Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en D-Link DIR-820LW REVB FIRMWARE PATCH 2.03.B01_TC (CVE-2024-41610)
    Severidad: CRÍTICA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 29/09/2025
    D-Link DIR-820LW REVB FIRMWARE PATCH 2.03.B01_TC contiene credenciales codificadas en el servicio Telnet, lo que permite a los atacantes iniciar sesión de forma remota en el servicio Telnet y realizar comandos arbitrarios.
  • Vulnerabilidad en shouldRestrictOverlayActivities de UsbProfileGroupSettingsManager.java (CVE-2024-34739)
    Severidad: ALTA
    Fecha de publicación: 15/08/2024
    Fecha de última actualización: 29/09/2025
    En shouldRestrictOverlayActivities de UsbProfileGroupSettingsManager.java, existe un posible escape de SUW debido a un error lógico en el código. Esto podría conducir a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en Mattermost (CVE-2025-31363)
    Severidad: BAJA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 29/09/2025
    Las versiones de Mattermost 10.4.x <= 10.4.2, 10.5.x <= 10.5.0, 9.11.x <= 9.11.9 no restringen los dominios que LLM puede solicitar para contactar ascendentemente, lo que permite que un usuario autenticado extraiga datos de un servidor arbitrario accesible para la víctima mediante la realización de una inyección rápida en la herramienta Jira del complemento de IA.
  • Vulnerabilidad en Mattermost (CVE-2025-2564)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 29/09/2025
    Las versiones de Mattermost 10.5.x <= 10.5.1, 10.4.x <= 10.4.3, 9.11.x <= 9.11.9 no aplican correctamente la configuración de System Console 'Permitir a los usuarios ver/actualizar canales archivados', que permite a los usuarios autenticados ver a los miembros y la información de los miembros de los canales archivados incluso cuando esta configuración está deshabilitada.
  • Vulnerabilidad en Mattermost (CVE-2025-35965)
    Severidad: MEDIA
    Fecha de publicación: 24/04/2025
    Fecha de última actualización: 29/09/2025
    Las versiones de Mattermost 10.4.x <= 10.4.2, 10.5.x <= 10.5.0, 9.11.x <= 9.11.10 no logran validar la singularidad y la cantidad de acciones de tareas dentro de la operación GraphQL UpdateRunTaskActions, lo que permite a un atacante crear elementos de tarea que contienen una cantidad excesiva de acciones activadas por publicaciones específicas, sobrecargando el servidor y provocando una condición de denegación de servicio (DoS).
  • Vulnerabilidad en Mattermost (CVE-2025-41423)
    Severidad: BAJA
    Fecha de publicación: 24/04/2025
    Fecha de última actualización: 29/09/2025
    Las versiones de Mattermost 10.4.x <= 10.4.2, 10.5.x <= 10.5.0, 9.11.x <= 9.11.10 no validan correctamente los permisos para el endpoint de API /plugins/playbooks/api/v0/signal/keywords/ignore-thread, lo que permite que cualquier usuario o atacante elimine publicaciones que contengan acciones creadas por el bot Playbooks, incluso sin acceso al canal o permisos adecuados.
  • Vulnerabilidad en F5 Networks (CVE-2025-35995)
    Severidad: ALTA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 29/09/2025
    Cuando un sistema BIG-IP PEM tiene licencia con categorización de URL y la política de categorización de URL o una iRule con el comando urlcat está habilitada en un servidor virtual, las solicitudes no reveladas pueden provocar la finalización del Microkernel de Gestión de Tráfico (TMM). Nota: Las versiones de software que han alcanzado el Fin de Soporte Técnico (EoTS) no se evalúan.
  • Vulnerabilidad en F5 Networks (CVE-2025-36525)
    Severidad: ALTA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 29/09/2025
    Cuando un servidor virtual BIG-IP APM se configura para usar un perfil PingAccess, las solicitudes no reveladas pueden provocar la finalización de TMM. Nota: Las versiones de software que han alcanzado el fin del soporte técnico (EoTS) no se evalúan.
  • Vulnerabilidad en Mattermost (CVE-2025-3446)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 29/09/2025
    Las versiones de Mattermost 10.6.x <= 10.6.1, 10.5.x <= 10.5.2, 10.4.x <= 10.4.4, 9.11.x <= 9.11.11 no verifican los permisos correctos, lo que permite que los usuarios autenticados que solo tienen permiso para invitar a usuarios que no son invitados a un equipo agreguen usuarios invitados a ese equipo a través de la API para agregar un solo usuario a un equipo.
  • Vulnerabilidad en Campcodes Online Shopping Portal 1.0 (CVE-2025-5078)
    Severidad: MEDIA
    Fecha de publicación: 22/05/2025
    Fecha de última actualización: 29/09/2025
    Se encontró una vulnerabilidad en Campcodes Online Shopping Portal 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /admin/subcategory.php. La manipulación del argumento "Category" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Campcodes Online Shopping Portal 1.0 (CVE-2025-5079)
    Severidad: MEDIA
    Fecha de publicación: 22/05/2025
    Fecha de última actualización: 29/09/2025
    Se encontró una vulnerabilidad en Campcodes Online Shopping Portal 1.0. Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /admin/updateorder.php. La manipulación del argumento "remark" provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2025-8036)
    Severidad: ALTA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 29/09/2025
    Thunderbird almacenó en caché las respuestas de preflight de CORS tras los cambios de dirección IP. Esto permitió eludir CORS mediante revinculación de DNS. Esta vulnerabilidad afecta a Firefox < 141, Firefox ESR < 140.1, Thunderbird < 141 y Thunderbird < 140.1.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2025-8038)
    Severidad: CRÍTICA
    Fecha de publicación: 22/07/2025
    Fecha de última actualización: 29/09/2025
    Thunderbird ignoraba las rutas al comprobar la validez de las navegaciones en un frame. Esta vulnerabilidad afecta a Firefox < 141, Firefox ESR < 140.1, Thunderbird < 141 y Thunderbird < 140.1.
  • Vulnerabilidad en iOS, iPadOS, watchOS, macOS Sequoia, tvOS y visionOS (CVE-2025-43277)
    Severidad: ALTA
    Fecha de publicación: 30/07/2025
    Fecha de última actualización: 29/09/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en iOS 18.6 y iPadOS 18.6, watchOS 11.6, macOS Sequoia 15.6, tvOS 18.6 y visionOS 2.6. Procesar un archivo de audio manipulado con fines maliciosos puede provocar daños en la memoria.