Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en IBM Operational Decision Manager (CVE-2025-2824)
    Severidad: ALTA
    Fecha de publicación: 01/08/2025
    Fecha de última actualización: 14/08/2025
    IBM Operational Decision Manager 8.11.0.1, 8.11.1.0, 8.12.0.1, 9.0.0.1 y 9.5.0 podría permitir que un atacante remoto realice ataques de phishing mediante un ataque de redirección abierta. Al persuadir a la víctima para que visite un sitio web especialmente manipulado, un atacante remoto podría explotar esta vulnerabilidad para falsificar la URL mostrada y redirigir al usuario a un sitio web malicioso aparentemente confiable. Esto podría permitir al atacante obtener información altamente sensible o realizar nuevos ataques contra la víctima.
  • Vulnerabilidad en IBM QRadar SIEM (CVE-2025-33118)
    Severidad: MEDIA
    Fecha de publicación: 01/08/2025
    Fecha de última actualización: 14/08/2025
    IBM QRadar SIEM 7.5 a 7.5.0 Update Pack 12 es vulnerable a Cross-Site Scripting almacenado. Esta vulnerabilidad permite a los usuarios autenticados incrustar código JavaScript arbitrario en la interfaz web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales en una sesión de confianza.
  • Vulnerabilidad en Xerox FreeFlow Core (CVE-2025-8355)
    Severidad: ALTA
    Fecha de publicación: 08/08/2025
    Fecha de última actualización: 14/08/2025
    En Xerox FreeFlow Core versión 8.0.4, el manejo inadecuado de la entrada XML permite la inyección de entidades externas. Un atacante puede manipular XML malicioso que contenga referencias a URL internas, lo que resulta en Server-Side Request Forgery (SSRF).
  • Vulnerabilidad en Xerox FreeFlow Core (CVE-2025-8356)
    Severidad: CRÍTICA
    Fecha de publicación: 08/08/2025
    Fecha de última actualización: 14/08/2025
    En la versión 8.0.4 de Xerox FreeFlow Core, un atacante puede explotar una vulnerabilidad de Path Traversal para acceder a archivos no autorizados en el servidor. Esto puede provocar la ejecución remota de código (RCE), lo que permite al atacante ejecutar comandos arbitrarios en el sistema.
  • Vulnerabilidad en 7-Zip (CVE-2025-55188)
    Severidad: BAJA
    Fecha de publicación: 08/08/2025
    Fecha de última actualización: 14/08/2025
    7-Zip anterior a 25.01 no siempre maneja correctamente los enlaces simbólicos durante la extracción.
  • Vulnerabilidad en Tenda AC20 16.03.08.05 (CVE-2025-8810)
    Severidad: ALTA
    Fecha de publicación: 10/08/2025
    Fecha de última actualización: 14/08/2025
    Se encontró una vulnerabilidad clasificada como crítica en Tenda AC20 16.03.08.05. Esta vulnerabilidad afecta a la función strcpy del archivo /goform/SetFirewallCfg. La manipulación del argumento firewallEn provoca un desbordamiento del búfer en la pila. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Keras (CVE-2025-8747)
    Severidad: ALTA
    Fecha de publicación: 11/08/2025
    Fecha de última actualización: 14/08/2025
    Una vulnerabilidad de omisión del modo seguro en el método `Model.load_model` en las versiones 3.0.0 a 3.10.0 de Keras permite a un atacante lograr la ejecución de código arbitrario al convencer a un usuario de cargar un archivo de modelo `.keras` especialmente manipulado.
  • Vulnerabilidad en libcsp 2.0 (CVE-2025-51823)
    Severidad: MEDIA
    Fecha de publicación: 11/08/2025
    Fecha de última actualización: 14/08/2025
    libcsp 2.0 es vulnerable a desbordamiento de búfer en la función csp_eth_init() debido al manejo incorrecto del parámetro ifname. La función usa strcpy para copiar el nombre de la interfaz en un miembro de la estructura (ctx->name) sin validar la longitud de la entrada.
  • Vulnerabilidad en libcsp 2.0 (CVE-2025-51824)
    Severidad: MEDIA
    Fecha de publicación: 11/08/2025
    Fecha de última actualización: 14/08/2025
    libcsp 2.0 es vulnerable a un desbordamiento de búfer en la función csp_usart_open() en drivers/usart/zephyr.c.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-24999)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El control de acceso inadecuado en SQL Server permite que un atacante autorizado eleve privilegios en una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50153)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    Use after free en el Administrador de ventanas de escritorio permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50154)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    La exposición de información confidencial a un actor no autorizado en el Explorador de archivos de Windows permite que un atacante no autorizado realice suplantación de identidad a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50155)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El acceso a un recurso mediante un tipo incompatible ('confusión de tipos') en las notificaciones push de Windows permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50156)
    Severidad: MEDIA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El uso de recursos no inicializados en el Servicio de enrutamiento y acceso remoto de Windows (RRAS) permite que un atacante autorizado divulgue información a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50157)
    Severidad: MEDIA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El uso de recursos no inicializados en el Servicio de enrutamiento y acceso remoto de Windows (RRAS) permite que un atacante autorizado divulgue información a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50158)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    La condición de ejecución de tiempo de verificación y tiempo de uso (toctou) en Windows NTFS permite que un atacante no autorizado divulgue información localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50159)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    Use After Free en el protocolo de acceso remoto punto a punto (PPP) EAP-TLS permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50160)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El desbordamiento del búfer basado en montón en el Servicio de enrutamiento y acceso remoto de Windows (RRAS) permite que un atacante autorizado ejecute código a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50161)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    Desbordamiento de búfer basado en montón en Windows Win32K: GRFX permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50162)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El desbordamiento del búfer basado en montón en el Servicio de enrutamiento y acceso remoto de Windows (RRAS) permite que un atacante autorizado ejecute código a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50163)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El desbordamiento del búfer basado en montón en el Servicio de enrutamiento y acceso remoto de Windows (RRAS) permite que un atacante no autorizado ejecute código a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50164)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El desbordamiento del búfer basado en montón en el Servicio de enrutamiento y acceso remoto de Windows (RRAS) permite que un atacante autorizado ejecute código a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50165)
    Severidad: CRÍTICA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    La desreferencia de puntero no confiable en el componente de gráficos de Microsoft permite que un atacante no autorizado ejecute código a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50166)
    Severidad: MEDIA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El desbordamiento de enteros o envoltura en el Coordinador de transacciones distribuidas de Windows permite que un atacante autorizado divulgue información a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50167)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    La ejecución concurrente utilizando un recurso compartido con sincronización incorrecta ('condición de ejecución') en Windows Hyper-V permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-50171)
    Severidad: CRÍTICA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    La falta de autorización en el servidor de Escritorio remoto permite que un atacante no autorizado realice suplantación de identidad a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-53729)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El control de acceso inadecuado en Azure File Sync permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-53766)
    Severidad: CRÍTICA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    El desbordamiento del búfer basado en montón en Windows GDI+ permite que un atacante no autorizado ejecute código a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-53789)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 14/08/2025
    La falta de autenticación para una función crítica en la API de Windows StateRepository permite que un atacante autorizado eleve privilegios localmente.