Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el Interniche-based TCP Stack en diferentes productos KTK ATE530S, SIDOOR, SIMATIC y SINAMICS de Siemens (CVE-2019-19300)
    Severidad: ALTA
    Fecha de publicación: 14/04/2020
    Fecha de última actualización: 08/07/2025
    Se ha identificado una vulnerabilidad en los Kits de Desarrollo/Evaluación para PROFINET IO: EK-ERTEC 200 (Todas las versiones), Kits de desarrollo/evaluación para PROFINET IO: EK-ERTEC 200P (Todas las versiones), KTK ATE530S (Todas las versiones), SIDOOR ATD430W (Todas las versiones), SIDOOR ATE530S COATED (Todas las versiones), SIDOOR ATE531S (Todas las versiones), SIMATIC ET 200SP Open Controller CPU 1515SP PC (incl. variantes SIPLUS) (Todas las versiones anteriores a V2. 0), SIMATIC ET 200SP Open Controller CPU 1515SP PC2 (incl. variantes SIPLUS) (Todas las versiones anteriores a V2.0), SIMATIC ET200AL IM157-1 PN (Todas las versiones), SIMATIC ET200MP IM155-5 PN HF (incl. variantes SIPLUS) (Todas las versiones posteriores o iguales a V4. 2), SIMATIC ET200SP IM155-6 MF HF (Todas las versiones), SIMATIC ET200SP IM155-6 PN HA (incl. variantes SIPLUS) (Todas las versiones), SIMATIC ET200SP IM155-6 PN HF (incl. variantes SIPLUS) (Todas las versiones posteriores o iguales a V4.2), SIMATIC ET200SP IM155-6 PN/2 HF (incl. variantes SIPLUS) (Todas las versiones posteriores o iguales a V4. 2), SIMATIC ET200SP IM155-6 PN/3 HF (incl. variantes SIPLUS) (Todas las versiones posteriores o iguales a V4.2), SIMATIC ET200ecoPN, CM 8x IO-Link, M12-L (Todas las versiones posteriores o iguales a V5.1.1), SIMATIC ET200ecoPN, DI 16x24VDC, M12-L (Todas las versiones posteriores o iguales a V5.1.1), SIMATIC ET200ecoPN, DI 8x24VDC, M12-L (Todas las versiones posteriores o iguales a V5.1. 1), SIMATIC ET200ecoPN, DIQ 16x24VDC/2A, M12-L (Todas las versiones posteriores o iguales a V5.1.1), SIMATIC ET200ecoPN, DQ 8x24VDC/0,5A, M12-L (Todas las versiones posteriores o iguales a V5.1. 1), SIMATIC ET200ecoPN, DQ 8x24VDC/2A, M12-L (Todas las versiones posteriores o iguales a V5.1.1), SIMATIC MICRO-DRIVE PDC (Todas las versiones), Acoplador SIMATIC PN/MF (Todas las versiones), Acoplador SIMATIC PN/PN (incl. SIPLUS NET) (Todas las versiones posteriores o iguales a V4.2), familia de CPUs SIMATIC S7-1200 (incl. variantes SIPLUS) (Todas las versiones anteriores a V4.4.0), familia de CPUs SIMATIC S7-1500 (incl. CPUs ET200 relacionadas y variantes SIPLUS) (Todas las versiones anteriores a V2. 0), SIMATIC S7-1500 Software Controller (Todas las versiones anteriores a V2.0), familia de CPUs SIMATIC S7-300 (incl. CPUs ET200 relacionadas y variantes SIPLUS) (Todas las versiones), familia de CPUs SIMATIC S7-400 H V6 e inferiores (incl. variantes SIPLUS) (Todas las versiones), familia de CPUs SIMATIC S7-400 PN/DP V7 e inferiores (incl. variantes SIPLUS) (Todas las versiones) SIPLUS) (Todas las versiones), familia de CPUs SIMATIC S7-410 (incl. variantes SIPLUS) (Todas las versiones), SIMATIC TDC CP51M1 (Todas las versiones), SIMATIC TDC CPU555 (Todas las versiones), SIMATIC WinAC RTX (F) 2010 (Todas las versiones), SINAMICS S/G Control Unit w. PROFINET (Todas las versiones). La pila TCP basada en Interniche puede verse obligada a realizar llamadas muy costosas por cada paquete entrante, lo que puede provocar una denegación de servicio
  • Vulnerabilidad en Masteriyo Masteriyo - LMS (CVE-2024-33939)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 08/07/2025
    Vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en Masteriyo Masteriyo - LMS. Acceso no autorizado al progreso del curso. Este problema afecta a Masteriyo - LMS desde n/d hasta la versión 1.7.3.
  • Vulnerabilidad en ZoomIt ZoomSounds (CVE-2025-47568)
    Severidad: CRÍTICA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 08/07/2025
    La vulnerabilidad de deserialización de datos no confiables en ZoomIt ZoomSounds permite la inyección de objetos. Este problema afecta a ZoomSounds desde n/d hasta la versión 6.91.
  • Vulnerabilidad en Apache NuttX RTOS (CVE-2025-35003)
    Severidad: CRÍTICA
    Fecha de publicación: 26/05/2025
    Fecha de última actualización: 08/07/2025
    Se descubrieron vulnerabilidades de restricción incorrecta de operaciones dentro de los límites de un búfer de memoria y desbordamiento de búfer basado en pila en la pila Bluetooth de Apache NuttX RTOS (componentes HCI y UART). Estas vulnerabilidades pueden provocar un bloqueo del sistema, una denegación de servicio o la ejecución de código arbitrario tras recibir paquetes maliciosos. Se recomienda a los usuarios de la pila Bluetooth HCI/UART de NuttX que actualicen a la versión 12.9.0, que corrige los problemas de implementación identificados. Este problema afecta a Apache NuttX desde la versión 7.25 hasta la 12.9.0.
  • Vulnerabilidad en wpjobportal WP Job Portal (CVE-2025-48274)
    Severidad: CRÍTICA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/07/2025
    Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en wpjobportal WP Job Portal permite la inyección SQL ciega. Este problema afecta a WP Job Portal desde n/d hasta la versión 2.3.2.
  • Vulnerabilidad en Apache SeaTunnel (CVE-2025-32896)
    Severidad: MEDIA
    Fecha de publicación: 19/06/2025
    Fecha de última actualización: 08/07/2025
    Resumen: Usuarios no autorizados pueden realizar ataques de lectura arbitraria de archivos y deserialización al enviar trabajos con RESTful API-v1. # Detalles: Usuarios no autorizados pueden acceder a `/hazelcast/rest/maps/submit-job` para enviar trabajos. Un atacante puede establecer parámetros adicionales en la URL de MySQL para realizar ataques de lectura arbitraria de archivos y deserialización. Este problema afecta a Apache SeaTunnel: <=2.3.10 # Corregido: Se recomienda a los usuarios actualizar a la versión 2.3.11 y habilitar RESTful API-v2 y la autenticación bidireccional HTTPS abierta, lo que soluciona el problema.