Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en .NET y Visual Studio de Microsoft (CVE-2022-30184)
    Severidad: MEDIA
    Fecha de publicación: 15/06/2022
    Fecha de última actualización: 02/01/2025
    Una Vulnerabilidad de Divulgación de Información en .NET y Visual Studio
  • Vulnerabilidad en SourceCodester Petrol Pump Management Software 1.0 (CVE-2024-2072)
    Severidad: BAJA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 02/01/2025
    Una vulnerabilidad fue encontrada en SourceCodester Flashcard Quiz App 1.0 y clasificada como problemática. Esto afecta a una parte desconocida del archivo /endpoint/update-flashcard.php. La manipulación del argumento pregunta/respuesta conduce a un ataque de Cross-Site Scripting. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-255387.
  • Vulnerabilidad en SourceCodester Block Inserter for Dynamic Content 1.0 (CVE-2024-2073)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 02/01/2025
    Una vulnerabilidad fue encontrada en SourceCodester Block Inserter for Dynamic Content 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo view_post.php. La manipulación del argumento id conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-255388.
  • Vulnerabilidad en SourceCodester Online Mobile Management Store 1.0 (CVE-2024-2147)
    Severidad: ALTA
    Fecha de publicación: 03/03/2024
    Fecha de última actualización: 02/01/2025
    Se encontró una vulnerabilidad en SourceCodester Online Mobile Management Store 1.0. Ha sido calificada como crítica. Una función desconocida del archivo /admin/login.php es afectada por esta vulnerabilidad. La manipulación del argumento nombre de usuario conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-255500.
  • Vulnerabilidad en SourceCodester Online Mobile Management Store 1.0 (CVE-2024-2148)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2024
    Fecha de última actualización: 02/01/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Online Mobile Management Store 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /classes/Users.php. La manipulación del argumento img conduce a una carga sin restricciones. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-255501.
  • Vulnerabilidad en SourceCodester Insurance Management System 1.0 (CVE-2024-2150)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2024
    Fecha de última actualización: 02/01/2025
    Una vulnerabilidad fue encontrada en SourceCodester Insurance Management System 1.0 y clasificada como crítica. Este problema afecta algún procesamiento desconocido. La manipulación de la página de argumentos conduce a la inclusión del archivo. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-255503.
  • Vulnerabilidad en OpenHarmony v4.0.0 (CVE-2024-21834)
    Severidad: BAJA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 02/01/2025
    OpenHarmony v3.2.4 y versiones anteriores permiten que un atacante local provoque que las aplicaciones fallen debido a confusión de tipos.
  • Vulnerabilidad en OpenHarmony v4.0.0 (CVE-2024-22098)
    Severidad: MEDIA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 02/01/2025
    OpenHarmony v3.2.4 y versiones anteriores permiten que un atacante local ejecute código arbitrario en cualquier aplicación mediante el use after free.
  • Vulnerabilidad en OpenHarmony v4.0.0 (CVE-2024-22177)
    Severidad: BAJA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 02/01/2025
    OpenHarmony v3.2.4 y versiones anteriores permiten que un atacante local provoque que las aplicaciones fallen al obtener permiso.
  • Vulnerabilidad en OpenHarmony v3.2.4 (CVE-2024-29074)
    Severidad: MEDIA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 02/01/2025
    En OpenHarmony v3.2.4 y versiones anteriores permiten que un atacante local ejecute código arbitrario en cualquier aplicación mediante una entrada incorrecta.
  • Vulnerabilidad en OpenHarmony v3.2.4 (CVE-2024-29086)
    Severidad: BAJA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 02/01/2025
    En OpenHarmony v3.2.4 y versiones anteriores permiten que un atacante local provoque DOS a través de un desbordamiento de pila.
  • Vulnerabilidad en Memos (CVE-2024-29029)
    Severidad: MEDIA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 02/01/2025
    Memos es un servicio de toma de notas liviano y que prioriza la privacidad. En memos 0.13.2, existe una vulnerabilidad SSRF en /o/get/image que permite a usuarios no autenticados enumerar la red interna y recuperar imágenes. Luego, la respuesta de la solicitud de imagen se copia en la respuesta de la solicitud del servidor actual, lo que provoca una vulnerabilidad XSS reflejada.
