga las credenciales de la instancia BIG-IP Next LTM/WAF. Nota: Las versiones de software que han llegado al final del soporte técnico (EoTS) no se evalúan.
  • Vulnerabilidad en BIG-IP Next Central Manager (CVE-2024-33612)
    Severidad: MEDIA
    Fecha de publicación: 08/05/2024
    Fecha de última actualización: 12/12/2024
    Existe una vulnerabilidad de validación de certificados incorrecta en BIG-IP Next Central Manager y puede permitir que un atacante se haga pasar por un sistema de proveedor de instancias. Una explotación exitosa de esta vulnerabilidad puede permitir al atacante cruzar un límite de seguridad. Nota: Las versiones de software que han llegado al final del soporte técnico (EoTS) no se evalúan.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-2177)
    Severidad: MEDIA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 12/12/2024
    Existe una vulnerabilidad de falsificación de ventanas cruzadas dentro de GitLab CE/EE que afecta a todas las versiones desde 16.3 anteriores a 16.11.5, 17.0 anteriores a 17.0.3 y 17.1 anteriores a 17.1.1. Esta condición permite que un atacante abuse del flujo de autenticación OAuth mediante un payload manipulado.
  • Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2021-26344)
    Severidad: ALTA
    Fecha de publicación: 13/08/2024
    Fecha de última actualización: 12/12/2024
    Una escritura de memoria fuera de los límites al procesar el bloque de configuración AMD PSP1 (APCB) podría permitir que un atacante con acceso a la capacidad de modificar la imagen del BIOS y la capacidad de firmar la imagen resultante modifique potencialmente el bloque APCB, lo que resultaría en la ejecución de código arbitrario.
  • Vulnerabilidad en x86 (CVE-2021-26367)
    Severidad: MEDIA
    Fecha de publicación: 13/08/2024
    Fecha de última actualización: 12/12/2024
    Un atacante malicioso en x86 puede configurar mal las regiones de memoria confiable (TMR), lo que puede permitirle establecer un rango de direcciones arbitrario para la TMR, lo que podría provocar una pérdida de integridad y disponibilidad.
  • Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2023-20510)
    Severidad: MEDIA
    Fecha de publicación: 13/08/2024
    Fecha de última actualización: 12/12/2024
    Una validación de dirección DRAM insuficiente en PMFW puede permitir que un atacante privilegiado lea desde una dirección DRAM no válida a SRAM, lo que podría provocar corrupción de datos o denegación de servicio.
  • Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2023-20584)
    Severidad: MEDIA
    Fecha de publicación: 13/08/2024
    Fecha de última actualización: 12/12/2024
    IOMMU maneja incorrectamente ciertos rangos de direcciones especiales con entradas de tabla de dispositivos (DTE) no válidas, lo que puede permitir que un atacante con privilegios y un hipervisor comprometido induzca fallas de DTE para eludir las comprobaciones de RMP en SEV-SNP, lo que podría provocar una pérdida de integridad del huésped.
  • Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2023-20591)
    Severidad: MEDIA
    Fecha de publicación: 13/08/2024
    Fecha de última actualización: 12/12/2024
    Una reinicialización incorrecta de IOMMU durante el evento DRTM puede permitir que persista una configuración de plataforma que no es de confianza, lo que permite a un atacante leer o modificar la memoria del hipervisor, lo que podría provocar una pérdida de confidencialidad, integridad y disponibilidad.
  • Vulnerabilidad en iOS, iPadOS y macOS Sequoia (CVE-2024-27869)
    Severidad: MEDIA
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 12/12/2024
    El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en iOS 18 y iPadOS 18, macOS Sequoia 15. Es posible que una aplicación pueda grabar la pantalla sin un indicador.
  • Vulnerabilidad en iOS y iPadOS (CVE-2024-27874)
    Severidad: ALTA
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 12/12/2024
    Este problema se solucionó mediante una mejor gestión del estado. Este problema se solucionó en iOS 18 y iPadOS 18. Un atacante remoto podría provocar una denegación de servicio.
