Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en cbor2 (CVE-2024-26134)
    Severidad: ALTA
    Fecha de publicación: 19/02/2024
    Fecha de última actualización: 02/01/2025
    cbor2 proporciona codificación y decodificación para el formato de serialización de representación concisa de objetos binarios (CBOR) (RFC 8949). A partir de la versión 5.5.1 y antes de la versión 5.6.2, un atacante puede bloquear un servicio que utiliza cbor2 para analizar un binario CBOR enviando un objeto lo suficientemente largo. La versión 5.6.2 contiene un parche para este problema.
  • Vulnerabilidad en WS_FTP (CVE-2024-1474)
    Severidad: ALTA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 02/01/2025
    En las versiones del servidor WS_FTP anteriores a la 8.8.5, se identificaron problemas de Cross-Site Scripting Reflejado en varias entradas proporcionadas por el usuario en la interfaz administrativa del servidor WS_FTP.
  • Vulnerabilidad en Hyper CdCatalog 2.3.1 (CVE-2024-1191)
    Severidad: BAJA
    Fecha de publicación: 29/02/2024
    Fecha de última actualización: 02/01/2025
    Se encontró una vulnerabilidad en Hyper CdCatalog 2.3.1. Ha sido clasificada como problemática. Una parte desconocida del componente HCF File Handler afecta a una parte desconocida. La manipulación conduce a la denegación del servicio. Un ataque debe abordarse localmente. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-252681. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Beaver Builder para WordPress (CVE-2024-0871)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2024
    Fecha de última actualización: 02/01/2025
    El complemento Beaver Builder para WordPress es vulnerable a las Cross-Site Scripting Almacenado a través de los parámetros del widget de icono 'fl_builder_data[node_preview][link]' y 'fl_builder_data[settings][link_target]' en todas las versiones hasta la 2.7.4.2 incluida. debido a una insuficiente higienización de los insumos y al escape de los productos. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Beaver Builder – WordPress Page Builder para WordPress (CVE-2024-0896)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2024
    Fecha de última actualización: 02/01/2025
    El complemento Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro de enlace del botón en todas las versiones hasta la 2.7.4.2 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados con acceso de colaborador o superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Beaver Builder – WordPress Page Builder para WordPress (CVE-2024-0897)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2024
    Fecha de última actualización: 02/01/2025
    El complemento Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro de URL de imagen en todas las versiones hasta la 2.7.4.2 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Beaver Builder – WordPress Page Builder para WordPress (CVE-2024-1038)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2024
    Fecha de última actualización: 02/01/2025
    El complemento Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting Reflejado basadas en DOM a través de un parámetro 'playground.wordpress.net' en todas las versiones hasta la 2.7.4.2 incluida debido a una sanitización insuficiente de los insumos y al escape de los productos. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Beaver Builder – WordPress Page Builder para WordPress (CVE-2024-1074)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2024
    Fecha de última actualización: 02/01/2025
    El complemento Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'link_url' del widget de audio en todas las versiones hasta la 2.7.4.2 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Beaver Builder – WordPress Page Builder para WordPress (CVE-2024-1080)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2024
    Fecha de última actualización: 02/01/2025
    El complemento Beaver Builder – WordPress Page Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la etiqueta de encabezado en todas las versiones hasta la 2.7.4.4 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en GitHub, Inc. (CVE-2024-27930)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 02/01/2025
    GLPI es un paquete gratuito de software de gestión de TI y activos, gestión de centros de datos, ITIL Service Desk, seguimiento de licencias y auditoría de software. Un usuario autenticado puede acceder a datos de campos confidenciales de elementos sobre los que tiene acceso de lectura. Este problema se solucionó en la versión 10.0.13.
  • Vulnerabilidad en GitHub, Inc. (CVE-2024-27937)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 02/01/2025
    GLPI es un paquete gratuito de software de gestión de TI y activos, gestión de centros de datos, ITIL Service Desk, seguimiento de licencias y auditoría de software. Un usuario autenticado puede obtener la dirección de correo electrónico de todos los usuarios de GLPI. Este problema se solucionó en la versión 10.0.13.
  • Vulnerabilidad en GitHub, Inc. (CVE-2024-27096)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 02/01/2025
    GLPI es un paquete gratuito de software de gestión de TI y activos, gestión de centros de datos, ITIL Service Desk, seguimiento de licencias y auditoría de software. Un usuario autenticado puede aprovechar una vulnerabilidad de inyección SQL en el motor de búsqueda para extraer datos de la base de datos. Este problema se solucionó en la versión 10.0.13.
  • Vulnerabilidad en GitHub, Inc. (CVE-2024-27098)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 02/01/2025
    GLPI es un paquete gratuito de software de gestión de TI y activos, gestión de centros de datos, ITIL Service Desk, seguimiento de licencias y auditoría de software. Un usuario autenticado puede ejecutar un ataque basado en SSRF utilizando la creación de instancias de objetos arbitrarios. Este problema se solucionó en la versión 10.0.13.
