Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-21140)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 18/06/2025
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles que se ven afectadas son Oracle Java SE: 8u411, 8u411-perf, 11.0.23, 17.0.11, 21.0.3, 22.0.1; Oracle GraalVM para JDK: 17.0.11, 21.0.3, 22.0.1; Oracle GraalVM Enterprise Edition: 20.3.14 y 21.3.10. Una vulnerabilidad difícil de explotar permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometa Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserción o eliminación de algunos datos accesibles de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition, así como acceso de lectura no autorizado a un subconjunto de Oracle Java SE, Oracle GraalVM para JDK, datos accesibles de Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se puede aprovechar utilizando API en el componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API. Esta vulnerabilidad también se aplica a las implementaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en un espacio aislado o subprogramas de Java en un espacio aislado, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. CVSS 3.1 Puntaje base 4.8 (Impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N).
  • Vulnerabilidad en KMPlayer v4.2.2.65 (CVE-2024-41200)
    Severidad: MEDIA
    Fecha de publicación: 05/08/2024
    Fecha de última actualización: 18/06/2025
    Un fallo de segmentación en KMPlayer v4.2.2.65 permite a atacantes provocar una denegación de servicio (DoS) a través de un archivo AVI manipulado.
  • Vulnerabilidad en Spring Framework (CVE-2024-38808)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 18/06/2025
    En las versiones de Spring Framework 5.3.0 - 5.3.38 y versiones anteriores no compatibles, es posible que un usuario proporcione una expresión Spring Expression Language (SpEL) especialmente manipulada que puede causar una condición de denegación de servicio (DoS). Específicamente, una aplicación es vulnerable cuando se cumple lo siguiente: * La aplicación evalúa expresiones SpEL proporcionadas por el usuario.
  • Vulnerabilidad en Thunderbird (CVE-2025-2830)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2025
    Fecha de última actualización: 18/06/2025
    Al manipular un nombre de archivo mal formado para un archivo adjunto en un mensaje multiparte, un atacante puede engañar a Thunderbird para que incluya la lista de directorio /tmp al reenviar o editar el mensaje como nuevo. Esta vulnerabilidad podría permitir a los atacantes divulgar información confidencial del sistema de la víctima. Esta vulnerabilidad no se limita a Linux; también se ha observado un comportamiento similar en Windows. Esta vulnerabilidad afecta a Thunderbird (versión anterior a la 137.0.2) y a Thunderbird (versión anterior a la 128.9.2).
  • Vulnerabilidad en Thunderbird (CVE-2025-3522)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2025
    Fecha de última actualización: 18/06/2025
    Thunderbird procesa el encabezado X-Mozilla-External-Attachment-URL para gestionar los archivos adjuntos alojados externamente. Al abrir un correo electrónico, Thunderbird accede a la URL especificada para determinar el tamaño del archivo y la accede cuando el usuario hace clic en el archivo adjunto. Dado que la URL no está validada ni depurada, puede hacer referencia a recursos internos como enlaces a chrome:// o a recursos compartidos SMB file://, lo que podría provocar una fuga de credenciales de Windows con hash y dar lugar a problemas de seguridad más graves. Esta vulnerabilidad afecta a Thunderbird (versión anterior a la 137.0.2) y Thunderbird (versión anterior a la 128.9.2).
  • Vulnerabilidad en EspoCRM (CVE-2025-32789)
    Severidad: BAJA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 18/06/2025
    EspoCRM es un software de gestión de relaciones con clientes de código abierto. Antes de la versión 9.0.7, los usuarios podían ordenarse por el hash de su contraseña. Esta falla permite a un atacante suponer los valores hash de otros usuarios almacenados en la columna de contraseñas de la tabla de usuarios, basándose en los resultados de la lista ordenada de usuarios. Aunque es improbable, si un atacante conoce el valor hash de su contraseña, puede cambiarla y repetir la ordenación hasta que se revele completamente el hash de la contraseña del otro usuario. Este problema se solucionó en la versión 9.0.7.
  • Vulnerabilidad en Drupal Drupal 8 Google Optimize Hide Page (CVE-2025-3739)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 18/06/2025
    Vulnerabilidad en Drupal Drupal 8 Google Optimize Hide Page. Este problema afecta a Drupal 8 Google Optimize Hide Page: *.*.
  • Vulnerabilidad en Drupal COOKiES Consent Management (CVE-2025-48914)
    Severidad: ALTA
    Fecha de publicación: 13/06/2025
    Fecha de última actualización: 18/06/2025
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Drupal COOKiES Consent Management permite Cross-Site Scripting (XSS). Este problema afecta a COOKiES Consent Management: desde la versión 0.0.0 hasta la 1.2.15.
  • Vulnerabilidad en Drupal COOKiES Consent Management (CVE-2025-48915)
    Severidad: ALTA
    Fecha de publicación: 13/06/2025
    Fecha de última actualización: 18/06/2025
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Drupal COOKiES Consent Management permite Cross-Site Scripting (XSS). Este problema afecta a COOKiES Consent Management: desde la versión 0.0.0 hasta la 1.2.15.