Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Silicon Labs (CVE-2024-0240)
    Severidad: MEDIA
    Fecha de publicación: 15/02/2024
    Fecha de última actualización: 05/02/2025
    Una pérdida de memoria en la pila Bluetooth de Silicon Labs para productos EFR32 puede provocar que la memoria se agote al enviar notificaciones a varios clientes, lo que provoca que se detengan todas las operaciones de Bluetooth, como la publicidad y el escaneo.
  • Vulnerabilidad en Misskey (CVE-2024-25636)
    Severidad: ALTA
    Fecha de publicación: 19/02/2024
    Fecha de última actualización: 05/02/2025
    Misskey es una plataforma de redes sociales descentralizada y de código abierto con soporte ActivityPub. Antes de la versión 2024.2.0, al recuperar objetos remotos de Activity Streams, Misskey no verifica que la respuesta del servidor remoto tenga un valor de encabezado `Content-Type` del tipo de medio Activity Streams, lo que permite a un actor de amenazas cargar un documento de Activity Streams elaborado a un servidor remoto y hacer que una instancia de Misskey lo recupere, si el servidor remoto acepta cargas arbitrarias de usuarios. La vulnerabilidad permite que un actor de amenazas se haga pasar por una cuenta y se haga cargo de ella en un servidor remoto que cumple con todas las siguientes propiedades: permite al actor de amenazas registrar una cuenta; acepta documentos arbitrarios subidos por usuarios y los coloca en el mismo dominio que los actores legítimos de Activity Streams; y proporciona documentos subidos por el usuario en respuesta a solicitudes con un valor de encabezado "Aceptar" del tipo de medio Activity Streams. La versión 2024.2.0 contiene un parche para el problema.
  • Vulnerabilidad en Brivo (CVE-2023-6260)
    Severidad: CRÍTICA
    Fecha de publicación: 19/02/2024
    Fecha de última actualización: 05/02/2025
    Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo ('inyección de comando del sistema operativo') en Brivo ACS100, ACS300 permite la inyección de comandos del sistema operativo, evitando la seguridad física. Este problema afecta a ACS100 (acceso adyacente a la red), ACS300 (acceso físico): desde 5.2 .4 antes del 6.2.4.3.
  • Vulnerabilidad en Link Library para WordPress (CVE-2024-1559)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2024
    Fecha de última actualización: 05/02/2025
    El complemento Link Library para WordPress es vulnerable a Cross-Site Scripting Almacenado, a través del parámetro 'll_reciprocal' en todas las versiones hasta la 7.6 incluida, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en kedi ElectronCord (CVE-2024-26136)
    Severidad: ALTA
    Fecha de publicación: 20/02/2024
    Fecha de última actualización: 05/02/2025
    kedi ElectronCord es una herramienta de gestión de bots para Discord. El commit aaaeaf4e6c99893827b2eea4dd02f755e1e24041 expone un token de acceso a la cuenta en el archivo `config.json`. Los actores malintencionados podrían explotar esta vulnerabilidad para obtener acceso no autorizado a información confidencial o realizar acciones maliciosas en nombre del propietario del repositorio. Al momento de la publicación, se desconoce si el propietario del repositorio rotó el token o tomó otras medidas de mitigación además de informar a los usuarios sobre la situación.
  • Vulnerabilidad en Yet Analytics (CVE-2024-26140)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2024
    Fecha de última actualización: 05/02/2025
    com.yetanalytics/lrs es la librería LRS principal de Yet Analytics. Antes de la versión 1.2.17 de la librería LRS y la versión 0.7.5 de SQL LRS, se podía utilizar una declaración xAPI creada con fines malintencionados para realizar una inyección de script u otras etiquetas en el navegador de declaraciones LRS. El problema se solucionó en la versión 1.2.17 de la librería LRS y en la versión 0.7.5 de SQL LRS. No existen workarounds conocidas.
