Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Metagauss RegistrationMagic (CVE-2024-25935)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 03/02/2025
    Vulnerabilidad de autorización faltante en Metagauss RegistrationMagic. Este problema afecta a RegistrationMagic: desde n/a hasta 5.2.5.9.
  • Vulnerabilidad en Eclipse Target Management: Terminal and Remote System Explorer (CVE-2024-0740)
    Severidad: CRÍTICA
    Fecha de publicación: 26/04/2024
    Fecha de última actualización: 03/02/2025
    Eclipse Target Management: Terminal and Remote System Explorer (RSE) versión <= 4.5.400 tiene una vulnerabilidad de ejecución remota de código que no requiere autenticación. La versión fija está incluida en Eclipse IDE 2024-03
  • Vulnerabilidad en WPZOOM WPZOOM Addons for Elementor (CVE-2024-33539)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2024
    Fecha de última actualización: 03/02/2025
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en WPZOOM WPZOOM Addons for Elementor (Templates, Widgets) permiten almacenar XSS. Este problema afecta a los complementos de WPZOOM para Elementor (plantillas, widgets): desde n/a hasta 1.1.35.
  • Vulnerabilidad en Dell OpenManage Enterprise (CVE-2024-28961)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2024
    Fecha de última actualización: 03/02/2025
    Dell OpenManage Enterprise, versiones 4.0.0 y 4.0.1, contiene una vulnerabilidad de divulgación de información confidencial. Un usuario malicioso local con pocos privilegios podría explotar esta vulnerabilidad para obtener credenciales que conduzcan a un acceso no autorizado con privilegios elevados. Esto podría provocar más ataques, por lo que Dell recomienda a los clientes actualizar lo antes posible.
  • Vulnerabilidad en Progress Software Corporation (CVE-2024-3544)
    Severidad: ALTA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 03/02/2025
    Los atacantes no autenticados pueden realizar acciones utilizando claves privadas SSH conociendo la dirección IP y teniendo acceso a la misma red de una de las máquinas del grupo HA o Cluster. Esta vulnerabilidad se ha solucionado mejorando las comunicaciones con los socios de LoadMaster para requerir un secreto compartido que debe intercambiarse entre los socios antes de que pueda continuar la comunicación.
  • Vulnerabilidad en Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress para WordPress (CVE-2024-2867)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 03/02/2025
    El complemento Paid Membership Plugin, Ecommerce, User Registration Form, Login Form, User Profile & Restrict Content – ProfilePress para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'título' en todas las versiones hasta la 4.15.4 incluida. debido a una insuficiente sanitización de los insumos y al escape de los productos. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Fortinet (CVE-2024-48884)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una limitación incorrecta de una ruta de acceso a un directorio restringido ('Path Traversal') en Fortinet FortiManager versiones 7.6.0 a 7.6.1, 7.4.1 a 7.4.3, FortiOS versiones 7.6.0, 7.4.0 a 7.4.4, 7.2.5 a 7.2.9, 7.0.0 a 7.0.15, 6.4.0 a 6.4.15, FortiProxy 7.4.0 a 7.4.5, 7.2.0 a 7.2.11, 7.0.0 a 7.0.18, 2.0.0 a 2.0.14, 1.2.0 a 1.2.13, 1.1.0 a 1.1.6, 1.0.0 a 1.0.7, FortiManager Cloud versiones 7.4.1 hasta 7.4.3, FortiRecorder versiones 7.2.0 hasta 7.2.1, 7.0.0 hasta 7.0.4, FortiVoice versiones 7.0.0 hasta 7.0.4, 6.4.0 hasta 6.4.9, 6.0.0 hasta 6.0.12, FortiWeb 7.6.0, 7.4.0 hasta 7.4.4, 7.2.0 hasta 7.2.10, 7.0.0 hasta 7.0.10, 6.4.0 hasta 6.4.3 permite al atacante activar una escalada de privilegios a través de paquetes especialmente manipulados.
