Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Sage 1000 v7.0.0 (CVE-2024-48646)
    Severidad: ALTA
    Fecha de publicación: 30/10/2024
    Fecha de última actualización: 27/06/2025
    Existe una vulnerabilidad de carga de archivos sin restricciones en Sage 1000 v7.0.0 que permite a los usuarios autorizados cargar archivos sin la validación adecuada. Un atacante podría aprovechar esta vulnerabilidad cargando archivos maliciosos, como HTML, scripts u otro contenido ejecutable, que se pueden ejecutar en el servidor, lo que provocaría un mayor riesgo para el sistema.
  • Vulnerabilidad en Sage 1000 v7.0.0 (CVE-2024-48647)
    Severidad: ALTA
    Fecha de publicación: 30/10/2024
    Fecha de última actualización: 27/06/2025
    Existe una vulnerabilidad de divulgación de archivos en Sage 1000 v7.0.0. Esta vulnerabilidad permite a atacantes remotos recuperar archivos arbitrarios del sistema de archivos del servidor manipulando el parámetro URL en las solicitudes HTTP. El atacante puede aprovechar esta falla para acceder a información confidencial, incluidos archivos de configuración que pueden contener credenciales y configuraciones del sistema, lo que podría provocar un mayor compromiso del servidor.
  • Vulnerabilidad en Sage 1000 v 7.0.0 (CVE-2024-48648)
    Severidad: MEDIA
    Fecha de publicación: 30/10/2024
    Fecha de última actualización: 27/06/2025
    Existe una vulnerabilidad de Cross Site Scripting (XSS) Reflejado en Sage 1000 v 7.0.0. Esta vulnerabilidad permite a los atacantes inyectar secuencias de comandos maliciosas en las URL, que el servidor refleja en la respuesta sin la codificación ni la desinfección adecuadas.
  • Vulnerabilidad en JeecgBoot v3.7.1 (CVE-2024-48307)
    Severidad: CRÍTICA
    Fecha de publicación: 31/10/2024
    Fecha de última actualización: 27/06/2025
    Se descubrió que JeecgBoot v3.7.1 contenía una vulnerabilidad de inyección SQL a través del componente /onlDragDatasetHead/getTotalData.
  • Vulnerabilidad en Apache Wicket (CVE-2024-53299)
    Severidad: MEDIA
    Fecha de publicación: 23/01/2025
    Fecha de última actualización: 27/06/2025
    La gestión de solicitudes en el núcleo de Apache Wicket 7.0.0 en cualquier plataforma permite a un atacante crear un ataque de denegación de servicio (DOS) mediante múltiples solicitudes a los recursos del servidor. Se recomienda a los usuarios actualizar a las versiones 9.19.0 o 10.3.0, que solucionan este problema.
  • Vulnerabilidad en Online Pizza Delivery System 1.0 (CVE-2024-57326)
    Severidad: MEDIA
    Fecha de publicación: 23/01/2025
    Fecha de última actualización: 27/06/2025
    Existe una vulnerabilidad Cross-Site Scripting (XSS) Reflejado en el archivo search.php de Online Pizza Delivery System 1.0. La vulnerabilidad permite a un atacante ejecutar código JavaScript arbitrario en el navegador a través de la entrada no desinfectada que se pasa a través del parámetro de búsqueda.
  • Vulnerabilidad en PAN-OS de Palo Alto Networks (CVE-2025-0108)
    Severidad: ALTA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 27/06/2025
    Una omisión de autenticación en el software PAN-OS de Palo Alto Networks permite que un atacante no autenticado con acceso a la red a la interfaz web de administración omita la autenticación que de otro modo requeriría la interfaz web de administración de PAN-OS e invoque ciertos scripts PHP. Si bien la invocación de estos scripts PHP no permite la ejecución remota de código, puede afectar negativamente la integridad y la confidencialidad de PAN-OS. Puede reducir en gran medida el riesgo de este problema al restringir el acceso a la interfaz web de administración solo a direcciones IP internas confiables de acuerdo con nuestras pautas de implementación de mejores prácticas recomendadas https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431 . Este problema no afecta al software Cloud NGFW ni a Prisma Access.