  • Vulnerabilidad en Microsoft (CVE-2023-46241)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/02/2025
    `discourse-microsoft-auth` es un complemento que permite la autenticación a través de Microsoft. En sitios con el complemento `discourse-microsoft-auth` habilitado, un ataque puede potencialmente tomar el control de la cuenta de Discourse de una víctima. Los sitios que han configurado el tipo de cuenta de su aplicación con cualquier opción distinta a "Cuentas solo en este directorio organizacional (solo O365 - Inquilino único)" son vulnerables. Esta vulnerabilidad ha sido parcheada en el commit c40665f44509724b64938c85def9fb2e79f62ec8 de `discourse-microsoft-auth`. También se agregó una tarea de rake `microsoft_auth:revoke` que desactivará y cerrará sesión a todos los usuarios que hayan conectado sus cuentas a Microsoft. También se revocarán las claves API de usuario, así como las claves API creadas por esos usuarios. La tarea de rake también eliminará los registros de conexión a Microsoft para esos usuarios. Esto permitirá a los usuarios afectados volver a verificar los correos electrónicos de sus cuentas y volver a conectar su cuenta de Discourse a Microsoft para su autenticación. Como workaround, deshabilite el complemento `discourse-microsoft-auth` estableciendo la configuración del sitio `microsoft_auth_enabled` en `false`. Ejecute la tarea de rake `microsoft_auth:log_out_users` para cerrar la sesión de todos los usuarios con cuentas de Microsoft asociadas.
  • Vulnerabilidad en Pymatgen (CVE-2024-23346)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/02/2025
    Pymatgen (Python Materials Genomics) es una librería Python de código abierto para análisis de materiales. Existe una vulnerabilidad de seguridad crítica en el método `JonesFaithfulTransformation.from_transformation_str()` dentro de la librería `pymatgen` antes de la versión 2024.2.20. Este método utiliza de forma insegura `eval()` para procesar la entrada, lo que permite la ejecución de código arbitrario al analizar entradas que no son de confianza. La versión 2024.2.20 soluciona este problema.
  • Vulnerabilidad en php-svg-lib (CVE-2024-25117)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/02/2025
    php-svg-lib es una librería escalable de análisis/renderización de archivos de gráficos vectoriales (SVG). Antes de la versión 0.5.2, php-svg-lib no valida que font-family no contenga una URL PHAR, lo que podría llevar a RCE en PHP < 8.0, y no valida si se permiten referencias externas. Esto podría llevar a eludir las restricciones o RCE en los proyectos que lo utilizan, si no revalidan estrictamente el nombre de fuente pasado por php-svg-lib. El `Style::fromAttributes(`), o el `Style::parseCssStyle()` deben verificar el contenido de la `font-family` y evitar que use una URL PHAR, para evitar pasar un `fontName` inválido y peligroso. valor para otras librerías. Se puede reutilizar la misma comprobación realizada en `Style::fromStyleSheets`. Las librerías que utilizan esta librería como dependencia pueden ser vulnerables a alguna elusión de restricciones, o incluso a la ejecución remota de código, si no verifican dos veces el valor de `fontName` que pasa por php-svg-lib. La versión 0.5.2 contiene una solución para este problema.
  • Vulnerabilidad en cryptography (CVE-2024-26130)
    Severidad: ALTA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/02/2025
    cryptography es un paquete manipulado para exponer recetas y primitivas criptográficas a los desarrolladores de Python. A partir de la versión 38.0.0 y anteriores a la versión 42.0.4, si se llama a `pkcs12.serialize_key_and_certificates` con un certificado cuya clave pública no coincide con la clave privada proporcionada y un `encryption_algorithm` con `hmac_hash` configurado (a través de `PrivateFormat .PKCS12.encryption_builder().hmac_hash(...)`, entonces se produciría una desreferencia del puntero NULL, bloqueando el proceso de Python. Esto se resolvió en la versión 42.0.4, la primera versión en la que se genera correctamente un `ValueError` .
