Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en aiohttp (CVE-2024-52303)
    Severidad: ALTA
    Fecha de publicación: 18/11/2024
    Fecha de última actualización: 15/08/2025
    aiohttp es un framework de trabajo de cliente/servidor HTTP asincrónico para asyncio y Python. En las versiones a partir de la 3.10.6 y anteriores a la 3.10.11, puede producirse una pérdida de memoria cuando una solicitud produce un MatchInfoError. Esto se debía a que se añadía una entrada a una memoria caché en cada solicitud, debido a que la creación de cada MatchInfoError producía una entrada de memoria caché única. Un atacante podría agotar los recursos de memoria de un servidor enviando una cantidad sustancial (entre cientos y millones) de dichas solicitudes. Quienes utilicen cualquier middleware con aiohttp.web deberían actualizar a la versión 3.10.11 para recibir un parche.
  • Vulnerabilidad en IBM Tivoli Application Dependency Discovery Manager (CVE-2025-23227)
    Severidad: MEDIA
    Fecha de publicación: 23/01/2025
    Fecha de última actualización: 15/08/2025
    IBM Tivoli Application Dependency Discovery Manager 7.3.0.0 a 7.3.0.11 es vulnerable a Cross-Site Scripting Almacenado. Esta vulnerabilidad permite a los usuarios autenticados incorporar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista y pudiendo provocar la divulgación de credenciales dentro de una sesión de confianza.
  • Vulnerabilidad en Technical Data Reporter de Parallels Desktop (CVE-2025-0413)
    Severidad: ALTA
    Fecha de publicación: 05/02/2025
    Fecha de última actualización: 15/08/2025
    Vulnerabilidad de escalada de privilegios locales en el componente Technical Data Reporter de Parallels Desktop. Esta vulnerabilidad permite a los atacantes locales escalar privilegios en las instalaciones afectadas de Parallels Desktop. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema host de destino para explotar esta vulnerabilidad. La falla específica existe dentro del componente Technical Data Reporter. Al crear un enlace simbólico, un atacante puede abusar del servicio para cambiar los permisos de archivos arbitrarios. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de la raíz. Era ZDI-CAN-25014.
  • Vulnerabilidad en IBM DevOps Deploy e IBM UrbanCode Deploy (CVE-2024-54176)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2025
    Fecha de última actualización: 15/08/2025
    IBM DevOps Deploy 8.0 a 8.0.1.4, 8.1 a 8.1.0.0 e IBM UrbanCode Deploy (UCD) 7.0 a 7.0.5.25, 7.1 a 7.1.2.21, 7.2 a 7.2.3.14 y 7.3 a 7.3.2 podrían permitir que un usuario autenticado obtenga información confidencial sobre otros usuarios en el sistema debido a la falta de autorización para una función.
  • Vulnerabilidad en Dell Trusted Device (CVE-2025-29983)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2025
    Fecha de última actualización: 15/08/2025
    Dell Trusted Device, versiones anteriores a la 7.0.3.0, presenta una vulnerabilidad de resolución incorrecta de enlaces antes del acceso a archivos («Seguimiento de enlaces»). Un atacante con pocos privilegios y acceso local podría explotar esta vulnerabilidad, lo que conllevaría una elevación de privilegios.
  • Vulnerabilidad en Dell Trusted Device (CVE-2025-29984)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2025
    Fecha de última actualización: 15/08/2025
    Dell Trusted Device, versiones anteriores a la 7.0.3.0, presenta una vulnerabilidad de permisos predeterminados incorrectos. Un atacante con pocos privilegios y acceso local podría explotar esta vulnerabilidad, lo que conllevaría una elevación de privilegios.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-21017)
    Severidad: MEDIA
    Fecha de publicación: 06/08/2025
    Fecha de última actualización: 15/08/2025
    La escritura fuera de los límites en el cuadro de criptografía desconectada en Blockchain Keystore anterior a la versión 1.3.17.2 permite que atacantes privilegiados locales escriban en la memoria fuera de los límites.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-21018)
    Severidad: MEDIA
    Fecha de publicación: 06/08/2025
    Fecha de última actualización: 15/08/2025
    La lectura fuera de los límites en Blockchain Keystore anterior a la versión 1.3.17.2 permite que atacantes privilegiados locales lean memoria fuera de los límites.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-21020)
    Severidad: MEDIA
    Fecha de publicación: 06/08/2025
    Fecha de última actualización: 15/08/2025
    La escritura fuera de los límites en la creación de imágenes de mapa de bits en Blockchain Keystore anterior a la versión 1.3.17.2 permite que atacantes privilegiados locales escriban en la memoria fuera de los límites.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-21021)
    Severidad: MEDIA
    Fecha de publicación: 06/08/2025
    Fecha de última actualización: 15/08/2025
    La escritura fuera de los límites en el teclado de dibujo en Blockchain Keystore anterior a la versión 1.3.17.2 permite que atacantes locales privilegiados escriban en la memoria fuera de los límites.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-49554)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Las versiones 2.4.9-alpha1, 2.4.8-p1, 2.4.7-p6, 2.4.6-p11, 2.4.5-p13, 2.4.4-p14 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de validación de entrada incorrecta que podría provocar una denegación de servicio (DSP). Un atacante podría explotar esta vulnerabilidad proporcionando una entrada especialmente manipulada, lo que provocaría el bloqueo o la inactividad de la aplicación. Para explotar este problema, no se requiere la interacción del usuario.
