Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el mensaje IPC de Prompt:Open en Firefox ESR, Firefox y Thunderbird (CVE-2019-11708)
    Severidad: CRÍTICA
    Fecha de publicación: 23/07/2019
    Fecha de última actualización: 27/10/2025
    Una revisión insuficiente de los parámetros pasados ??con el mensaje IPC de Prompt:Open, entre procesos hijo y padre puede resultar que el proceso padre fuera del Sandbox abra el contenido web elegido por un proceso hijo comprometido. Cuando se combina con vulnerabilidades adicionales, esto podría resultar en la ejecución de código arbitrario en el ordenador del usuario. Esta vulnerabilidad afecta a Firefox ESR anterior a versión 60.7.2, Firefox anterior a versión 67.0.4 y Thunderbird anterior a versión 60.7.2.
  • Vulnerabilidad en Thunderbird (CVE-2019-11707)
    Severidad: ALTA
    Fecha de publicación: 23/07/2019
    Fecha de última actualización: 27/10/2025
    Se puede producir una vulnerabilidad de tipo confusión cuando se manipulan objetos de JavaScript debido a problemas en Array.pop. Esto puede permitir un accidente explotable. Somos conscientes de los ataques dirigidos en la naturaleza abusando de este fallo. Esta vulnerabilidad afecta a Firefox ESR anterior a la versión 60.7.1, Firefox anterior a la versión 67.0.3 y Thunderbird anterior a la versión 60.7.2.
  • Vulnerabilidad en Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 27/10/2025
    Vulnerabilidad de elevación de privilegios en Windows Hyper-V NT Kernel Integration VSP
  • Vulnerabilidad en Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21335)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 27/10/2025
    Vulnerabilidad de elevación de privilegios en Windows Hyper-V NT Kernel Integration VSP
  • Vulnerabilidad en 7-Zip Mark-of-the-Web (CVE-2025-0411)
    Severidad: ALTA
    Fecha de publicación: 25/01/2025
    Fecha de última actualización: 27/10/2025
    Vulnerabilidad de omisión de 7-Zip Mark-of-the-Web. Esta vulnerabilidad permite a atacantes remotos omitir el mecanismo de protección de la marca de la Web en las instalaciones afectadas de 7-Zip. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de archivos comprimidos. Al extraer archivos de un archivo comprimido manipulado que lleva la marca de la Web, 7-Zip no propaga la marca de la Web a los archivos extraídos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual. Era ZDI-CAN-25456.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21391)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 27/10/2025
    Vulnerabilidad de elevación de privilegios en el almacenamiento de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-21418)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 27/10/2025
    Controlador de función auxiliar de Windows para vulnerabilidad de elevación de privilegios de WinSock
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-24984)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 27/10/2025
    La inserción de información confidencial en un archivo de registro en Windows NTFS permite que un atacante no autorizado divulgue información mediante un ataque físico.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-24985)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 27/10/2025
    El desbordamiento de enteros o el envoltura en el controlador Fast FAT de Windows permite que un atacante no autorizado ejecute código localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-24991)
    Severidad: MEDIA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 27/10/2025
    La lectura fuera de límites en Windows NTFS permite que un atacante autorizado divulgue información localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-24993)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 27/10/2025
    El desbordamiento del búfer basado en montón en Windows NTFS permite que un atacante no autorizado ejecute código localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-26633)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 27/10/2025
    La neutralización incorrecta en Microsoft Management Console permite que un atacante no autorizado eluda una función de seguridad localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-30397)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 27/10/2025
    El acceso a un recurso mediante un tipo incompatible ('confusión de tipos') en Microsoft Scripting Engine permite que un atacante no autorizado ejecute código a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-30400)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 27/10/2025
    Use After Free en Windows DWM permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-32701)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 27/10/2025
    Use After Free en el controlador del sistema de archivos de registro común de Windows permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-32709)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 27/10/2025
    Use After Free del controlador de funciones auxiliares de Windows para WinSock permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Samsung Mobile Processor y Modem Exynos (CVE-2025-26780)
    Severidad: ALTA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 27/10/2025
    Se descubrió un problema en L2 en Samsung Mobile Processor y Modem Exynos 2400 y módem 5400. La falta de una verificación de longitud conduce a una denegación de servicio a través de un paquete PDCP mal formado.
  • Vulnerabilidad en Samsung Mobile Processor, Wearable Processor, y Modem Exynos (CVE-2025-47202)
    Severidad: CRÍTICA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 27/10/2025
    En RRC en Samsung Mobile Processor, Wearable Processor, y Modem Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 1580, 9110, W920, W930, W1000, módem 5123, módem 5300 y módem 5400, la falta de una verificación de longitud conduce a escrituras fuera de los límites.
  • Vulnerabilidad en SAP NetWeaver (CVE-2025-42968)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 27/10/2025
    SAP NetWeaver permite que un usuario no administrativo autenticado acceda al módulo de función remota, lo que le otorga acceso a información no confidencial sobre el sistema SAP y el sistema operativo sin necesidad de conocimientos específicos ni condiciones controladas. Esto reduce el impacto en la confidencialidad y no afecta la integridad ni la disponibilidad de la aplicación.
  • Vulnerabilidad en SAP BASIS (CVE-2025-42986)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 27/10/2025
    Debido a la falta de una verificación de autorización en un módulo de función obsoleto habilitado para RFC en SAP BASIS, un atacante autenticado con pocos privilegios podría ejecutar una Llamada a Función Remota (RFC), lo que podría permitir el acceso a información restringida del sistema. Esto genera un impacto mínimo en la confidencialidad, sin afectar la integridad ni la disponibilidad de la aplicación.
  • Vulnerabilidad en SAP NetWeaver Application Server ABAP y ABAP Platform (CVE-2025-42956)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 27/10/2025
    SAP NetWeaver Application Server ABAP y ABAP Platform permiten a un atacante no autenticado crear un enlace malicioso que puede publicar. Cuando una víctima autenticada hace clic en este enlace malicioso, el sistema de generación de páginas web utiliza los datos de entrada inyectados para crear contenido que, al ejecutarse en el navegador de la víctima, tiene un impacto mínimo en la confidencialidad e integridad, sin afectar la disponibilidad de la aplicación.