  • Vulnerabilidad en XWiki (CVE-2024-26138)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/02/2025
    La aplicación de licencia XWiki, que administra y aplica licencias de aplicaciones para extensiones pagas, incluye el documento `Licenses.Code.LicenseJSON` que proporciona información a los administradores sobre las licencias activas. Este documento es público y por lo tanto expone públicamente esta información. La información incluye la identificación de la instancia, así como el nombre, apellido y correo electrónico del propietario de la licencia. Esta es una filtración de información que no debería ser pública. La identificación de la instancia permite asociar datos sobre las instalaciones activas con la instancia concreta de XWiki. Las instalaciones activas garantizan que "no hay forma de encontrar quién tiene un UUID determinado" (refiriéndose a la identificación de la instancia). Además, la información sobre quién es el propietario de la licencia y la información sobre las licencias obtenidas se puede utilizar para ataques de phishing dirigidos. Además, aunque la información del usuario normalmente es pública, es posible que las direcciones de correo electrónico solo se muestren ofuscadas, según la configuración. Esto se ha solucionado en Licencias de aplicaciones 1.24.2. No se conocen workarounds aparte de la actualización.
  • Vulnerabilidad en Discourse Calendar (CVE-2024-26145)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/02/2025
    Discourse Calendar agrega la capacidad de crear un calendario dinámico en la primera publicación de un tema en Discourse. Los usuarios no invitados pueden obtener acceso a eventos privados elaborando una solicitud para actualizar su asistencia. Este problema se resuelve en el commit dfc4fa15f340189f177a1d1ab2cc94ffed3c1190. Como workaround, se puede utilizar la visibilidad de las publicaciones para limitar el acceso.
  • Vulnerabilidad en discurso-ai para Discourse (CVE-2024-23654)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/02/2025
    discurso-ai es el complemento de inteligencia artificial para la plataforma de discusión de código abierto Discourse. Antes del commit 94ba0dadc2cf38e8f81c3936974c167219878edd, las interacciones con diferentes servicios de IA son vulnerables a ataques SSRF iniciados por el administrador. Las versiones del complemento que incluyen el commit 94ba0dadc2cf38e8f81c3936974c167219878edd contienen un parche. Como workaround, se puede desactivar el complemento discurso-ai.
  • Vulnerabilidad en Fiber (CVE-2024-25124)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/02/2025
    Fiber es un framework web escrito en go. Antes de la versión 2.52.1, el middleware CORS permitía configuraciones inseguras que podrían exponer la aplicación a múltiples vulnerabilidades relacionadas con CORS. Específicamente, permite establecer el encabezado Access-Control-Allow-Origin en un comodín (`*`) y al mismo tiempo tener Access-Control-Allow-Credentials establecido en verdadero, lo que va en contra de las mejores prácticas de seguridad recomendadas. El impacto de esta mala configuración es alto, ya que puede conducir a un acceso no autorizado a datos confidenciales del usuario y exponer el sistema a varios tipos de ataques enumerados en el artículo de PortSwigger vinculado en las referencias. La versión 2.52.1 contiene un parche para este problema. Como workaround, los usuarios pueden validar manualmente las configuraciones de CORS en su implementación para asegurarse de que no permitan un origen comodín cuando las credenciales estén habilitadas. La API de recuperación del navegador, así como los navegadores y las utilidades que aplican las políticas CORS, no se ven afectados por esto.
  • Vulnerabilidad en Querybook (CVE-2024-26148)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 05/02/2025
    Querybook es una interfaz de usuario para consultar big data. Antes de la versión 3.31.1, había una vulnerabilidad en el editor de texto enriquecido de Querybook que permitía a los usuarios ingresar URL arbitrarias sin someterse a la validación necesaria. Esta falla de seguridad particular permite el uso del protocolo `javascript:` que potencialmente puede desencadenar una ejecución arbitraria del lado del cliente. La explotación más extrema de esta falla podría ocurrir cuando un usuario administrador, sin saberlo, hace clic en una URL de Cross-Site Scripting, comprometiendo así involuntariamente el acceso de la función de administrador al atacante. Se introdujo un parche para rectificar este problema en la versión de Querybook `3.31.1`. La solución es compatible con versiones anteriores y corrige automáticamente los DataDocs existentes. No existen workarounds para este problema, excepto verificar manualmente cada URL antes de hacer clic en ellas.
