Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2024-39710)
    Severidad: CRÍTICA
    Fecha de publicación: 13/11/2024
    Fecha de última actualización: 11/07/2025
    La inyección de argumentos en Ivanti Connect Secure anterior a la versión 22.7R2 y 9.1R18.7 y en Ivanti Policy Secure anterior a la versión 22.7R1.1 permite que un atacante remoto autenticado con privilegios de administrador logre la ejecución remota de código.
  • Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2024-39711)
    Severidad: CRÍTICA
    Fecha de publicación: 13/11/2024
    Fecha de última actualización: 11/07/2025
    La inyección de argumentos en Ivanti Connect Secure anterior a la versión 22.7R2.1 y 9.1R18.7 y en Ivanti Policy Secure anterior a la versión 22.7R1.1 permite que un atacante remoto autenticado con privilegios de administrador logre la ejecución remota de código.
  • Vulnerabilidad en Ivanti Connect Secure e Ivanti Policy Secure (CVE-2024-39712)
    Severidad: CRÍTICA
    Fecha de publicación: 13/11/2024
    Fecha de última actualización: 11/07/2025
    La inyección de argumentos en Ivanti Connect Secure anterior a la versión 22.7R2.1 y 9.1R18.7 y en Ivanti Policy Secure anterior a la versión 22.7R1.1 permite que un atacante remoto autenticado con privilegios de administrador logre la ejecución remota de código.
  • Vulnerabilidad en Constant Contact Forms de MailMunch para WordPress (CVE-2024-9614)
    Severidad: MEDIA
    Fecha de publicación: 13/11/2024
    Fecha de última actualización: 11/07/2025
    El complemento Constant Contact Forms de MailMunch para WordPress es vulnerable a ataques de Cross Site Scripting reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta la 2.1.2 incluida. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
  • Vulnerabilidad en Nagios Network Analyzer 2024R1.0.3 (CVE-2025-28131)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 11/07/2025
    Una vulnerabilidad de control de acceso erróneo en Nagios Network Analyzer 2024R1.0.3 permite a usuarios con privilegios bajos y acceso de "Solo lectura" realizar acciones administrativas, como detener servicios del sistema y eliminar recursos críticos. Esta falla surge debido a una aplicación incorrecta de autorizaciones, lo que permite modificaciones no autorizadas que comprometen la integridad y la disponibilidad del sistema.
  • Vulnerabilidad en Dylan James Zephyr Project Manager (CVE-2025-32526)
    Severidad: ALTA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 11/07/2025
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Dylan James Zephyr Project Manager permite XSS reflejado. Este problema afecta a Zephyr Project Manager desde n/d hasta la versión 3.3.101.
  • Vulnerabilidad en Phoneservice (CVE-2025-1532)
    Severidad: ALTA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 11/07/2025
    El módulo Phoneservice está afectado por una vulnerabilidad de inyección de código; la explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad e integridad del servicio.
  • Vulnerabilidad en GameCenter (CVE-2025-2188)
    Severidad: ALTA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 11/07/2025
    Hay un mecanismo de elusión de lista blanca en GameCenter; la explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad e integridad del servicio.
  • Vulnerabilidad en Browser (CVE-2025-2197)
    Severidad: MEDIA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 11/07/2025
    Browser, está afectado por una vulnerabilidad de confusión de tipos; la explotación exitosa de esta vulnerabilidad puede afectar la disponibilidad del servicio.
  • Vulnerabilidad en Nagios Network Analyzer 2024R1.0.3 (CVE-2025-28059)
    Severidad: ALTA
    Fecha de publicación: 18/04/2025
    Fecha de última actualización: 11/07/2025
    Una vulnerabilidad de control de acceso en Nagios Network Analyzer 2024R1.0.3 permite que usuarios eliminados conserven el acceso a los recursos del sistema debido a la invalidación incorrecta de sesiones y al manejo de tokens obsoletos. Cuando un administrador elimina una cuenta de usuario, el backend no finaliza las sesiones activas ni revoca los tokens de API asociados, lo que permite el acceso no autorizado a funciones restringidas.
  • Vulnerabilidad en Beaver Builder Plugin (Starter Version) para WordPress (CVE-2025-4102)
    Severidad: ALTA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 11/07/2025
    El complemento Beaver Builder Plugin (Starter Version) para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función "save_enabled_icons" en todas las versiones hasta la 2.9.1 (incluida). Esto permite que atacantes autenticados, con acceso de administrador o superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que podría posibilitar la ejecución remota de código. La vulnerabilidad se corrigió parcialmente en la versión 2.9.1.
  • Vulnerabilidad en Dell PowerScale OneFS (CVE-2024-53298)
    Severidad: CRÍTICA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 11/07/2025
    Dell PowerScale OneFS, versiones 9.5.0.0 a 9.10.0.1, presenta una vulnerabilidad de falta de autorización en la exportación de NFS. Un atacante no autenticado con acceso remoto podría explotar esta vulnerabilidad, lo que provocaría acceso no autorizado al sistema de archivos. El atacante podría leer, modificar y eliminar archivos arbitrarios. Esta vulnerabilidad se considera crítica, ya que puede utilizarse para comprometer completamente el sistema. Dell recomienda a los clientes actualizar a la versión anterior.
