Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el controlador USB XHCI en VMware ESXi, Workstation y Fusion (CVE-2020-4004)
    Severidad: ALTA
    Fecha de publicación: 20/11/2020
    Fecha de última actualización: 31/10/2025
    VMware ESXi (versiones 7.0 anteriores a ESXi70U1b-17168206, versiones 6.7 anteriores a ESXi670-202011101-SG, versiones 6.5 anteriores a ESXi650-202011301-SG), Workstation (versiones 15.x anteriores a 15.5.7), Fusion (versiones 11.x anteriores a 11.5.7), contienen una vulnerabilidad de uso de la memoria previamente liberada en el controlador USB XHCI. Un actor malicioso con privilegios administrativos locales en una máquina virtual puede explotar este problema para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host
  • Vulnerabilidad en VMware Cloud Foundation (CVE-2022-22939)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2022
    Fecha de última actualización: 31/10/2025
    VMware Cloud Foundation contiene una vulnerabilidad de divulgación de información debido al registro de credenciales en texto plano dentro de varios archivos de registro en el SDDC Manager. Un actor malicioso con acceso a root en VMware Cloud Foundation SDDC Manager puede ser capaz de visualizar las credenciales en texto plano dentro de uno o más archivos de registro
  • Vulnerabilidad en el mecanismo de autenticación IWA en vCenter Server (CVE-2021-22048)
    Severidad: ALTA
    Fecha de publicación: 10/11/2021
    Fecha de última actualización: 31/10/2025
    vCenter Server contiene una vulnerabilidad de escalada de privilegios en el mecanismo de autenticación IWA (Integrated Windows Authentication). Un actor malicioso con acceso no administrativo a vCenter Server podría explotar este problema para elevar los privilegios a un grupo con mayores privilegios
  • Vulnerabilidad en puerto 427 en OpenSLP en ESXi (CVE-2021-21995)
    Severidad: ALTA
    Fecha de publicación: 13/07/2021
    Fecha de última actualización: 31/10/2025
    OpenSLP, tal como se utiliza en ESXi, presenta una vulnerabilidad de denegación de servicio debido a un problema de lectura fuera de límites de la pila. Un actor malicioso con acceso de red al puerto 427 en ESXi puede ser capaz de desencadenar una lectura fuera de límites de la pila en el servicio OpenSLP, resultando en una condición de denegación de servicio
  • Vulnerabilidad en puerto 5989 en SFCB (Small Footprint CIM Broker) en ESXi (CVE-2021-21994)
    Severidad: CRÍTICA
    Fecha de publicación: 13/07/2021
    Fecha de última actualización: 31/10/2025
    SFCB (Small Footprint CIM Broker), tal y como se utiliza en ESXi, presenta una vulnerabilidad en la omisión de la autenticación. Un actor malicioso con acceso de red al puerto 5989 en ESXi puede explotar este problema para omitir la autenticación de SFCB al enviar una petición especialmente diseñada
  • Vulnerabilidad en la administración de determinadas llamadas de sistema en VMware ESXi (CVE-2020-4005)
    Severidad: ALTA
    Fecha de publicación: 20/11/2020
    Fecha de última actualización: 31/10/2025
    VMware ESXi (versiones 7.0 anteriores a ESXi70U1b-17168206, versiones 6.7 anteriores a ESXi670-202011101-SG, versiones 6.5 anteriores a ESXi650-202011301-SG), contiene una vulnerabilidad de escalada de privilegios que se presenta en la manera en que son administradas determinadas llamadas del sistema. Un actor malicioso con privilegios dentro del proceso VMX únicamente, puede escalar sus privilegios en el sistema afectado. Una explotación con éxito de este problema es posible solo cuando está encadenado con otra vulnerabilidad (por ejemplo, CVE-2020-4004)
  • Vulnerabilidad en vCenter Server (CVE-2022-31698)
    Severidad: MEDIA
    Fecha de publicación: 13/12/2022
    Fecha de última actualización: 31/10/2025
    vCenter Server contiene una vulnerabilidad de Denegación de Servicio (DoS) en el servicio de librería de contenido. Un actor malintencionado con acceso de red al puerto 443 en vCenter Server puede aprovechar este problema para desencadenar una condición de Denegación de Servicio (DoS) enviando un encabezado especialmente manipulado.
  • Vulnerabilidad en Salesforce Tableau Server (CVE-2025-52452)
    Severidad: ALTA
    Fecha de publicación: 25/07/2025
    Fecha de última actualización: 31/10/2025
    La vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido ('Path Traversal') en Salesforce Tableau Server para Windows y Linux (tabdoc api - duplicate-data-source modules) permite Absolute Path Traversal. Este problema afecta a Tableau Server: versiones anteriores a 2025.1.3, 2024.2.12 y 2023.3.19.
  • Vulnerabilidad en Salesforce Tableau Server (CVE-2025-52450)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2025
    Fecha de última actualización: 31/10/2025
    La vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido ('Path Traversal') en Salesforce Tableau Server en Windows, Linux (módulos abdoc api - create-data-source-from-file-upload) permite Absolute Path Traversal. Este problema afecta a Tableau Server: antes de 2025.1.3, antes de 2024.2.12, antes de 2023.3.19.