Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en tsMuxer (CVE-2024-41206)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 05/09/2025
    Una sobrelectura de búfer basada en pila en la versión nightly-2024-03-14-01-51-12 de tsMuxer permite a los atacantes provocar la divulgación de información a través de un archivo de video TS manipulado específicamente.
  • Vulnerabilidad en tsMuxer (CVE-2024-41209)
    Severidad: ALTA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 05/09/2025
    Un desbordamiento de búfer basado en montón en tsMuxer versión nightly-2024-03-14-01-51-12 permite a los atacantes provocar una denegación de servicio (DoS) y ejecución de código a través de un archivo de video MOV manipulado.
  • Vulnerabilidad en tsMuxer (CVE-2024-41217)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 05/09/2025
    Un desbordamiento de búfer basado en montón en la versión nightly-2024-05-10-02-00-45 de tsMuxer permite a los atacantes provocar una denegación de servicio (DoS) a través de un archivo de video MKV manipulado.
  • Vulnerabilidad en tsMuxer (CVE-2024-49776)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 05/09/2025
    Un parámetro de tamaño negativo en la versión nightly-2024-04-05-01-53-02 de tsMuxer permite a los atacantes provocar una denegación de servicio (DoS) a través de un archivo de video TS manipulado.
  • Vulnerabilidad en tsMuxer (CVE-2024-49777)
    Severidad: ALTA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 05/09/2025
    Un desbordamiento de búfer basado en montón en tsMuxer versión nightly-2024-03-14-01-51-12 permite a los atacantes provocar denegación de servicio (DoS), divulgación de información y ejecución de código a través de un archivo de video MKV manipulado.
  • Vulnerabilidad en tsMuxer (CVE-2024-49778)
    Severidad: ALTA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 05/09/2025
    Un desbordamiento de búfer basado en montón en tsMuxer versión nightly-2024-05-12-02-01-18 permite a los atacantes provocar una denegación de servicio (DoS) y ejecución de código a través de un archivo de video MOV manipulado.
  • Vulnerabilidad en Nextcloud Server y Nextcloud Enterprise Server (CVE-2024-52520)
    Severidad: MEDIA
    Fecha de publicación: 15/11/2024
    Fecha de última actualización: 05/09/2025
    Nextcloud Server es un sistema de nube personal alojado por uno mismo. Debido a una solicitud HEAD preprogramada, el proveedor de referencia de enlaces podría verse engañado y descargar sitios web más grandes de lo previsto para encontrar datos de gráficos abiertos. Se recomienda actualizar Nextcloud Server a 28.0.10 o 29.0.7 y Nextcloud Enterprise Server a 27.1.11.8, 28.0.10 o 29.0.7.
  • Vulnerabilidad en Nextcloud Mail (CVE-2024-52509)
    Severidad: BAJA
    Fecha de publicación: 15/11/2024
    Fecha de última actualización: 04/09/2025
    Nextcloud Mail es la aplicación de correo de Nextcloud, una plataforma de productividad alojada en servidores propios. La aplicación de correo de Nextcloud permitía por error adjuntar archivos compartidos sin permisos de descarga como archivos adjuntos. Esto permitía a los usuarios enviarse los archivos a sí mismos y luego descargarlos desde sus clientes de correo. Se recomienda actualizar Nextcloud Mail a la versión 2.2.10, 3.6.2 o 3.7.2.
  • Vulnerabilidad en OpenBSD (CVE-2024-10934)
    Severidad: CRÍTICA
    Fecha de publicación: 15/11/2024
    Fecha de última actualización: 04/09/2025
    En OpenBSD 7.5 antes de la errata 008 y OpenBSD 7.4 antes de la errata 021, evite la posible doble liberación de mbuf en la implementación del cliente y servidor NFS, no utilice variables no inicializadas en el manejo de errores del servidor NFS.
