Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Firefox (CVE-2025-3467)
    Severidad: MEDIA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 10/07/2025
    Existe una vulnerabilidad XSS en versiones de langgenius/dify anteriores a la 1.1.3, que afecta específicamente a los navegadores Firefox. Esta vulnerabilidad permite a un atacante obtener el token del administrador mediante el envío de un payload en el chat publicado. Cuando el administrador visualiza el contenido de la conversación a través de la función de monitorización/registro con Firefox, se activa la vulnerabilidad XSS, lo que podría exponer información confidencial del token al atacante.
  • Vulnerabilidad en Lightbox & Modal Popup WordPress Plugin – FooBox para WordPress (CVE-2025-5537)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 10/07/2025
    El complemento Lightbox & Modal Popup WordPress Plugin – FooBox para WordPress es vulnerable a cross site scripting almacenado mediante textos alternativos de imágenes en todas las versiones hasta la 2.7.34 incluida, debido a una limpieza de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de autor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
  • Vulnerabilidad en libsavsvc.so (CVE-2025-21008)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 10/07/2025
    La lectura fuera de los límites en el encabezado del frame de decodificación en libsavsvc.so anterior a Android 15 permite que atacantes locales provoquen corrupción en la memoria.
  • Vulnerabilidad en libsavsvc.so (CVE-2025-21009)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 10/07/2025
    La lectura fuera de los límites en la decodificación de un encabezado de marco mal formado en libsavsvc.so anterior a Android 15 permite que atacantes locales provoquen corrupción en la memoria.
  • Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2025-0293)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 10/07/2025
    La inyección de CLRF en Ivanti Connect Secure anterior a la versión 22.7R2.8 y en Ivanti Policy Secure anterior a la versión 22.7R1.5 permite que un atacante remoto autenticado con derechos de administrador escriba en un archivo de configuración protegido en el disco.