  • Vulnerabilidad en Fortinet (CVE-2024-48886)
    Severidad: CRÍTICA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una autenticación débil en Fortinet FortiOS versiones 7.4.0 a 7.4.4, 7.2.0 a 7.2.8, 7.0.0 a 7.0.15, 6.4.0 a 6.4.15, FortiProxy versiones 7.4.0 a 7.4.4, 7.2.0 a 7.2.10, 7.0.0 a 7.0.17, 2.0.0 a 2.0.14, FortiManager versiones 7.6.0 a 7.6.1, 7.4.1 a 7.4.3, FortiManager Cloud versiones 7.4.1 a 7.4.3 y FortiAnalyzer Cloud versiones 7.4.1 a 7.4.3 permite a un atacante ejecutar código o comandos no autorizados mediante un ataque de fuerza bruta.
  • Vulnerabilidad en FortiSOAR (CVE-2024-48890)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo ('Inyección de comando del sistema operativo') [CWE-78] en el conector IMAP de FortiSOAR versión 3.5.7 y anteriores puede permitir que un atacante autenticado ejecute código o comandos no autorizados a través de un playbook manipulado específicamente
  • Vulnerabilidad en FortiSOAR (CVE-2024-48893)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web [CWE-79] en FortiSOAR 7.3.0 a 7.3.3, 7.2.1 a 7.2.2 puede permitir que un atacante autenticado realice un ataque Cross Site Scripting (XSS) almacenado mediante la creación de un playbook malicioso.
  • Vulnerabilidad en Fortinet FortiClientWindows (CVE-2024-50564)
    Severidad: BAJA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    El uso de una clave criptográfica codificada en Fortinet FortiClientWindows versión 7.4.0, 7.2.x todas las versiones, 7.0.x todas las versiones y 6.4.x todas las versiones puede permitir que un usuario con pocos privilegios descifre la comunicación entre procesos a través de una canalización denominada monitoreo.
  • Vulnerabilidad en Fortinet FortiManager (CVE-2024-50566)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ('inyección de comando del sistema operativo') en Fortinet FortiManager versiones 7.6.0 a 7.6.1, versiones 7.4.5 a 7.4.0 y versiones 7.2.1 a 7.2.8, FortiManager Cloud versiones 7.6.0 a 7.6.1, versiones 7.4.0 a 7.4.4 y versiones 7.2.2 a 7.2.7 puede permitir que un atacante remoto autenticado ejecute código no autorizado a través de solicitudes FGFM manipuladas.
  • Vulnerabilidad en Fortinet FortiOS (CVE-2024-52963)
    Severidad: BAJA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una escritura fuera de los límites en las versiones Fortinet FortiOS 7.6.0, 7.4.0 a 7.4.6, 7.2.0 a 7.2.10, 7.0.0 a 7.0.16, 6.4.0 a 6.4.15 permite a un atacante activar una denegación de servicio a través de paquetes especialmente manipulados.
  • Vulnerabilidad en Fortinet FortiPortal (CVE-2024-52967)
    Severidad: BAJA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una neutralización incorrecta de las etiquetas HTML relacionadas con Script en una página web (XSS básico) en Fortinet FortiPortal 6.0.0 a 6.0.14 permite a un atacante ejecutar código o comandos no autorizados a través de la inyección HTML.
  • Vulnerabilidad en FortiSIEM (CVE-2024-52969)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un comando SQL ('Inyección SQL') [CWE-89] en FortiSIEM versión 7.1.7 y anteriores, versión 7.1.0, versión 7.0.3 y anteriores, versión 6.7.9 y anteriores, 6.7.8, versión 6.6.5 y anteriores, versión 6.5.3 y anteriores, versión 6.4.4 y anteriores La función Actualizar/Crear caso puede permitir que un atacante autenticado extraiga información de la base de datos a través de solicitudes manipuladas.
  • Vulnerabilidad en Fortinet FortiOS, FortiProxy (CVE-2024-54021)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una neutralización incorrecta de las secuencias crlf en los encabezados http ("división de respuesta http") en Fortinet FortiOS 7.2.0 a 7.6.0, FortiProxy 7.2.0 a 7.4.5 permite a un atacante ejecutar código o comandos no autorizados a través del encabezado HTTP manipulado.
