Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en cgi-bin/users.cgi en Brickcom (CVE-2013-3690)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/10/2013
    Fecha de última actualización: 04/03/2025
    Vulnerabilidad de CSRF en cgi-bin/users.cgi en Brickcom FB-100Ap, WCB-100Ap, MD-100Ap, WFB-100Ap, OB-100Ae, OSD-040E, y posiblemente otros modelos de cámara con firmware 3.1.0.8 y anteriores, permite a atacantes remotos secuestrar la autenticación de administradores para peticiones que incluyan usuarios.
  • Vulnerabilidad en Brickcom (CVE-2013-3689)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/10/2013
    Fecha de última actualización: 04/03/2025
    Brickcom FB-100AP, WCB-100AP, MD-100AP, WFB-100AP, OB-100Ae, OSD-040E, y posiblemente otros modelos de cámaras con firmware 3.0.6.16C1 y anteriores, no limitan adecuadamente el acceso a configfile.dump, que permite a atacantes remotos obtener información sensible (nombres de usuario, contraseñas y configuraciones) a través de una acción get.
  • Vulnerabilidad en Synology (CVE-2023-47802)
    Severidad: ALTA
    Fecha de publicación: 28/06/2024
    Fecha de última actualización: 04/03/2025
    Una vulnerabilidad relacionada con la neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ('Inyección de comando del sistema operativo') se encuentra en la funcionalidad de bloqueo de IP. Esto permite a usuarios remotos autenticados con privilegios de administrador ejecutar comandos arbitrarios a través de vectores no especificados. Los siguientes modelos con versiones de firmware de cámara Synology anteriores a 1.0.7-0298 pueden verse afectados: BC500 y TC500.
  • Vulnerabilidad en Synology (CVE-2023-47803)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2024
    Fecha de última actualización: 04/03/2025
    Se encuentra una vulnerabilidad relacionada con la limitación inadecuada de un nombre de ruta a un directorio restringido ("Path Traversal") en la funcionalidad Configuración de idioma. Esto permite a atacantes remotos leer archivos específicos que contienen información no confidencial a través de vectores no especificados. Los siguientes modelos con versiones de firmware de cámara Synology anteriores a 1.0.7-0298 pueden verse afectados: BC500 y TC500.
  • Vulnerabilidad en Synology (CVE-2024-39349)
    Severidad: CRÍTICA
    Fecha de publicación: 28/06/2024
    Fecha de última actualización: 04/03/2025
    Se encuentra una vulnerabilidad con respecto a la copia del búfer sin verificar el tamaño de la entrada ("Classic Buffer Overflow") en el componente libjansson y no afecta a la librería ascendente. Esto permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados. Los siguientes modelos con versiones de firmware de cámara Synology anteriores a 1.0.7-0298 pueden verse afectados: BC500 y TC500.
  • Vulnerabilidad en Synology (CVE-2024-39351)
    Severidad: ALTA
    Fecha de publicación: 28/06/2024
    Fecha de última actualización: 04/03/2025
    En la configuración NTP se encuentra una vulnerabilidad relacionada con la neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ('Inyección de comando del sistema operativo'). Esto permite a usuarios remotos autenticados con privilegios de administrador ejecutar comandos arbitrarios a través de vectores no especificados. Los siguientes modelos con versiones de firmware de cámara Synology anteriores a 1.0.7-0298 pueden verse afectados: BC500 y TC500.
  • Vulnerabilidad en Synology (CVE-2024-39352)
    Severidad: MEDIA
    Fecha de publicación: 28/06/2024
    Fecha de última actualización: 04/03/2025
    Se encuentra una vulnerabilidad relacionada con la autorización incorrecta en la funcionalidad de actualización del firmware. Esto permite a los usuarios autenticados remotamente con privilegios de administrador omitir la verificación de integridad del firmware mediante vectores no especificados. Los siguientes modelos con versiones de firmware de cámara Synology anteriores a 1.0.7-0298 pueden verse afectados: BC500 y TC500.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52359)
    Severidad: MEDIA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 04/03/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2 y 1.0.2.1 podría permitir que un usuario autenticado realice acciones no autorizadas que deberían estar reservadas al administrador debido a controles de acceso inadecuados.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52360)
    Severidad: ALTA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 04/03/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2 y 1.0.2.1 es vulnerable a la inyección SQL. Un atacante remoto podría enviar instrucciones SQL especialmente manipuladas, que podrían permitirle ver, agregar, modificar o eliminar información en la base de datos back-end.
  • Vulnerabilidad en Royal Elementor Addons and Templates para WordPress (CVE-2024-10798)
    Severidad: MEDIA
    Fecha de publicación: 28/11/2024
    Fecha de última actualización: 04/03/2025
    El complemento Royal Elementor Addons and Templates para WordPress es vulnerable a la exposición de información en todas las versiones hasta la 1.7.1003 incluida a través del código abreviado 'wpr-template' debido a restricciones insuficientes sobre qué publicaciones se pueden incluir. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, extraigan datos de publicaciones privadas o borradores creadas a través de Elementor a las que no deberían tener acceso.
  • Vulnerabilidad en Themewinter WPCafe (CVE-2023-47805)
    Severidad: MEDIA
    Fecha de publicación: 09/12/2024
    Fecha de última actualización: 04/03/2025
    La vulnerabilidad de autorización faltante en Themewinter WPCafe permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a WPCafe: desde n/a hasta 2.2.22.