  • Vulnerabilidad en Discourse (CVE-2024-24817)
    Severidad: MEDIA
    Fecha de publicación: 22/02/2024
    Fecha de última actualización: 05/02/2025
    Discourse Calendar agrega la capacidad de crear un calendario dinámico en la primera publicación de un tema en la plataforma de discusión de código abierto Discourse. Antes de la versión 0.4, cualquier persona puede recuperar los invitados a eventos creados en temas en categorías privadas o MP (mensajes privados), incluso si no han iniciado sesión. Este problema se resuelve en la versión 0.4 del complemento de calendario de discurso. Si bien no hay un workaround disponible, colocar el sitio detrás de `login_required` no permitirá que usuarios anónimos utilicen este endpoint, pero los usuarios que hayan iniciado sesión aún pueden obtener la lista de invitados en los temas privados.
  • Vulnerabilidad en CodeQL (CVE-2024-25129)
    Severidad: BAJA
    Fecha de publicación: 22/02/2024
    Fecha de última actualización: 05/02/2025
    El repositorio de CodeQL CLI contiene archivos binarios para la interfaz de línea de comandos (CLI) de CodeQL. Antes de la versión 2.16.3, un analizador XML utilizado por la CLI de CodeQL para leer varios archivos auxiliares era vulnerable a un ataque de entidad externa XML. Si se utiliza una versión vulnerable de la CLI para procesar una base de datos CodeQL modificada maliciosamente o un conjunto especialmente preparado de fuentes de consulta QL, se puede hacer que la CLI realice una solicitud HTTP saliente a una URL que contenga material leído de un archivo local. elegido por el atacante. Esto puede resultar en una pérdida de privacidad o exfiltración de secretos. Los investigadores de seguridad y los autores de QL que reciben bases de datos o archivos fuente de QL de fuentes que no son de confianza pueden verse afectados. Un único archivo `.ql` o `.qll` que no sea de confianza no puede verse afectado, pero un archivo zip o tarball que contenga fuentes QL puede descomprimir archivos auxiliares que desencadenarán un ataque cuando CodeQL los vea en el sistema de archivos. Aquellos que usan CodeQL para análisis rutinarios de árboles fuente con un conjunto preseleccionado de consultas confiables no se ven afectados. En particular, extraer archivos XML de un árbol fuente a la base de datos CodeQL no lo hace vulnerable. El problema se solucionó en la versión 2.16.3 de CodeQL CLI. Además de actualizar, los workarounds incluyen no aceptar bases de datos CodeQL o consultas de fuentes no confiables, o solo procesar dicho material en una máquina sin conexión a Internet. Los clientes que utilicen versiones anteriores de CodeQL para el escaneo de seguridad en un sistema de CI automatizado y no puedan actualizar por motivos de cumplimiento pueden continuar usando esa versión. Ese caso de uso es seguro. Si dichos clientes tienen un paquete de consultas privado y usan el comando "codeql pack create" para precompilarlos antes de usarlos en el sistema CI, deberían usar la versión de producción de CodeQL para ejecutar "codeql pack create". Ese comando es seguro siempre que se confíe en la fuente QL que precompiló. Todos los demás desarrollos del paquete de consultas deben utilizar una CLI actualizada.
