Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en un código http en un archivo .json en el campo Notebook/Page name en Codex (CVE-2021-43635)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2022
    Fecha de última actualización: 20/06/2025
    Se presenta una vulnerabilidad de tipo Cross Site Scripting (XSS) en Codex versiones anteriores a 1.4.0, por medio del campo Notebook/Page name, que permite a usuarios maliciosos ejecutar código arbitrario por medio de un código http diseñado en un archivo .json
  • Vulnerabilidad en RARLAB WinRAR (CVE-2024-30370)
    Severidad: MEDIA
    Fecha de publicación: 02/04/2024
    Fecha de última actualización: 20/06/2025
    Vulnerabilidad de omisión de marca de la web en RARLAB WinRAR. Esta vulnerabilidad permite a atacantes remotos eludir el mecanismo de protección Mark-Of-The-Web en las instalaciones afectadas de RARLAB WinRAR. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe realizar una acción específica en una página maliciosa. La falla específica existe dentro de la funcionalidad de extracción de archivos. Una entrada de archivo manipulada puede provocar la creación de un archivo arbitrario sin la marca de la web. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del usuario actual. Era ZDI-CAN-23156.
  • Vulnerabilidad en AbrhilSoft (CVE-2022-43216)
    Severidad: CRÍTICA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 20/06/2025
    Se descubrió que el portal del empleado de AbrhilSoft anterior a v5.6.2 contenía una vulnerabilidad de inyección SQL en la página de inicio de sesión.
  • Vulnerabilidad en Insurance Management System v1.0 (CVE-2024-31648)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 20/06/2025
    Cross Site Scripting (XSS) en Insurance Management System v1.0, permite a atacantes remotos ejecutar scripts web o HTML arbitrario a través de un payload manipulado inyectado en el parámetro Nombre de categoría en /core/new_category2.
  • Vulnerabilidad en Fireboltt Dream Wristphone BSW202_FB_AAC_v2.0_20240110-20240110-1956 (CVE-2024-30656)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 20/06/2025
    Un problema en Fireboltt Dream Wristphone BSW202_FB_AAC_v2.0_20240110-20240110-1956 permite a los atacantes provocar una denegación de servicio (DoS) a través de un frame de autenticación manipulado.
  • Vulnerabilidad en Cosmetics and Beauty Product Online Store v1.0 (CVE-2024-31651)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 20/06/2025
    Cross-site scripting (XSS) en Cosmetics and Beauty Product Online Store v1.0 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro Nombre.
  • Vulnerabilidad en Hikvision Interactive Tablet DS-D5B86RB/B V2.3.0 build220119 (CVE-2023-33806)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 20/06/2025
    Las configuraciones predeterminadas inseguras en Hikvision Interactive Tablet DS-D5B86RB/B V2.3.0 build220119 permiten a los atacantes ejecutar comandos arbitrarios.
  • Vulnerabilidad en Oracle Production Scheduling de Oracle E-Business Suite (CVE-2024-21088)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 20/06/2025
    Vulnerabilidad en el producto Oracle Production Scheduling de Oracle E-Business Suite (componente: Import Utility). Las versiones compatibles que se ven afectadas son 12.2.4-12.2.12. Una vulnerabilidad fácilmente explotable permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa la programación de producción de Oracle. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Production Scheduling. CVSS 3.1 Puntaje base 7.5 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N).
  • Vulnerabilidad en RARLAB WinRAR (CVE-2024-33899)
    Severidad: ALTA
    Fecha de publicación: 29/04/2024
    Fecha de última actualización: 20/06/2025
    RARLAB WinRAR anterior a 7.00, en plataformas Linux y UNIX, permite a los atacantes falsificar la salida de la pantalla o provocar una denegación de servicio mediante secuencias de escape ANSI.