  • Vulnerabilidad en Trend Micro Deep Security 20 Agent (CVE-2024-51503)
    Severidad: ALTA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 04/09/2025
    Una vulnerabilidad de inyección de comandos de escaneo manual del agente de seguridad en Trend Micro Deep Security 20 Agent podría permitir que un atacante aumente los privilegios y ejecute código arbitrario en una máquina afectada. En determinadas circunstancias, los atacantes que tienen acceso legítimo al dominio pueden inyectar comandos de forma remota en otras máquinas del mismo dominio. Tenga en cuenta que un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para explotar esta vulnerabilidad de forma local y debe tener privilegios de usuario de dominio para afectar a otras máquinas.
  • Vulnerabilidad en RIOT (CVE-2024-52802)
    Severidad: ALTA
    Fecha de publicación: 22/11/2024
    Fecha de última actualización: 04/09/2025
    RIOT es un sistema operativo para dispositivos de Internet de las cosas (IoT). En la versión 2024.04 y anteriores, la función `_parse_advertise`, ubicada en `/sys/net/application_layer/dhcpv6/client.c`, no tiene una verificación de longitud de encabezado mínima para `dhcpv6_opt_t` después de procesar `dhcpv6_msg_t`. Esta omisión podría provocar una lectura fuera de los límites, lo que causaría una inconsistencia en el sistema. Además, la misma falta de una verificación de longitud de encabezado está presente en la función `_preparse_advertise`, que es llamada por `_parse_advertise` antes de procesar la solicitud. Al momento de la publicación, no existe ninguna versión parcheada conocida.
  • Vulnerabilidad en CyberPanel (CVE-2024-53376)
    Severidad: ALTA
    Fecha de publicación: 16/12/2024
    Fecha de última actualización: 05/09/2025
    CyberPanel anterior a 2.3.8 permite a usuarios autenticados remotos ejecutar comandos arbitrarios a través de metacaracteres de shell en el campo phpSelection al URI websites/submitWebsiteCreation.
  • Vulnerabilidad en CyberPanel (CVE-2024-56112)
    Severidad: MEDIA
    Fecha de publicación: 16/12/2024
    Fecha de última actualización: 05/09/2025
    CyberPanel (también conocido como Cyber Panel) antes de f0cf648 permite XSS a través de token o nombre de usuario a plogical/phpmyadminsignin.php.
  • Vulnerabilidad en Pnetlab 5.3.11 (CVE-2024-51111)
    Severidad: MEDIA
    Fecha de publicación: 06/01/2025
    Fecha de última actualización: 05/09/2025
    La vulnerabilidad de cross site scripting (XSS) en Pnetlab 5.3.11 permite a un atacante inyectar scripts maliciosos en una página web, que se ejecutan en el contexto del navegador de la víctima.
  • Vulnerabilidad en Pnetlab 5.3.11 (CVE-2024-51112)
    Severidad: MEDIA
    Fecha de publicación: 06/01/2025
    Fecha de última actualización: 05/09/2025
    La vulnerabilidad de redirección abierta en Pnetlab 5.3.11 permite a un atacante manipular las URL para redirigir a los usuarios a sitios web externos arbitrarios a través de un script manipulado específicamente para ello.
  • Vulnerabilidad en Z-BlogPHP 1.7.3 (CVE-2024-55529)
    Severidad: CRÍTICA
    Fecha de publicación: 06/01/2025
    Fecha de última actualización: 05/09/2025
    Z-BlogPHP 1.7.3 es vulnerable a la ejecución de código arbitrario a través de \zb_users\theme\shell\template.
  • Vulnerabilidad en Grocy (CVE-2024-55074)
    Severidad: ALTA
    Fecha de publicación: 06/01/2025
    Fecha de última actualización: 05/09/2025
    La función de edición de perfil de Grocy hasta la versión 4.3.0 permite el XSS almacenado y la escalada de privilegios resultante mediante la carga de un archivo HTML o SVG manipulado específicamente, un problema diferente a CVE-2024-8370.