  • Vulnerabilidad en Tuleap (CVE-2024-25130)
    Severidad: MEDIA
    Fecha de publicación: 22/02/2024
    Fecha de última actualización: 05/02/2025
    Tuleap es una suite de código abierto para mejorar la gestión de los desarrollos de software y la colaboración. Antes de la versión 15.5.99.76 de Tuleap Community Edition y antes de las versiones 15.5-4 y 15.4-7 de Tuleap Enterprise Edition, los usuarios con acceso de lectura a un rastreador donde se utiliza la función de actualización masiva podían obtener acceso a información restringida. Tuleap Community Edition 15.5.99.76, Tuleap Enterprise Edition 15.5-4 y Tuleap Enterprise Edition 15.4-7 contienen un parche para este problema.
  • Vulnerabilidad en GitHub (CVE-2024-26151)
    Severidad: ALTA
    Fecha de publicación: 22/02/2024
    Fecha de última actualización: 05/02/2025
    El paquete PyPI `mjml`, que se encuentra en el repositorio de GitHub `FelixSchwarz/mjml-python`, es una versión Python no oficial de MJML, un lenguaje de marcado creado por Mailjet. Todos los usuarios de `FelixSchwarz/mjml-python` que insertan datos que no son de confianza en plantillas mjml a menos que esos datos se verifiquen de manera muy estricta. La entrada del usuario como `<script>` se representaría como `
  • Vulnerabilidad en Colibri WP para WordPress (CVE-2024-1360)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2024
    Fecha de última actualización: 05/02/2025
    El tema Colibri WP para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.0.94 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función colibriwp_install_plugin(). Esto hace posible que atacantes no autenticados instalen complementos recomendados a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en c-ares (CVE-2024-25629)
    Severidad: MEDIA
    Fecha de publicación: 23/02/2024
    Fecha de última actualización: 05/02/2025
    c-ares es una librería C para solicitudes DNS asincrónicas. `ares__read_line()` se usa para analizar archivos de configuración locales como `/etc/resolv.conf`, `/etc/nsswitch.conf`, el archivo `HOSTALIASES` y si se usa una versión de c-ares anterior a 1.27. 0, el archivo `/etc/hosts`. Si alguno de estos archivos de configuración tiene un carácter "NULL" incrustado como primer carácter en una nueva línea, puede provocar que se intente leer la memoria antes del inicio del búfer dado, lo que puede provocar un bloqueo. Este problema se solucionó en c-ares 1.27.0. No existen workarounds.
  • Vulnerabilidad en Backstage (CVE-2024-26150)
    Severidad: ALTA
    Fecha de publicación: 23/02/2024
    Fecha de última actualización: 05/02/2025
    `@backstage/backend-common` es una librería de funcionalidad común para backends de Backstage, una plataforma abierta para crear portales de desarrolladores. En `@backstage/backend-common` anterior a las versiones 0.21.1, 0.20.2 y 0.19.10, las comprobaciones de rutas con la utilidad `resolveSafeChildPath` no eran lo suficientemente exhaustivas, lo que generaba riesgo de vulnerabilidades de path traversal si se podían inyectar enlaces simbólicos. por los atacantes. Este problema se solucionó en las versiones `@backstage/backend-common` 0.21.1, 0.20.2 y 0.19.10.
  • Vulnerabilidad en Archivist – Custom Archive Templates para WordPress (CVE-2024-1810)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2024
    Fecha de última actualización: 05/02/2025
    El complemento Archivist – Custom Archive Templates para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'shortcode_attributes' en todas las versiones hasta la 1.7.5 incluida, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en BackWPup para WordPress (CVE-2023-5775)
    Severidad: BAJA
    Fecha de publicación: 26/02/2024
    Fecha de última actualización: 05/02/2025
    El complemento BackWPup para WordPress es vulnerable al almacenamiento de texto plano de la contraseña de destino de respaldo en todas las versiones hasta la 4.0.2 incluida. Esto se debe a que el complemento almacena incorrectamente las contraseñas de destino de la copia de seguridad en texto plano. Esto hace posible que atacantes autenticados, con acceso a nivel de administrador, recuperen la contraseña del campo de entrada de contraseña en la interfaz de usuario o de la tabla de opciones donde se almacena la contraseña.