Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Voltronic Power ViewPower Pro (CVE-2023-51570)
    Severidad: CRÍTICA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 07/07/2025
    Vulnerabilidad de ejecución remota de código de deserialización de datos no confiables en Voltronic Power ViewPower Pro. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Voltronic Power ViewPower Pro. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la interfaz RMI, que escucha en el puerto TCP 41009 de forma predeterminada. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar la deserialización de datos que no son de confianza. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-21012.
  • Vulnerabilidad en Voltronic Power ViewPower Pro SocketService (CVE-2023-51571)
    Severidad: ALTA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 07/07/2025
    Vulnerabilidad de denegación de servicio de autenticación faltante en Voltronic Power ViewPower Pro SocketService. Esta vulnerabilidad permite a atacantes remotos crear una condición de denegación de servicio en las instalaciones afectadas de Voltronic Power ViewPower Pro. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del módulo SocketService, que escucha en el puerto UDP 41222 de forma predeterminada. El problema se debe a la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante puede aprovechar esta vulnerabilidad para crear una condición de denegación de servicio en el sistema. Era ZDI-CAN-21162.
  • Vulnerabilidad en Voltronic Power ViewPower Pro (CVE-2023-51572)
    Severidad: CRÍTICA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 07/07/2025
    Vulnerabilidad de ejecución remota de código de inyección de comando Voltronic Power ViewPower Pro getMacAddressByIp. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Voltronic Power ViewPower Pro. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la función getMacAddressByIP. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-21163.
  • Vulnerabilidad en Voltronic Power ViewPower Pro updateManagerPassword (CVE-2023-51573)
    Severidad: CRÍTICA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 07/07/2025
    Vulnerabilidad de omisión de autenticación de función peligrosa expuesta en Voltronic Power ViewPower Pro updateManagerPassword. Esta vulnerabilidad permite a atacantes remotos eludir la autenticación en las instalaciones afectadas de Voltronic Power ViewPower Pro. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la función updateManagerPassword. El problema resulta de la exposición de una función peligrosa. Un atacante puede aprovechar esta vulnerabilidad para eludir la autenticación en el sistema. Era ZDI-CAN-21203.
  • Vulnerabilidad en PDF-XChange Editor (CVE-2024-27330)
    Severidad: BAJA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 07/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el componente EMF File Parsing de PDF-XChange Editor. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de PDF-XChange Editor. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos EMF. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-22286.
  • Vulnerabilidad en PDF-XChange Editor (CVE-2024-27331)
    Severidad: BAJA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 07/07/2025
    Vulnerabilidad de divulgación de información de lectura fuera de los límites en el componente EMF File Parsing de PDF-XChange Editor. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de PDF-XChange Editor. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos EMF. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-22287.
  • Vulnerabilidad en PDF-XChange Editor (CVE-2024-27332)
    Severidad: BAJA
    Fecha de publicación: 01/04/2024
    Fecha de última actualización: 07/07/2025
    Vulnerabilidad de divulgación de información por una lectura fuera de los límites en el componente JPG File Parsing de PDF-XChange Editor. Esta vulnerabilidad permite a atacantes remotos revelar información confidencial sobre las instalaciones afectadas de PDF-XChange Editor. Se requiere la interacción del usuario para aprovechar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el análisis de archivos JPG. El problema se debe a la falta de validación adecuada de los datos proporcionados por el usuario, lo que puede provocar una lectura más allá del final de un objeto asignado. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto del proceso actual. Era ZDI-CAN-22288.
  • Vulnerabilidad en amoyjs amoy common v1.0.10 (CVE-2024-38994)
    Severidad: ALTA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 07/07/2025
    Se descubrió que amoyjs amoy common v1.0.10 contiene un prototipo de contaminación a través de la función extender. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario o provocar una denegación de servicio (DoS) mediante la inyección de propiedades arbitrarias.
  • Vulnerabilidad en adolph_dudu ratio-swiper v0.0.2 (CVE-2024-38997)
    Severidad: MEDIA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 07/07/2025
    Se descubrió que adolph_dudu ratio-swiper v0.0.2 contiene un prototipo de contaminación a través de la función extendDefaults. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario o provocar una denegación de servicio (DoS) mediante la inyección de propiedades arbitrarias.
  • Vulnerabilidad en adolph_dudu ratio-swiper v0.0.2 (CVE-2024-39000)
    Severidad: MEDIA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 07/07/2025
    Se descubrió que adolph_dudu ratio-swiper v0.0.2 contiene un prototipo de contaminación a través de la función de análisis. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario o provocar una denegación de servicio (DoS) mediante la inyección de propiedades arbitrarias.
  • Vulnerabilidad en rjrodger jsonic-next v2.12.1 (CVE-2024-39002)
    Severidad: MEDIA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 07/07/2025
    Se descubrió que rjrodger jsonic-next v2.12.1 contenía un prototipo de contaminación a través de la función util.clone. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario o provocar una denegación de servicio (DoS) mediante la inyección de propiedades arbitrarias.
  • Vulnerabilidad en amoyjs amoy common v1.0.10 (CVE-2024-39003)
    Severidad: ALTA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 07/07/2025
    Se descubrió que amoyjs amoy common v1.0.10 contiene un prototipo de contaminación a través de la función setValue. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario o provocar una denegación de servicio (DoS) mediante la inyección de propiedades arbitrarias.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21191)
    Severidad: ALTA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 07/07/2025
    La condición de ejecución de tiempo de uso y tiempo de verificación (toctou) en la Autoridad de seguridad local (LSA) de Windows permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Daily Expense Manager v1.0 (CVE-2025-40731)
    Severidad: ALTA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 07/07/2025
    Vulnerabilidad de inyección SQL en Daily Expense Manager v1.0. Esta vulnerabilidad permite a un atacante recuperar, crear, actualizar y eliminar bases de datos mediante los parámetros pname, pprice e id en /update.php.
  • Vulnerabilidad en Daily Expense Manager v1.0 (CVE-2025-40732)
    Severidad: ALTA
    Fecha de publicación: 30/06/2025
    Fecha de última actualización: 07/07/2025
    Vulnerabilidad de enumeración de usuarios en Daily Expense Manager v1.0. Para explotar esta vulnerabilidad, se debe enviar una solicitud POST con el parámetro de nombre en /check.php.