  • Vulnerabilidad en GitHub, Inc. (CVE-2024-27104)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 02/01/2025
    GLPI es un paquete gratuito de software de gestión de TI y activos, gestión de centros de datos, ITIL Service Desk, seguimiento de licencias y auditoría de software. Un usuario con derechos para crear y compartir paneles puede crear un panel que contenga código javascript. Cualquier usuario que abra este panel estará sujeto a un ataque XSS. Este problema se solucionó en la versión 10.0.13.
  • Vulnerabilidad en GitHub, Inc. (CVE-2024-27914)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 02/01/2025
    GLPI es un paquete gratuito de software de gestión de TI y activos, gestión de centros de datos, ITIL Service Desk, seguimiento de licencias y auditoría de software. Un usuario no autenticado puede proporcionar un enlace malicioso a un administrador GLPI para explotar una vulnerabilidad XSS reflejado. El XSS solo se activará si el administrador navega por la barra de depuración. Este problema se solucionó en la versión 10.0.13.
  • Vulnerabilidad en Contao (CVE-2024-28234)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 02/01/2025
    Contao es un sistema de gestión de contenidos de código abierto. A partir de la versión 2.0.0 y anteriores a las versiones 4.13.40 y 5.3.4, es posible inyectar estilos CSS a través de BBCode en los comentarios. Las instalaciones sólo se ven afectadas si BBCode está habilitado. Las versiones 4.13.40 y 5.3.4 de Contao tienen un parche para este problema. Como workaround, desactive BBCode para comentarios.
  • Vulnerabilidad en Dawn en Google Chrome en Android (CVE-2024-7256)
    Severidad: ALTA
    Fecha de publicación: 01/08/2024
    Fecha de última actualización: 02/01/2025
    La validación de datos insuficiente en Dawn en Google Chrome en Android anterior a 127.0.6533.88 permitió a un atacante remoto ejecutar código arbitrario a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
  • Vulnerabilidad en The Beaver Builder Team Beaver Builder (CVE-2024-43926)
    Severidad: ALTA
    Fecha de publicación: 29/08/2024
    Fecha de última actualización: 02/01/2025
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en The Beaver Builder Team Beaver Builder permite XSS reflejado. Este problema afecta a Beaver Builder: desde n/a hasta 2.8.3.2.
  • Vulnerabilidad en Google Chrome (CVE-2024-7970)
    Severidad: ALTA
    Fecha de publicación: 03/09/2024
    Fecha de última actualización: 02/01/2025
    La escritura fuera de los límites en la versión 8 de Google Chrome anterior a la 128.0.6613.119 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-8362)
    Severidad: ALTA
    Fecha de publicación: 03/09/2024
    Fecha de última actualización: 02/01/2025
    Use after free en WebAudio en Google Chrome anterior a la versión 128.0.6613.119 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-8904)
    Severidad: ALTA
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 02/01/2025
    La confusión de tipos en la versión 8 de Google Chrome anterior a la 129.0.6668.58 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-8905)
    Severidad: ALTA
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en la versión 8 de Google Chrome anterior a la 129.0.6668.58 permitió que un atacante remoto pudiera explotar la corrupción de la pila a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2021-38023)
    Severidad: ALTA
    Fecha de publicación: 23/09/2024
    Fecha de última actualización: 02/01/2025
    Use after free en extensiones de Google Chrome anteriores a la versión 92.0.4515.107 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Google Chrome (CVE-2023-7281)
    Severidad: MEDIA
    Fecha de publicación: 23/09/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en la composición de Google Chrome anterior a la versión 119.0.6045.105 permitió que un atacante remoto suplantara la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2023-7282)
    Severidad: MEDIA
    Fecha de publicación: 23/09/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en la navegación en Google Chrome anterior a la versión 113.0.5672.63 permitió que un atacante remoto convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario para realizar una suplantación de dominio a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: baja)
  • Vulnerabilidad en Google Chrome (CVE-2024-7018)
    Severidad: ALTA
    Fecha de publicación: 23/09/2024
    Fecha de última actualización: 02/01/2025
    El desbordamiento del búfer de pila en PDF en Google Chrome anterior a la versión 124.0.6367.78 permitía a un atacante remoto explotar potencialmente la corrupción de pila a través de un archivo PDF manipulado por un usuario. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-7019)
    Severidad: MEDIA
    Fecha de publicación: 23/09/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en la interfaz de usuario de Google Chrome anterior a la versión 124.0.6367.60 permitió que un atacante remoto convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario para realizar una suplantación de la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-7020)
    Severidad: MEDIA
    Fecha de publicación: 23/09/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada de Autocompletar en Google Chrome anterior a la versión 124.0.6367.60 permitió que un atacante remoto suplantara la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: baja)
  • Vulnerabilidad en Google Chrome (CVE-2024-7022)
    Severidad: MEDIA
    Fecha de publicación: 23/09/2024
    Fecha de última actualización: 02/01/2025
    El uso no inicializado en V8 en Google Chrome anterior a 123.0.6312.58 permitió que un atacante remoto accediera a la memoria fuera de los límites a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-7023)
    Severidad: ALTA