  • Vulnerabilidad en Fortinet FortiWeb (CVE-2024-55593)
    Severidad: BAJA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una neutralización incorrecta de elementos especiales utilizados en un comando SQL ('inyección SQL') en las versiones 6.3.17 a 7.6.1 de Fortinet FortiWeb permite a un atacante obtener información a través de consultas SQL manipuladas.
  • Vulnerabilidad en Fortinet FortiMail y FortiRecorder (CVE-2024-56497)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 03/02/2025
    Una neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ('inyección de comando del sistema operativo') en Fortinet FortiMail versiones 7.2.0 a 7.2.4 y 7.0.0 a 7.0.6 y 6.4.0 a 6.4.7, FortiRecorder versiones 7.0.0 y 6.4.0 a 6.4.4 permite a un atacante ejecutar código o comandos no autorizados a través de la CLI.
  • Vulnerabilidad en Fortinet FortiDeceptor (CVE-2024-35280)
    Severidad: MEDIA
    Fecha de publicación: 15/01/2025
    Fecha de última actualización: 03/02/2025
    Una neutralización incorrecta de la entrada durante la generación de páginas web ("cross-site scripting") en Fortinet FortiDeceptor 3.x todas las versiones, 4.x todas las versiones, 5.0 todas las versiones, 5.1 todas las versiones, versión 5.2.0 y versión 5.3.0 puede permitir que un atacante realice un ataque de cross-site scripting reflejado en los endpoints de recuperación.
  • Vulnerabilidad en Fortinet (CVE-2024-45331)
    Severidad: ALTA
    Fecha de publicación: 16/01/2025
    Fecha de última actualización: 03/02/2025
    Una asignación de privilegios incorrecta en las versiones 7.4.0 a 7.4.3, 7.2.0 a 7.2.5, 7.0.0 a 7.0.13, 6.4.0 a 6.4.15 de Fortinet FortiAnalyzer, las versiones 7.4.0 a 7.4.2, 7.2.0 a 7.2.5, 7.0.0 a 7.0.13, 6.4.0 a 6.4.15 de FortiManager, las versiones 7.4.1 a 7.4.2, 7.2.1 a 7.2.6, 7.0.1 a 7.0.13, 6.4.1 a 6.4.7 de FortiAnalyzer Cloud permite a un atacante escalar privilegios a través de comandos de shell específicos
  • Vulnerabilidad en Fortinet (CVE-2024-48885)
    Severidad: MEDIA
    Fecha de publicación: 16/01/2025
    Fecha de última actualización: 03/02/2025
    Una limitación incorrecta de una ruta de acceso a un directorio restringido ("path traversal") en Fortinet FortiRecorder versiones 7.2.0 a 7.2.1, 7.0.0 a 7.0.4, FortiWeb versiones 7.6.0, 7.4.0 a 7.4.4, 7.2.0 a 7.2.10, 7.0.0 a 7.0.10, 6.4.0 a 6.4.3, FortiVoice versiones 7.0.0 a 7.0.4, 6.4.0 a 6.4.9, 6.0.0 a 6.0.12 permite a un atacante escalar privilegios a través de paquetes especialmente manipulados.
  • Vulnerabilidad en Fortinet (CVE-2024-50563)
    Severidad: ALTA
    Fecha de publicación: 16/01/2025
    Fecha de última actualización: 03/02/2025
    Una autenticación débil en Fortinet FortiManager Cloud, FortiAnalyzer versiones 7.6.0 a 7.6.1, 7.4.1 a 7.4.3, FortiAnalyzer Cloud versiones 7.4.1 a 7.4.3, FortiManager versiones 7.6.0 a 7.6.1, 7.4.1 a 7.4.3, FortiManager Cloud versiones 7.4.1 a 7.4.3 permite a un atacante ejecutar código o comandos no autorizados a través de un ataque de fuerza bruta.