Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el archivo blosc2.c en Blosc C-Blosc2 (CVE-2020-29367)
    Severidad: ALTA
    Fecha de publicación: 27/11/2020
    Fecha de última actualización: 25/04/2025
    El archivo blosc2.c en Blosc C-Blosc2 hasta versión 2.0.0.beta.5. presenta un desbordamiento de búfer en la región heap de la memoria cuando carece de espacio para escribir datos comprimidos
  • Vulnerabilidad en C-blosc2 (CVE-2023-37185)
    Severidad: ALTA
    Fecha de publicación: 25/12/2023
    Fecha de última actualización: 25/04/2025
    Se descubrió que C-blosc2 anterior a 2.9.3 contenía una desreferencia de puntero NULL mediante la función zfp_prec_decompress en zfp/blosc2-zfp.c.
  • Vulnerabilidad en C-blosc2 (CVE-2023-37186)
    Severidad: ALTA
    Fecha de publicación: 25/12/2023
    Fecha de última actualización: 25/04/2025
    Se descubrió que C-blosc2 anterior a 2.9.3 contenía una desreferencia de puntero NULL en ndlz/ndlz8x8.c a través de un puntero NULL a memset.
  • Vulnerabilidad en C-blosc2 (CVE-2023-37187)
    Severidad: ALTA
    Fecha de publicación: 25/12/2023
    Fecha de última actualización: 25/04/2025
    Se descubrió que C-blosc2 anterior a 2.9.3 contenía una desreferencia de puntero NULL mediante la función zfp/blosc2-zfp.c zfp_acc_decompress.
  • Vulnerabilidad en C-blosc2 (CVE-2023-37188)
    Severidad: ALTA
    Fecha de publicación: 25/12/2023
    Fecha de última actualización: 25/04/2025
    Se descubrió que C-blosc2 anterior a 2.9.3 contenía una desreferencia de puntero NULL mediante la función zfp_rate_decompress en zfp/blosc2-zfp.c.
  • Vulnerabilidad en SteVe v3.6.0 (CVE-2024-25407)
    Severidad: ALTA
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 25/04/2025
    Se descubrió que SteVe v3.6.0 utiliza ID de transacción predecibles al recibir una solicitud StartTransaction. Esta vulnerabilidad puede permitir a los atacantes provocar una denegación de servicio (DoS) utilizando los ID de transacción previstos para finalizar otras transacciones.
  • Vulnerabilidad en VulDB (CVE-2024-3203)
    Severidad: ALTA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 25/04/2025
    Una vulnerabilidad fue encontrada en c-blosc2 hasta 2.13.2 y clasificada como crítica. La función ndlz8_decompress del archivo /src/c-blosc2/plugins/codecs/ndlz/ndlz8x8.c es afectada por la vulnerabilidad. La manipulación conduce a un desbordamiento de búfer de almacenamiento dinámico. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259050 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente al proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en VulDB (CVE-2024-3204)
    Severidad: ALTA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 25/04/2025
    Una vulnerabilidad ha sido encontrada en c-blosc2 hasta 2.13.2 y clasificada como crítica. La función ndlz4_decompress del archivo /src/c-blosc2/plugins/codecs/ndlz/ndlz4x4.c es afectada por esta vulnerabilidad. La manipulación conduce a un desbordamiento de búfer de almacenamiento dinámico. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259051. NOTA: Se contactó primeramente al proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en code-projects Car Rental 1.0 (CVE-2024-3369)
    Severidad: MEDIA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 25/04/2025
    Una vulnerabilidad clasificada como crítica fue encontrada en code-projects Car Rental 1.0. Una función desconocida del archivo add-vehicle.php es afectada por esta vulnerabilidad. La manipulación del argumento Cargar imagen conduce a una carga sin restricciones. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259490 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en mholt/archiver (CVE-2024-0406)
    Severidad: MEDIA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 25/04/2025
    Se descubrió una falla en el paquete mholt/archiver. Esta falla permite a un atacante crear un archivo tar especialmente manipulado que, cuando se descomprime, puede permitir el acceso a archivos o directorios restringidos. Este problema puede permitir la creación o sobrescritura de archivos con los privilegios del usuario o de la aplicación usando la librería.