  • Vulnerabilidad en Solid Edge SE2024 (CVE-2024-54093)
    Severidad: ALTA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 04/03/2025
    Se ha identificado una vulnerabilidad en Solid Edge SE2024 (todas las versiones anteriores a V224.0 Update 5). La aplicación afectada es vulnerable a un desbordamiento de búfer de almacenamiento dinámico al analizar archivos ASM especialmente manipulados. Esto podría permitir que un atacante ejecute código en el contexto del proceso actual.
  • Vulnerabilidad en Solid Edge SE2024 (CVE-2024-54094)
    Severidad: ALTA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 04/03/2025
    Se ha identificado una vulnerabilidad en Solid Edge SE2024 (todas las versiones anteriores a V224.0 Update 5). La aplicación afectada es vulnerable a un desbordamiento de búfer de almacenamiento dinámico al analizar archivos PAR especialmente manipulados. Esto podría permitir que un atacante ejecute código en el contexto del proceso actual.
  • Vulnerabilidad en Solid Edge SE2024 (CVE-2024-54095)
    Severidad: ALTA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 04/03/2025
    Se ha identificado una vulnerabilidad en Solid Edge SE2024 (todas las versiones anteriores a la V224.0 Update 10). La aplicación afectada es afectada a una vulnerabilidad de desbordamiento de enteros que puede activarse al analizar archivos PAR especialmente manipulados. Esto podría permitir que un atacante ejecute código en el contexto del proceso actual.
  • Vulnerabilidad en NI LabVIEW (CVE-2024-10494)
    Severidad: ALTA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 04/03/2025
    Una lectura fuera de los límites debido a una validación de entrada incorrecta en HeapObjMapImpl.cpp en NI LabVIEW puede revelar información o provocar la ejecución de código arbitrario. Para explotarla con éxito, es necesario que un atacante proporcione a un usuario un VI especialmente manipulado. Esta vulnerabilidad afecta a LabVIEW 2024 Q3 y versiones anteriores.
  • Vulnerabilidad en NI LabVIEW (CVE-2024-10495)
    Severidad: ALTA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 04/03/2025
    Una lectura fuera de los límites debido a una validación de entrada incorrecta al cargar la tabla de fuentes en fontmgr.cpp en NI LabVIEW puede revelar información o provocar la ejecución de código arbitrario. Para explotarla con éxito, es necesario que un atacante proporcione a un usuario un VI especialmente manipulado. Esta vulnerabilidad afecta a LabVIEW 2024 Q3 y versiones anteriores.
  • Vulnerabilidad en NI LabVIEW (CVE-2024-10496)
    Severidad: ALTA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 04/03/2025
    Una lectura fuera de los límites debido a una validación de entrada incorrecta en BuildFontMap en fontmgr.cpp en NI LabVIEW puede revelar información o provocar la ejecución de código arbitrario. Para explotarla con éxito, es necesario que un atacante proporcione a un usuario un VI especialmente manipulado. Esta vulnerabilidad afecta a LabVIEW 2024 Q3 y versiones anteriores.
  • Vulnerabilidad en WPBits WPBITS Addons For Elementor Page Builder (CVE-2024-56285)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 04/03/2025
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPBits WPBITS Addons For Elementor Page Builder permite XSS almacenado. Este problema afecta a WPBITS Addons For Elementor Page Builder: desde n/a hasta 1.5.1.
  • Vulnerabilidad en WPBits WPBITS Addons For Elementor Page Builder (CVE-2025-22316)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 04/03/2025
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPBits WPBITS Addons For Elementor Page Builder permite XSS almacenado. Este problema afecta a WPBITS Addons For Elementor Page Builder: desde n/a hasta 1.5.1.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52366)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 04/03/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2, 1.0.2.1 y 1.0.3 podría permitir que un atacante remoto obtenga información confidencial, debido a que no se ha habilitado correctamente la seguridad de transporte estricta HTTP. Un atacante podría aprovechar esta vulnerabilidad para obtener información confidencial mediante técnicas de intermediario.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52367)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 04/03/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2, 1.0.2.1 y 1.0.3 podría revelar información confidencial del sistema a un actor no autorizado que podría utilizarse en futuros ataques contra el sistema.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52891)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 04/03/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2, 1.0.2.1 y 1.0.3 podría permitir que un usuario autenticado inyecte información maliciosa u obtenga información de archivos de registro debido a una neutralización incorrecta de los registros.
  • Vulnerabilidad en IBM Concert Software (CVE-2024-52893)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 04/03/2025
    IBM Concert Software 1.0.0, 1.0.1, 1.0.2, 1.0.2.1 y 1.0.3 podría permitir que un atacante remoto obtenga información confidencial cuando se devuelve un mensaje de error técnico detallado en el navegador. Esta información podría utilizarse en futuros ataques contra el sistema.
  • Vulnerabilidad en CampCodes Computer Laboratory Management System 1.0 (CVE-2025-0341)
    Severidad: MEDIA
    Fecha de publicación: 09/01/2025
    Fecha de última actualización: 04/03/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en CampCodes Computer Laboratory Management System 1.0. Este problema afecta a algunas funciones desconocidas del archivo /class/edit/edit. La manipulación del argumento e_photo permite la carga sin restricciones. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en ICS-CERT (CVE-2025-24861)
    Severidad: ALTA
    Fecha de publicación: 13/02/2025
    Fecha de última actualización: 04/03/2025
    Un atacante puede inyectar comandos a través de solicitudes de publicación especialmente manipuladas.