  • Vulnerabilidad en OpenHarmony (CVE-2024-23808)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 02/01/2025
    En OpenHarmony v4.0.0 y versiones anteriores permiten a un atacante local la ejecución de código arbitrario en aplicaciones preinstaladas mediante use after free o provocan DOS mediante la desreferencia del puntero NULL.
  • Vulnerabilidad en OpenHarmony (CVE-2024-27217)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 02/01/2025
    En OpenHarmony v4.0.0 y versiones anteriores permiten que un atacante local ejecute código arbitrario en aplicaciones preinstaladas mediante use after free.
  • Vulnerabilidad en OpenHarmony (CVE-2024-31078)
    Severidad: BAJA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 02/01/2025
    En OpenHarmony v4.0.0 y versiones anteriores permiten que un atacante local provoque una falla del servicio mediante la desreferencia del puntero NULL.
  • Vulnerabilidad en OpenHarmony (CVE-2024-3757)
    Severidad: BAJA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 02/01/2025
    En OpenHarmony v4.0.0 y versiones anteriores permiten que un atacante local provoque una falla del servicio a través de un desbordamiento de enteros.
  • Vulnerabilidad en OpenHarmony (CVE-2024-3758)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 02/01/2025
    En OpenHarmony v4.0.0 y versiones anteriores permiten que un atacante local ejecute código arbitrario en TCB a través de un desbordamiento de búfer de almacenamiento dinámico.
  • Vulnerabilidad en OpenHarmony (CVE-2024-3759)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 02/01/2025
    En OpenHarmony v4.0.0 y versiones anteriores permiten a un atacante local la ejecución de código arbitrario en TCB mediante use after free.
  • Vulnerabilidad en Fortinet FortiSandbox (CVE-2024-31491)
    Severidad: ALTA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 02/01/2025
    Una aplicación del lado del cliente de la seguridad del lado del servidor en Fortinet FortiSandbox versión 4.4.0 a 4.4.4 y 4.2.0 a 4.2.6 permite al atacante ejecutar código o comandos no autorizados a través de solicitudes HTTP.
  • Vulnerabilidad en Fortinet FortiPortal (CVE-2023-48789)
    Severidad: MEDIA
    Fecha de publicación: 03/06/2024
    Fecha de última actualización: 02/01/2025
    Una aplicación de la seguridad del lado del servidor en Fortinet FortiPortal versión 6.0.0 a 6.0.14 permite al atacante realizar un control de acceso inadecuado a través de solicitudes HTTP manipuladas.
  • Vulnerabilidad en Fortinet FortiPortal (CVE-2024-31495)
    Severidad: MEDIA
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 02/01/2025
    Una neutralización inadecuada de elementos especiales utilizados en un comando sql ("inyección sql") en las versiones 7.0.0 a 7.0.6 y 7.2.0 de Fortinet FortiPortal permite a un usuario privilegiado obtener información no autorizada a través de la funcionalidad de descarga de informes.
  • Vulnerabilidad en stripe-cli (CVE-2024-45401)
    Severidad: ALTA
    Fecha de publicación: 05/09/2024
    Fecha de última actualización: 02/01/2025
    stripe-cli es una herramienta de línea de comandos para el procesador de pagos Stripe. Existe una vulnerabilidad en stripe-cli a partir de la versión 1.11.1 y anteriores a la versión 1.21.3, donde un paquete de complemento que contiene un manifiesto con un nombre corto de complemento mal formado instalado usando los indicadores --archive-url o --archive-path puede sobrescribir archivos arbitrarios. La actualización en la versión 1.21.3 soluciona la vulnerabilidad de path traversal al eliminar la capacidad de instalar complementos desde una URL o ruta de archivo. No ha habido evidencia de explotación de esta vulnerabilidad.