  • Vulnerabilidad en iOS, iPados y Macos Sonoma (CVE-2023-38614)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2025
    Fecha de última actualización: 25/04/2025
    Se abordó un problema de permisos con restricciones adicionales. Este problema se soluciona en iOS 17 y iPados 17, Macos Sonoma 14. Una aplicación puede acceder a datos confidenciales del usuario.
  • Vulnerabilidad en iOS, iPados, Macos Sonoma, Watchos, Tvos y Safari (CVE-2023-42875)
    Severidad: ALTA
    Fecha de publicación: 11/04/2025
    Fecha de última actualización: 25/04/2025
    El procesamiento de contenido web puede conducir a la ejecución de código arbitraria. Este problema se soluciona en iOS 17 y iPados 17, Macos Sonoma 14, Watchos 10, Tvos 17, Safari 17. El problema se abordó con un manejo de memoria mejorado.
  • Vulnerabilidad en Bandisoft Bandizip (CVE-2025-33027)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2025
    Fecha de última actualización: 25/04/2025
    En Bandisoft Bandizip hasta la versión 7.37, existe una vulnerabilidad de omisión de la marca de la web. Esta vulnerabilidad permite a los atacantes eludir el mecanismo de protección de la marca de la web en las instalaciones afectadas de Bandizip. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en la gestión de archivos comprimidos. Al extraer archivos de un archivo comprimido manipulado con la marca de la web, Bandizip no la propaga a los archivos extraídos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual.
  • Vulnerabilidad en Erick xmall v.1.1 (CVE-2025-28399)
    Severidad: CRÍTICA
    Fecha de publicación: 15/04/2025
    Fecha de última actualización: 25/04/2025
    Un problema en Erick xmall v.1.1 y anteriores permite que un atacante remoto escale privilegios a través del método updateAddress de la clase Address Controller.
  • Vulnerabilidad en SteVe v3.7.1 (CVE-2024-44843)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2025
    Fecha de última actualización: 25/04/2025
    Un problema en el proceso de protocolo de enlace de sockets web de SteVe v3.7.1 permite a los atacantes eludir la autenticación y ejecutar comandos arbitrarios mediante el suministro de solicitudes OCPP manipuladas.
  • Vulnerabilidad en JEEWMS v3.7 (CVE-2025-29213)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2025
    Fecha de última actualización: 25/04/2025
    Una vulnerabilidad de deslizamiento zip en el componente \service\migrate\MigrateForm.java de JEEWMS v3.7 permite a los atacantes ejecutar código arbitrario a través de un archivo Zip manipulado.
  • Vulnerabilidad en JetBrains RubyMine (CVE-2025-43015)
    Severidad: ALTA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 25/04/2025
    En JetBrains RubyMine antes de 2025.1, el intérprete remoto sobrescribía los puertos para escuchar en todas las interfaces
  • Vulnerabilidad en Think Router Tk-Rt-Wr135G V3.0.2-X000 (CVE-2024-55211)
    Severidad: ALTA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 25/04/2025
    Un problema en Think Router Tk-Rt-Wr135G V3.0.2-X000 permite a los atacantes eludir la autenticación a través de una cookie manipulada.
  • Vulnerabilidad en DragonflyDB Dragonfly (CVE-2025-26268)
    Severidad: BAJA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 25/04/2025
    DragonflyDB Dragonfly anterior a la versión 1.27.0 permite a los usuarios autenticados provocar una denegación de servicio (fallo del daemon) mediante un comando Redis manipulado específicamente. No se comprobó la validez del cursor de escaneo.
  • Vulnerabilidad en twonav v.2.1.18-20241105 (CVE-2025-29449)
    Severidad: MEDIA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 25/04/2025
    Un problema en twonav v.2.1.18-20241105 permite que un atacante remoto obtenga información confidencial a través de la función de identificación de enlace.
  • Vulnerabilidad en MyBB 1.8.38 (CVE-2025-29460)
    Severidad: ALTA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 25/04/2025
    Un problema en MyBB 1.8.38 permite que un atacante remoto obtenga información confidencial a través de la función Add Mycode.