  • Vulnerabilidad en GitLab EE/CE (CVE-2023-3441)
    Severidad: MEDIA
    Fecha de publicación: 01/10/2024
    Fecha de última actualización: 12/12/2024
    Se ha descubierto un problema en GitLab EE/CE que afecta a todas las versiones a partir de la 8.0 hasta la 16.4. El producto no advertía lo suficiente sobre las implicaciones de seguridad de otorgar derechos de fusión a ramas protegidas.
  • Vulnerabilidad en GitLab EE/CE (CVE-2024-5005)
    Severidad: MEDIA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 12/12/2024
    Se descubrió un problema en GitLab EE/CE que afectaba a todas las versiones desde la 11.4 hasta la 17.2.9, todas las versiones desde la 17.3 hasta la 17.3.5 y todas las versiones desde la 17.4 hasta la 17.4.2. Los usuarios invitados podían divulgar plantillas de proyecto mediante la API.
  • Vulnerabilidad en Apple TV (CVE-2024-44157)
    Severidad: MEDIA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 12/12/2024
    Se solucionó un desbordamiento del búfer de pila mediante una validación de entrada mejorada. Este problema se solucionó en Apple TV 1.5.0.152 para Windows y iTunes 12.13.3 para Windows. El análisis de un archivo de video manipulado con fines malintencionados puede provocar la finalización inesperada del sistema.
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2024-44301)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en macOS Ventura 13.7.1 y macOS Sonoma 14.7.1. Una aplicación malintencionada podría modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en macOS Sequoia, iOS y iPadOS (CVE-2024-44145)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    Este problema se solucionó mediante una mejor gestión del estado. Este problema se solucionó en macOS Sequoia 15, iOS 18 y iPadOS 18. Un atacante con acceso físico a un dispositivo macOS con Sidecar habilitado podría ser capaz de eludir la pantalla de bloqueo.
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2024-44216)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    Se solucionó un problema de acceso con restricciones adicionales en el entorno aislado. Este problema se solucionó en macOS Ventura 13.7.1 y macOS Sonoma 14.7.1. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en iOS y iPadOS (CVE-2024-44217)
    Severidad: CRÍTICA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    Se solucionó un problema de permisos eliminando el código vulnerable y agregando comprobaciones adicionales. Este problema se solucionó en iOS 18 y iPadOS 18. El autocompletado de contraseñas puede completar las contraseñas después de una autenticación fallida.
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2024-44237)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    Se solucionó un problema de acceso fuera de los límites con una comprobación de los límites mejorada. Este problema se solucionó en macOS Ventura 13.7.1 y macOS Sonoma 14.7.1. El procesamiento de un archivo manipulado con fines malintencionados puede provocar la finalización inesperada de la aplicación.
  • Vulnerabilidad en tvOS, iOS, iPadOS, macOS Ventura, macOS Sonoma, watchOS y visionOS (CVE-2024-44240)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en tvOS 18.1, iOS 18.1 y iPadOS 18.1, iOS 17.7.1 y iPadOS 17.7.1, macOS Ventura 13.7.1, macOS Sonoma 14.7.1, watchOS 11.1 y visionOS 2.1. El procesamiento de una fuente manipulada con fines malintencionados puede provocar la divulgación de la memoria del proceso.
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2024-44256)
    Severidad: ALTA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    El problema se solucionó con una mejora en la desinfección de entradas. Este problema se solucionó en macOS Ventura 13.7.1 y macOS Sonoma 14.7.1. Es posible que una aplicación pueda salir de su zona protegida.
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2024-44257)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    Este problema se solucionó con una redacción mejorada de información confidencial. Este problema se solucionó en macOS Ventura 13.7.1 y macOS Sonoma 14.7.1. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2024-44260)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    Este problema se solucionó eliminando el código vulnerable. Este problema se solucionó en macOS Ventura 13.7.1 y macOS Sonoma 14.7.1. Una aplicación maliciosa con privilegios de superusuario puede modificar el contenido de los archivos del sistema.