  • Vulnerabilidad en RARLAB WinRAR (CVE-2023-40477)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 20/06/2025
    Validación incorrecta del volumen de recuperación de RARLAB WinRAR de la vulnerabilidad de ejecución remota de código del índice de matriz. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de RARLAB WinRAR. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el procesamiento de volúmenes de recuperación. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar un acceso a la memoria más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-21233.
  • Vulnerabilidad en RARLAB WinRAR (CVE-2024-36052)
    Severidad: ALTA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 20/06/2025
    RARLAB WinRAR anterior a 7.00, en Windows, permite a los atacantes falsificar la salida de la pantalla mediante secuencias de escape ANSI, un problema diferente al CVE-2024-33899.
  • Vulnerabilidad en uploadAudio de inxedu v2024.4 (CVE-2024-35079)
    Severidad: CRÍTICA
    Fecha de publicación: 23/05/2024
    Fecha de última actualización: 20/06/2025
    Una vulnerabilidad de carga de archivos arbitrarios en el método uploadAudio de inxedu v2024.4 permite a los atacantes ejecutar código arbitrario cargando un archivo .jsp manipulado.
  • Vulnerabilidad en gok4 de inxedu v2024.4 p (CVE-2024-35080)
    Severidad: CRÍTICA
    Fecha de publicación: 23/05/2024
    Fecha de última actualización: 20/06/2025
    Una vulnerabilidad de carga de archivos arbitrarios en el método gok4 de inxedu v2024.4 permite a los atacantes ejecutar código arbitrario cargando un archivo .jsp manipulado.
  • Vulnerabilidad en inxedu v2.0.6 (CVE-2024-35570)
    Severidad: CRÍTICA
    Fecha de publicación: 23/05/2024
    Fecha de última actualización: 20/06/2025
    Una vulnerabilidad de carga de archivos arbitrarios en el componente \controller\ImageUploadController.class de inxedu v2.0.6 permite a los atacantes ejecutar código arbitrario cargando un archivo jsp manipulado.
  • Vulnerabilidad en Ivanti Secure Access Client para Windows (CVE-2023-38042)
    Severidad: ALTA
    Fecha de publicación: 31/05/2024
    Fecha de última actualización: 20/06/2025
    Una vulnerabilidad de escalada de privilegios local en Ivanti Secure Access Client para Windows permite a un usuario con pocos privilegios ejecutar código como SYSTEM.
  • Vulnerabilidad en Ivanti Secure Access Client para Linux (CVE-2023-46810)
    Severidad: ALTA
    Fecha de publicación: 31/05/2024
    Fecha de última actualización: 20/06/2025
    Una vulnerabilidad de escalada de privilegios local en Ivanti Secure Access Client para Linux anterior a 22.7R1 permite a un usuario con pocos privilegios ejecutar código como root.
  • Vulnerabilidad en Ivanti EPM (CVE-2024-22058)
    Severidad: ALTA
    Fecha de publicación: 31/05/2024
    Fecha de última actualización: 20/06/2025
    Un desbordamiento del búfer permite que un usuario con privilegios bajos en la máquina local que tiene instalado el Agente EPM ejecute código arbitrario con permisos elevados en Ivanti EPM 2021.1 y versiones anteriores.
  • Vulnerabilidad en FreeCoAP v.0.7 de Keith Cullen (CVE-2024-31030)
    Severidad: CRÍTICA
    Fecha de publicación: 31/05/2024
    Fecha de última actualización: 20/06/2025
    Un problema en coap_msg.c en FreeCoAP v.0.7 de Keith Cullen permite a atacantes remotos provocar una denegación de servicio o potencialmente revelar información a través de un paquete especialmente manipulado.
  • Vulnerabilidad en Pexip Infinity (CVE-2024-33850)
    Severidad: MEDIA
    Fecha de publicación: 10/06/2024
    Fecha de última actualización: 20/06/2025
    Pexip Infinity anterior a 34.1 tiene Control de Acceso Inadecuado para personas en sala de espera. Pueden ver la lista de la conferencia y realizar ciertas acciones que no deberían permitirse antes de ser admitidos a la reunión.