  • Vulnerabilidad en Google Chrome (CVE-2024-9960)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 02/01/2025
    El use-after-free en Dawn en Google Chrome anterior a la versión 130.0.6723.58 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-9961)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 02/01/2025
    El use-after-free en ParcelTracking en Google Chrome en iOS anterior a la versión 130.0.6723.58 permitió que un atacante remoto convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario para explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-10487)
    Severidad: ALTA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 02/01/2025
    La escritura fuera de los límites en Dawn en Google Chrome anterior a la versión 130.0.6723.92 permitía a un atacante remoto realizar un acceso a la memoria fuera de los límites a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: crítica)
  • Vulnerabilidad en Google Chrome (CVE-2024-10488)
    Severidad: ALTA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 02/01/2025
    El use-after-free en WebRTC en Google Chrome anterior a la versión 130.0.6723.92 permitía a un atacante remoto explotar potencialmente la corrupción del almacenamiento dinámico a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-10826)
    Severidad: ALTA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 02/01/2025
    Use after free en Experiencias familiares en Google Chrome en Android antes de la versión 130.0.6723.116 permitió que un atacante remoto potencialmente explotara la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-10827)
    Severidad: ALTA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 02/01/2025
    Use after free en Serial en Google Chrome anterior a la versión 130.0.6723.116 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Fortinet FortiPortal (CVE-2023-47543)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 02/01/2025
    Una vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario [CWE-639] en Fortinet FortiPortal versión 7.0.0 a 7.0.3 permite que un atacante autenticado interactúe con recursos de otras organizaciones a través de solicitudes HTTP o HTTPS.
  • Vulnerabilidad en Google Chrome (CVE-2024-11110)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en las extensiones de Google Chrome anteriores a la versión 131.0.6778.69 permitió que un atacante remoto evitara el aislamiento del sitio mediante una extensión de Chrome manipulada. (Gravedad de seguridad de Chromium: alta)
  • Vulnerabilidad en Google Chrome (CVE-2024-11111)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en Autocompletar en Google Chrome anterior a la versión 131.0.6778.69 permitió que un atacante remoto convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario para realizar una suplantación de la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-11115)
    Severidad: ALTA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 02/01/2025
    La aplicación insuficiente de políticas en la navegación en Google Chrome en iOS anterior a la versión 131.0.6778.69 permitió que un atacante remoto realizara una escalada de privilegios a través de una serie de gestos de la interfaz de usuario. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-11116)
    Severidad: MEDIA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en Blink en Google Chrome anterior a la versión 131.0.6778.69 permitió que un atacante remoto que convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario realizara una suplantación de la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-11112)
    Severidad: ALTA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 02/01/2025
    El use after free en Media en Google Chrome en Windows antes de la versión 131.0.6778.69 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en Google Chrome (CVE-2024-11113)
    Severidad: ALTA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 02/01/2025
    El use after free en Accesibilidad en Google Chrome anterior a la versión 131.0.6778.69 permitió que un atacante remoto que había comprometido el proceso de renderización potencialmente explotara la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
  • Vulnerabilidad en Google Chrome (CVE-2024-11114)
    Severidad: ALTA
    Fecha de publicación: 12/11/2024
    Fecha de última actualización: 02/01/2025
    Una implementación inadecuada en Vistas en Google Chrome en Windows anterior a la versión 131.0.6778.69 permitió que un atacante remoto que había comprometido el proceso de renderización pudiera realizar un escape de la zona protegida a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-56348)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 02/01/2025
    En JetBrains TeamCity antes del 2024.12, un control de acceso inadecuado permitía ver detalles de agentes no autorizados
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-56349)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 02/01/2025
    En JetBrains TeamCity antes de 2024.12, un control de acceso inadecuado permitía a usuarios no autorizados modificar los registros de compilación.
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-56350)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 02/01/2025
    En JetBrains TeamCity antes de la compilación 2024.12, las credenciales permitían la visualización no autorizada de proyectos
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-56351)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 02/01/2025
    En JetBrains TeamCity antes de 2024.12, los tokens de acceso no se revocaban después de eliminar los roles de usuario
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-56352)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 02/01/2025
    En JetBrains TeamCity antes de 2024.12, era posible XSS Almacenado a través del nombre de la imagen en la página de detalles del agente
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-56353)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 02/01/2025
    En JetBrains TeamCity antes de 2024.12, el archivo de respaldo exponía las credenciales de usuario y las cookies de sesión
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-56354)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 02/01/2025
    En JetBrains TeamCity antes de 2024.12, el valor del campo de contraseña era accesible para los usuarios con permiso de visualización de configuraciones
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-56355)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 02/01/2025
    En JetBrains TeamCity antes de 2024.12, la falta del encabezado Content-Type en la respuesta de RemoteBuildLogController podría generar XSS
  • Vulnerabilidad en JetBrains TeamCity (CVE-2024-56356)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 02/01/2025
    En JetBrains TeamCity antes de 2024.12, una configuración insegura de XMLParser podría provocar un posible ataque XXE