    Fecha de publicación: 23/09/2024
    Fecha de última actualización: 02/01/2025
    La validación de datos insuficiente en Updater en Google Chrome anterior a la versión 128.0.6537.0 permitió que un atacante remoto realizara una escalada de privilegios a través de un archivo malicioso. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-7024)
    Severidad: CRÍTICA
    Fecha de publicación: 23/09/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en la versión 8 de Google Chrome anterior a la 126.0.6478.54 permitió que un atacante remoto pudiera realizar un escape de la zona protegida mediante una página HTML manipulada específicamente. (Gravedad de seguridad de Chromium: baja)
  • Vulnerabilidad en Google Chrome (CVE-2024-9120)
    Severidad: ALTA
    Fecha de publicación: 25/09/2024
    Fecha de última actualización: 02/01/2025
    Use after free de Dawn en Google Chrome en Windows antes de la versión 129.0.6668.70 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-9121)
    Severidad: ALTA
    Fecha de publicación: 25/09/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en la versión 8 de Google Chrome anterior a la 129.0.6668.70 permitía a un atacante remoto realizar un acceso a la memoria fuera de los límites establecidos a través de una página HTML manipulada específicamente. (Gravedad de seguridad de Chromium: alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-9122)
    Severidad: ALTA
    Fecha de publicación: 25/09/2024
    Fecha de última actualización: 02/01/2025
    La confusión de tipos en la versión 8 de Google Chrome anterior a la 129.0.6668.70 permitía a un atacante remoto realizar un acceso a la memoria fuera de los límites a través de una página HTML manipulada específicamente. (Gravedad de seguridad de Chromium: alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-9123)
    Severidad: ALTA
    Fecha de publicación: 25/09/2024
    Fecha de última actualización: 02/01/2025
    Un desbordamiento de enteros en Skia en Google Chrome anterior a la versión 129.0.6668.70 permitía a un atacante remoto realizar una escritura en la memoria fuera de los límites a través de una página HTML manipulada específicamente. (Gravedad de seguridad de Chromium: alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-9602)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 02/01/2025
    La confusión de tipos en la versión 8 de Google Chrome anterior a la 129.0.6668.100 permitía a un atacante remoto realizar una escritura en la memoria fuera de los límites a través de una página HTML manipulada específicamente. (Gravedad de seguridad de Chromium: alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-9603)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 02/01/2025
    La confusión de tipos en la versión 8 de Google Chrome anterior a la 129.0.6668.100 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-9859)
    Severidad: ALTA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 02/01/2025
    La confusión de tipos en WebAssembly en Google Chrome anterior a la versión 126.0.6478.126 permitía a un atacante remoto ejecutar código arbitrario a través de una página HTML manipulada a medida. (Gravedad de seguridad de Chromium: alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-9955)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 02/01/2025
    El use-after-free en WebAuthentication en Google Chrome anterior a la versión 130.0.6723.58 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-9956)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada de WebAuthentication en Google Chrome en Android anterior a la versión 130.0.6723.58 permitió que un atacante local realizara una escalada de privilegios a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-9957)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 02/01/2025
    El use-after-free en la interfaz de usuario de Google Chrome en iOS anterior a la versión 130.0.6723.58 permitió que un atacante remoto convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario para explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-9959)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 02/01/2025
    El use-after-free en DevTools en Google Chrome anterior a la versión 130.0.6723.58 permitió que un atacante remoto que había comprometido el proceso de renderización potencialmente explotara la corrupción del montón a través de una extensión de Chrome manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-11117)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en FileSystem en Google Chrome anterior a la versión 131.0.6778.69 permitió que un atacante remoto eludiera las restricciones del sistema de archivos a través de una página HTML manipulada específicamente. (Gravedad de seguridad de Chromium: baja)
  • Vulnerabilidad en Google Chrome (CVE-2024-9369)
    Severidad: CRÍTICA
    Fecha de publicación: 27/11/2024
    Fecha de última actualización: 02/01/2025
    La validación de datos insuficiente en Mojo en Google Chrome anterior a la versión 129.0.6668.89 permitió que un atacante remoto que había comprometido el proceso de renderización realizara una escritura en la memoria fuera de los límites a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-7025)
    Severidad: ALTA
    Fecha de publicación: 27/11/2024
    Fecha de última actualización: 02/01/2025
    El desbordamiento de enteros en el diseño de Google Chrome anterior a la versión 129.0.6668.89 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-12053)
    Severidad: ALTA
    Fecha de publicación: 03/12/2024
    Fecha de última actualización: 02/01/2025
    La confusión de tipos en la versión 8 de Google Chrome anterior a la 131.0.6778.108 permitía a un atacante remoto explotar potencialmente la corrupción de objetos a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)