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2024-44283)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    Se solucionó un problema de lectura fuera de los límites con una comprobación de los límites mejorada. Este problema se solucionó en macOS Ventura 13.7.1 y macOS Sonoma 14.7.1. El análisis de un archivo manipulado con fines malintencionados puede provocar la finalización inesperada de la aplicación.
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2024-44295)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2024
    Fecha de última actualización: 12/12/2024
    Este problema se solucionó con comprobaciones de derechos adicionales. Este problema se solucionó en macOS Ventura 13.7.1 y macOS Sonoma 14.7.1. Es posible que una aplicación pueda modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en Fortinet FortiOS (CVE-2023-50176)
    Severidad: ALTA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 12/12/2024
    Una fijación de sesión en Fortinet FortiOS versión 7.4.0 a 7.4.3 y 7.2.0 a 7.2.7 y 7.0.0 a 7.0.13 permite a un atacante ejecutar código o comandos no autorizados a través de un enlace de autenticación SAML de phishing.
  • Vulnerabilidad en Fortinet FortiManager, FortiPAM, FortiProxy, FortiSwitchManager, FortiPortal y FortiOS (CVE-2024-26011)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 12/12/2024
    Autenticación faltante para función crítica en Fortinet FortiManager versión 7.4.0 a 7.4.2, 7.2.0 a 7.2.4, 7.0.0 a 7.0.11, 6.4.0 a 6.4.14, FortiPAM versión 1.2.0, 1.1.0 a 1.1.2, 1.0.0 a 1.0.3, FortiProxy versión 7.4.0 a 7.4.2, 7.2.0 a 7.2.9, 7.0.0 a 7.0.17, 2.0.0 a 2.0.14, 1.2.0 a 1.2.13, 1.1.0 a 1.1.6, 1.0.0 a 1.0.7, FortiSwitchManager versión 7.2.0 a 7.2.3, 7.0.0 a 7.0.3, FortiPortal versión 6.0.0 a 6.0.14, FortiOS versión 7.4.0 a 7.4.3, 7.2.0 a 7.2.7, 7.0.0 a 7.0.14, 6.4.0 a 6.4.15, 6.2.0 a 6.2.16, 6.0.0 a 6.0.18 permite a un atacante ejecutar código o comandos no autorizados a través de paquetes especialmente manipulados.
  • Vulnerabilidad en GitLab CE/EE (CVE-2024-8114)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 12/12/2024
    Se ha descubierto un problema en GitLab CE/EE que afecta a todas las versiones desde la 8.12 hasta la 17.4.5, la 17.5 hasta la 17.5.3 y la 17.6 hasta la 17.6.1. Este problema permite que un atacante con acceso al token de acceso personal (PAT) de una víctima aumente los privilegios.
  • Vulnerabilidad en HPE Insight Remote Support (CVE-2024-11622)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 12/12/2024
    Una vulnerabilidad de inyección de entidad externa XML (XXE) en HPE Insight Remote Support puede permitir que los usuarios remotos divulguen información en ciertos casos.
  • Vulnerabilidad en HPE Insight Remote Support (CVE-2024-53674)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 12/12/2024
    Una vulnerabilidad de inyección de entidad externa XML (XXE) en HPE Insight Remote Support puede permitir que los usuarios remotos divulguen información en ciertos casos.
  • Vulnerabilidad en HPE Insight Remote Support (CVE-2024-53675)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 12/12/2024
    Una vulnerabilidad de inyección de entidad externa XML (XXE) en HPE Insight Remote Support puede permitir que los usuarios remotos divulguen información en ciertos casos.
  • Vulnerabilidad en HPE Remote Insight Support (CVE-2024-53673)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 12/12/2024
    Una vulnerabilidad de deserialización de Java en HPE Remote Insight Support permite que un atacante no autenticado ejecute código.