  • Vulnerabilidad en Dell PowerScale OneFS (CVE-2025-32753)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 11/07/2025
    Dell PowerScale OneFS, versiones 9.5.0.0 a 9.10.0.1, presenta una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL (inyección SQL). Un atacante con privilegios reducidos y acceso local podría explotar esta vulnerabilidad, lo que provocaría denegación de servicio, divulgación y manipulación de información.
  • Vulnerabilidad en code-projects Responsive Blog 1.0/1.12.4/3.3.4 (CVE-2025-6347)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 11/07/2025
    Se encontró una vulnerabilidad en code-projects Responsive Blog 1.0/1.12.4/3.3.4. Se ha declarado problemática. Esta vulnerabilidad afecta al código desconocido del archivo /responsive/resblog/blogadmin/admin/pageViewMembers.php. La manipulación provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Responsive Blog 1.0 (CVE-2025-6353)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 11/07/2025
    Se encontró una vulnerabilidad clasificada como problemática en code-projects Responsive Blog 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /search.php. La manipulación de la palabra clave "argument" provoca ataques de cross site scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Client Details System 1.0 (CVE-2025-6446)
    Severidad: MEDIA
    Fecha de publicación: 21/06/2025
    Fecha de última actualización: 11/07/2025
    Se ha detectado una vulnerabilidad clasificada como crítica en code-projects Client Details System 1.0. Este problema afecta a un procesamiento desconocido del archivo /clientdetails/admin/index.php. La manipulación del argumento "Username" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en code-projects Online Shopping Store 1.0 (CVE-2025-6484)
    Severidad: MEDIA
    Fecha de publicación: 22/06/2025
    Fecha de última actualización: 11/07/2025
    Se encontró una vulnerabilidad en code-projects Online Shopping Store 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /action.php. La manipulación del argumento cat_id/brand_id/keyword/proId/pid provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHOENIX CONTACT GmbH & Co. KG (CVE-2025-24002)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 11/07/2025
    Un atacante remoto no autenticado puede usar mensajes MQTT para bloquear un servicio en estaciones de carga que cumplen con la Ley de Calibración Alemana, lo que genera una denegación de servicio temporal para estas estaciones hasta que sean reiniciadas por el organismo de control.
  • Vulnerabilidad en PHOENIX CONTACT GmbH & Co. KG (CVE-2025-24003)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 11/07/2025
    Un atacante remoto no autenticado puede usar mensajes MQTT para activar escrituras fuera de los límites en estaciones de carga que cumplen con la Ley de calibración alemana, lo que genera una pérdida de integridad solo para EichrechtAgents y una posible denegación de servicio para estas estaciones.
  • Vulnerabilidad en PHOENIX CONTACT GmbH & Co. KG (CVE-2025-24004)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 11/07/2025
    Un atacante físico con acceso a la pantalla del dispositivo a través de USB-C puede enviar un mensaje al dispositivo que activa una copia no segura a un búfer, lo que genera una pérdida de integridad y una denegación de servicio temporal para las estaciones hasta que sean reiniciadas por el organismo de control.
  • Vulnerabilidad en PHOENIX CONTACT GmbH & Co. KG (CVE-2025-24005)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 11/07/2025
    Un atacante local con una cuenta de usuario local puede aprovechar un script vulnerable a través de SSH para escalar privilegios a root debido a una validación de entrada incorrecta.
  • Vulnerabilidad en PHOENIX CONTACT GmbH & Co. KG (CVE-2025-24006)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 11/07/2025
    Un atacante local con pocos privilegios puede aprovechar permisos inseguros a través de SSH en los dispositivos afectados para escalar privilegios a root.
  • Vulnerabilidad en PHOENIX CONTACT GmbH & Co. KG (CVE-2025-25268)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 11/07/2025
    Un atacante adyacente no autenticado puede modificar la configuración enviando solicitudes específicas a un endpoint de API, lo que genera acceso de lectura y escritura debido a la falta de autenticación.
  • Vulnerabilidad en PHOENIX CONTACT GmbH & Co. KG (CVE-2025-25269)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 11/07/2025
    Un atacante local no autenticado puede inyectar un comando que posteriormente se ejecuta como root, lo que provoca una escalada de privilegios.
  • Vulnerabilidad en PHOENIX CONTACT GmbH & Co. KG (CVE-2025-25270)
    Severidad: CRÍTICA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 11/07/2025
    Un atacante remoto no autenticado puede alterar la configuración del dispositivo de manera tal de obtener la ejecución remota de código como root con configuraciones específicas.
  • Vulnerabilidad en PHOENIX CONTACT GmbH & Co. KG (CVE-2025-25271)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 11/07/2025
    Un atacante adyacente no autenticado puede configurar un nuevo backend OCPP, debido a valores predeterminados inseguros para la interfaz de configuración.