Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Samsung (CVE-2024-20867)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/07/2025
    Una vulnerabilidad de gestión de privilegios inadecuada en Samsung Email anterior a la versión 6.1.91.14 permite a atacantes locales acceder a información confidencial.
  • Vulnerabilidad en Samsung (CVE-2024-20868)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 17/07/2025
    La validación de entrada incorrecta en Samsung Notes anterior a la versión 4.4.15 permite a atacantes locales eliminar archivos con privilegios de Samsung Notes bajo ciertas condiciones.
  • Vulnerabilidad en imartinez/privategpt (CVE-2024-5936)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2024
    Fecha de última actualización: 17/07/2025
    Existe una vulnerabilidad de redireccionamiento abierto en imartinez/privategpt versión 0.5.0 debido al manejo inadecuado del parámetro 'archivo'. Esta vulnerabilidad permite a los atacantes redirigir a los usuarios a una URL especificada mediante una entrada controlada por el usuario sin una validación o sanitización adecuada. El impacto de esta vulnerabilidad incluye posibles ataques de phishing, distribución de malware y robo de credenciales.
  • Vulnerabilidad en Python (CVE-2024-4343)
    Severidad: CRÍTICA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 17/07/2025
    Existe una vulnerabilidad de inyección de comandos de Python en el método `complete()` de la clase `SagemakerLLM` dentro de `./private_gpt/components/llm/custom/sagemaker.py` de la aplicación imartinez/privategpt, versiones hasta la 0.3.0 incluida. La vulnerabilidad surge debido al uso de la función `eval()` para analizar una cadena recibida desde un punto de conexión remoto de AWS SageMaker LLM en un diccionario. Este método de análisis no es seguro ya que puede ejecutar código Python arbitrario contenido en la respuesta. Un atacante puede explotar esta vulnerabilidad manipulando la respuesta del punto de conexión de AWS SageMaker LLM para incluir código Python malicioso, lo que lleva a la posible ejecución de comandos arbitrarios en el sistema que aloja la aplicación. El problema se solucionó en la versión 0.6.0.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20894)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 17/07/2025
    El control de acceso inadecuado en Samsung Email anterior a la versión 6.1.97.1 permite a atacantes físicos acceder a datos de múltiples perfiles de usuario.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20898)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 17/07/2025
    La validación de entrada incorrecta en Samsung Members anterior a la versión 5.2.00.12 permite a atacantes físicos acceder a datos de múltiples perfiles de usuario.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20900)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 17/07/2025
    Fuera de los límites escribe en Blockchain Keystore antes de la versión 1.3.16.5 permite a atacantes privilegiados locales escribir en fuera de los límites de la memoria.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20901)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 17/07/2025
    Fuera de los límites leído en Blockchain Keystore anterior a la versión 1.3.16.5 permite a atacantes privilegiados locales leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20913)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 17/07/2025
    La lectura fuera de los límites al aplicar binarios de contenido de dibujo en Samsung Notes anteriores a la versión 4.4.26.71 permite a los atacantes leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20914)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 17/07/2025
    La lectura fuera de los límites al aplicar código binario de contenido escrito a mano en Samsung Notes anterior a la versión 4.4.26.71 permite a los atacantes leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Notes (CVE-2025-20915)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 17/07/2025
    La lectura fuera de los límites al aplicar código binario de contenido de voz en Samsung Notes anterior a la versión 4.4.26.71 permite a los atacantes leer memoria fuera de los límites.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20949)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 17/07/2025
    La vulnerabilidad de path traversal en Samsung Members anterior a la versión 5.0.00.11 permite a los atacantes leer y escribir archivos arbitrarios con el privilegio de Samsung Members.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20976)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 17/07/2025
    La lectura fuera de los límites al aplicar código binario al contenido de texto en Samsung Notes anterior a la versión 4.4.29.23 permite a los atacantes leer memoria fuera de los límites.
  • Vulnerabilidad en Dynamics 365 FastTrack Implementation Assets (CVE-2025-49715)
    Severidad: ALTA
    Fecha de publicación: 20/06/2025
    Fecha de última actualización: 17/07/2025
    La exposición de información personal privada a un actor no autorizado en Dynamics 365 FastTrack Implementation Assets permite que un atacante no autorizado divulgue información a través de una red.
  • Vulnerabilidad en Alteryx Server 2023.1.1.460 (CVE-2025-28244)
    Severidad: ALTA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 17/07/2025
    La vulnerabilidad de permisos inseguros en el almacenamiento local en Alteryx Server 2023.1.1.460 permite a atacantes remotos obtener tokens de sesión de usuario válidos de localStorage, lo que lleva a la toma de control de la cuenta.
  • Vulnerabilidad en Alteryx Server 2023.1.1.460 (CVE-2025-28245)
    Severidad: MEDIA
    Fecha de publicación: 10/07/2025
    Fecha de última actualización: 17/07/2025
    La vulnerabilidad de cross-site scripting (XSS) en Alteryx Server 2023.1.1.460 permite a atacantes remotos inyectar script web o HTML arbitrarios a través del cuerpo de la notificación.
  • Vulnerabilidad en Order Delivery Date de WordPress (CVE-2025-2942)
    Severidad: MEDIA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 17/07/2025
    El complemento Order Delivery Date de WordPress anterior a la versión 12.6.0 revela títulos de publicaciones arbitrarios (como borradores y publicaciones privadas) a través de una acción AJAX no autenticada, lo que permite a los atacantes recuperar dicha información.
  • Vulnerabilidad en GeoDirectory para WordPress (CVE-2025-6200)
    Severidad: MEDIA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 17/07/2025
    El complemento GeoDirectory para WordPress anterior a la versión 2.8.120 no valida ni escapa algunos de los atributos de su código corto antes de mostrarlos nuevamente en una página o publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con rol de colaborador o superior realizar ataques de cross-site scripting almacenado.