Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en ARTEC EMA Mail v6.92 (CVE-2025-46611)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 02/07/2025
    La vulnerabilidad de Cross Site Scripting en ARTEC EMA Mail v6.92 permite a un atacante ejecutar código arbitrario a través de un script especialmente manipulado.
  • Vulnerabilidad en FCGI para Perl (CVE-2025-40907)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2025
    Fecha de última actualización: 02/07/2025
    Las versiones 0.44 a 0.82 de FCGI para Perl incluyen una versión vulnerable de la librería FastCGI fcgi2 (también conocida como fcgi). Esta librería está afectada por CVE-2025-23016, lo que provoca un desbordamiento de enteros (y el consiguiente desbordamiento del búfer en el montón) mediante valores nameLen o valueLen manipulados en los datos del socket IPC. Esto ocurre en ReadParams de fcgiapp.c.
  • Vulnerabilidad en TagLib (CVE-2023-47466)
    Severidad: BAJA
    Fecha de publicación: 22/05/2025
    Fecha de última actualización: 02/07/2025
    TagLib anterior a 2.0 permite una violación de segmentación y un bloqueo de la aplicación durante la escritura de etiquetas a través de un archivo WAV manipulado en el que un fragmento id3 es el único fragmento válido.
  • Vulnerabilidad en zongzhige ShopXO 6.5.0 (CVE-2025-5108)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 02/07/2025
    Se encontró una vulnerabilidad en zongzhige ShopXO 6.5.0. Se ha clasificado como crítica. Este problema afecta la función de carga del archivo app/admin/controller/Payment.php del componente ZIP File Handler. La manipulación de los parámetros del argumento permite una carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en OpenEMR (CVE-2025-32967)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 02/07/2025
    OpenEMR es una aplicación gratuita y de código abierto para la gestión de historiales médicos electrónicos y consultorios médicos. Un error de registro en versiones anteriores a la 7.0.3.4 permite que los cambios de contraseña no se registren en el visor de registros del cliente, lo que impide a los administradores auditar acciones críticas. Esto debilita la trazabilidad y expone el sistema a un uso indebido imperceptible por parte de usuarios internos o atacantes. La versión 7.0.3.4 incluye un parche para este problema.
  • Vulnerabilidad en OpenEMR (CVE-2025-43860)
    Severidad: ALTA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 02/07/2025
    OpenEMR es una aplicación gratuita y de código abierto para la gestión de historiales médicos electrónicos y consultorios médicos. Una vulnerabilidad de cross-site scripting (XSS) almacenado en versiones anteriores a la 7.0.3.4 permite a cualquier usuario autenticado con privilegios de creación y edición de pacientes inyectar código JavaScript arbitrario en el sistema mediante la introducción de payloads maliciosos en (1) los campos de texto de Dirección, Línea de dirección 2, Código postal y Ciudad, y (2) las opciones del menú desplegable de Uso de dirección, Estado y País de la sección Direcciones adicionales de la pestaña Contacto en Datos demográficos del paciente. El script inyectado puede ejecutarse en dos escenarios: (1) dinámicamente durante la entrada del formulario y (2) cuando los datos del formulario se cargan posteriormente para su edición. La versión 7.0.3.4 incluye un parche para este problema.
  • Vulnerabilidad en OpenEMR (CVE-2025-32794)
    Severidad: ALTA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 02/07/2025
    OpenEMR es una aplicación gratuita y de código abierto para la gestión de historiales médicos electrónicos y consultas médicas. Una vulnerabilidad de cross-site scripting (XSS) almacenado en versiones anteriores a la 7.0.3.4 permite a cualquier usuario autenticado con privilegios para crear pacientes inyectar código JavaScript arbitrario en el sistema mediante la introducción de payloads maliciosos en los campos de Nombre y Apellido durante el registro del paciente. Este código se ejecuta posteriormente al visualizar la consulta del paciente en Órdenes ? Órdenes de procedimiento. La versión 7.0.3.4 incluye un parche para este problema.
  • Vulnerabilidad en Linksys (CVE-2025-5447)
    Severidad: MEDIA
    Fecha de publicación: 02/06/2025
    Fecha de última actualización: 02/07/2025
    Se encontró una vulnerabilidad en Linksys RE6500, RE6250, RE6300, RE6350, RE7000 y RE9000 1.0.013.001/1.0.04.001/1.0.04.002/1.1.05.003/1.2.07.001. Se ha declarado crítica. Esta vulnerabilidad afecta a la función ssid1MACFilter del archivo /goform/ssid1MACFilter. La manipulación del argumento apselect_%d/newap_text_%d provoca la inyección de comandos del sistema operativo. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en Hewlett Packard Enterprise (CVE-2025-37092)
    Severidad: ALTA
    Fecha de publicación: 02/06/2025
    Fecha de última actualización: 02/07/2025
    Existe una vulnerabilidad de ejecución remota de código por inyección de comandos en el software HPE StoreOnce.
  • Vulnerabilidad en Hewlett Packard Enterprise (CVE-2025-37093)
    Severidad: CRÍTICA
    Fecha de publicación: 02/06/2025
    Fecha de última actualización: 02/07/2025
    Existe una vulnerabilidad de omisión de autenticación en el software HPE StoreOnce.
  • Vulnerabilidad en Hewlett Packard Enterprise (CVE-2025-37094)
    Severidad: MEDIA
    Fecha de publicación: 02/06/2025
    Fecha de última actualización: 02/07/2025
    Existe una vulnerabilidad de eliminación arbitraria de archivos mediante directory traversal en el software HPE StoreOnce.