  • CVE-2025-49555
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Las versiones 2.4.9-alpha1, 2.4.8-p1, 2.4.7-p6, 2.4.6-p11, 2.4.5-p13, 2.4.4-p14 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de Cross-Site Request Forgery (CSRF) que podría provocar una escalada de privilegios. Un atacante con privilegios elevados podría engañar a la víctima para que realice acciones no deseadas en una aplicación web donde esté autenticada, lo que podría permitir el acceso no autorizado o la modificación de datos confidenciales. Para explotar este problema, es necesario que la víctima visite un sitio web malicioso o haga clic en un enlace manipulado. Se ha modificado el alcance.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-49556)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Las versiones 2.4.9-alpha1, 2.4.8-p1, 2.4.7-p6, 2.4.6-p11, 2.4.5-p13, 2.4.4-p14 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de autorización incorrecta que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso de lectura no autorizado. La explotación de este problema no requiere la interacción del usuario y su alcance no varía.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-49557)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Las versiones 2.4.9-alpha1, 2.4.8-p1, 2.4.7-p6, 2.4.6-p11, 2.4.5-p13, 2.4.4-p14 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de cross-site scripting (XSS) almacenado que un atacante con pocos privilegios podría explotar para inyectar scripts maliciosos en campos de formulario vulnerables. Estos scripts pueden utilizarse para escalar privilegios dentro de la aplicación o comprometer datos confidenciales del usuario. Para explotar este problema, la víctima debe acceder a la página que contiene el campo vulnerable. Se ha modificado el alcance.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-49558)
    Severidad: MEDIA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Las versiones 2.4.9-alpha1, 2.4.8-p1, 2.4.7-p6, 2.4.6-p11, 2.4.5-p13, 2.4.4-p14 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de condición de ejecución TOCTOU (Tiempo de comprobación y tiempo de uso), que podría resultar en la omisión de una función de seguridad. Un atacante podría explotar esta vulnerabilidad manipulando el tiempo entre la comprobación del estado de un recurso y su uso, lo que permitiría acceso de escritura no autorizado. Para explotar este problema no se requiere la interacción del usuario.
  • Vulnerabilidad en Adobe Commerce (CVE-2025-49559)
    Severidad: MEDIA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Las versiones 2.4.9-alpha1, 2.4.8-p1, 2.4.7-p6, 2.4.6-p11, 2.4.5-p13, 2.4.4-p14 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido («Path Traversal»), que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta vulnerabilidad para modificar datos limitados. La explotación de este problema no requiere la interacción del usuario.
  • Vulnerabilidad en FortiSOAR (CVE-2025-32932)
    Severidad: MEDIA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Una vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('cross-site scripting') [CWE-79] en FortiSOAR versión 7.6.1 y anteriores, versión 7.5.1 y anteriores, 7.4 todas las versiones, 7.3 todas las versiones, 7.2 todas las versiones, 7.0 todas las versiones, 6.4 todas las versiones La interfaz web puede permitir que un atacante remoto autenticado realice un ataque XSS a través de solicitudes de servicio maliciosas almacenadas
  • Vulnerabilidad en Fortinet FortiWeb CLI (CVE-2025-47857)
    Severidad: MEDIA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ('inyección de comando del sistema operativo') [CWE-78] en Fortinet FortiWeb CLI versión 7.6.0 a 7.6.3 y anteriores a 7.4.8 permite que un atacante privilegiado ejecute código o comando arbitrario a través de comandos CLI manipulados.
  • Vulnerabilidad en Fortinet FortiADC (CVE-2025-49813)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Una neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo ("Inyección de comando del sistema operativo") [CWE-78] en Fortinet FortiADC versión 7.2.0 y anteriores a 7.1.1 permite que un atacante remoto y autenticado con bajos privilegios ejecute código no autorizado a través de parámetros HTTP específicamente manipulada.
  • Vulnerabilidad en Fortinet FortiWeb (CVE-2025-52970)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Un manejo inadecuado de los parámetros en Fortinet FortiWeb versiones 7.6.3 y anteriores, versiones 7.4.7 y anteriores, versiones 7.2.10 y anteriores, y 7.0.10 y anteriores puede permitir que un atacante remoto no autenticado con información no pública perteneciente al dispositivo y al usuario objetivo obtenga privilegios de administrador en el dispositivo a través de una solicitud especialmente manipulada.
  • Vulnerabilidad en FortiOS Security Fabric (CVE-2025-53744)
    Severidad: ALTA
    Fecha de publicación: 12/08/2025
    Fecha de última actualización: 15/08/2025
    Una vulnerabilidad de asignación incorrecta de privilegios [CWE-266] en FortiOS Security Fabric versión 7.6.0 a 7.6.2, 7.4.0 a 7.4.7, 7.2 todas las versiones, 7.0 todas las versiones, 6.4 todas las versiones, puede permitir que un atacante remoto autenticado con privilegios elevados escale sus privilegios a superadministrador mediante el registro del dispositivo en un FortiManager malicioso.