Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Zimbra Collaboration (CVE-2022-27925)
    Severidad: ALTA
    Fecha de publicación: 21/04/2022
    Fecha de última actualización: 07/03/2025
    Zimbra Collaboration (también se conoce como ZCS) versiones 8.8.15 y 9.0, presenta la funcionalidad mboximport que recibe un archivo ZIP y extrae archivos de él. Un usuario autenticado con derechos de administrador presenta la capacidad de cargar archivos arbitrarios en el sistema, conllevando a un salto de directorio
  • Vulnerabilidad en grub2 (CVE-2024-45779)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 07/03/2025
    Se encontró una falla de desbordamiento de enteros en el controlador del sistema de archivos BFS en grub2. Al leer un archivo con un mapa de extensión indirecto, grub2 no puede validar la cantidad de entradas de extensión que se leerán. Un sistema de archivos BFS manipulado o dañado puede causar un desbordamiento de enteros durante la lectura del archivo, lo que genera una gran cantidad de lecturas de los límites. Como consecuencia, se pueden filtrar datos confidenciales o grub2 puede fallar.
  • Vulnerabilidad en grub2 (CVE-2024-45780)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 07/03/2025
    Se encontró una falla en grub2. Al leer archivos tar, grub2 asigna un búfer interno para el nombre del archivo. Sin embargo, no verifica correctamente la asignación contra posibles desbordamientos de números enteros. Es posible provocar que la longitud de la asignación se desborde con un archivo tar manipulado, lo que lleva a una escritura fuera de los límites en el montón. Esta falla finalmente permite a un atacante eludir las protecciones de arranque seguro.
  • Vulnerabilidad en Proliz Software OBS (CVE-2024-8261)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 07/03/2025
    La vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario en Proliz Software OBS permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a OBS: antes de 24.0927.
  • Vulnerabilidad en Proliz Software OBS (CVE-2024-8262)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 07/03/2025
    La vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido ('Path Traversal') en Proliz Software OBS permite Path Traversal. Este problema afecta a OBS: antes de 24.0927.
  • Vulnerabilidad en GitLab-EE (CVE-2025-0555)
    Severidad: ALTA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 07/03/2025
    Una vulnerabilidad de cross-site scripting (XSS) en GitLab-EE que afecta a todas las versiones desde la 16.6 anterior a la 17.7.6, desde la 17.8 anterior a la 17.8.4 y desde la 17.9 anterior a la 17.9.1 permite a un atacante eludir los controles de seguridad y ejecutar secuencias de comandos arbitrarias en el navegador de un usuario en condiciones específicas.
  • Vulnerabilidad en Flask-AppBuilder (CVE-2025-24023)
    Severidad: BAJA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 07/03/2025
    Flask-AppBuilder es un framework de desarrollo de aplicaciones. Antes de la versión 4.5.3, Flask-AppBuilder permite a los usuarios no autenticados enumerar nombres de usuario existentes cronometrando el tiempo de respuesta del servidor cuando se fuerzan solicitudes de inicio de sesión. Esta vulnerabilidad se solucionó en la versión 4.5.3.