Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en stimulus_reflex (CVE-2024-28121)
    Severidad: ALTA
    Fecha de publicación: 12/03/2024
    Fecha de última actualización: 03/12/2025
    stimulus_reflex es un sistema para ampliar las capacidades de Rails y Stimulus interceptando las interacciones del usuario y pasándolas a Rails a través de websockets en tiempo real. En las versiones afectadas se pueden invocar más métodos de los esperados en instancias reflejas. Poder llamar a algunos de ellos tiene implicaciones de seguridad. Para invocar un reflejo, se envía un mensaje websocket con la siguiente forma: `\"target\":\"[class_name]#[method_name]\",\"args\":[]`. El servidor procederá a crear una instancia de `reflex` utilizando el `class_name` proporcionado siempre que extienda `StimulusReflex::Reflex`. Luego intenta llamar a "method_name" en la instancia con los argumentos proporcionados. Esto es problemático ya que `reflex.method method_name` puede contener más métodos que los especificados explícitamente por el desarrollador en su clase refleja. Un buen ejemplo es el método instance_variable_set. Esta vulnerabilidad ha sido parcheada en las versiones 3.4.2 y 3.5.0.rc4. Los usuarios que no puedan actualizar deben: consultar el aviso de respaldo de GHSA para obtener consejos de mitigación.
  • Vulnerabilidad en Werkzeug (CVE-2024-34069)
    Severidad: ALTA
    Fecha de publicación: 06/05/2024
    Fecha de última actualización: 03/12/2025
    Werkzeug es una librería completa de aplicaciones web WSGI. El depurador de las versiones afectadas de Werkzeug puede permitir que un atacante ejecute código en la máquina de un desarrollador en algunas circunstancias. Esto requiere que el atacante consiga que el desarrollador interactúe con un dominio y subdominio que controla e ingrese el PIN del depurador, pero si tiene éxito, permite el acceso al depurador incluso si solo se está ejecutando en localhost. Esto también requiere que el atacante adivine una URL en la aplicación del desarrollador que activará el depurador. Esta vulnerabilidad se solucionó en 3.0.3.
  • Vulnerabilidad en ThingsBoard (CVE-2024-9358)
    Severidad: MEDIA
    Fecha de publicación: 01/10/2024
    Fecha de última actualización: 03/12/2025
    Se ha detectado una vulnerabilidad en ThingsBoard hasta la versión 3.7.0 y se ha clasificado como problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del componente HTTP RPC API. La manipulación provoca el consumo de recursos. El ataque se puede lanzar de forma remota. La complejidad de un ataque es bastante alta. La explotación parece ser difícil. El exploit se ha hecho público y puede utilizarse. La actualización a la versión 3.7.1 puede solucionar este problema. Se recomienda actualizar el componente afectado. El proveedor fue informado el 24 de julio de 2024 sobre esta vulnerabilidad y anunció el lanzamiento de la versión 3.7.1 para la segunda mitad de septiembre de 2024.
  • Vulnerabilidad en Werkzeug (CVE-2024-49766)
    Severidad: MEDIA
    Fecha de publicación: 25/10/2024
    Fecha de última actualización: 03/12/2025
    Werkzeug es una librería de aplicaciones web de interfaz de puerta de enlace de servidor web. En Python anterior a la 3.11 en Windows, os.path.isabs() no detecta rutas UNC como //server/share. safe_join() de Werkzeug depende de esta comprobación y, por lo tanto, puede generar una ruta que no sea segura, lo que potencialmente permite un acceso no deseado a los datos. Las aplicaciones que usan Python anterior a la 3.11 o que no usan Windows no son vulnerables. La versión 3.0.6 de Werkzeug contiene un parche.
  • Vulnerabilidad en OpenSSL (CVE-2025-7394)
    Severidad: ALTA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 03/12/2025
    En la implementación de la capa de compatibilidad de OpenSSL, la función RAND_poll() no se comportaba como se esperaba, lo que podía generar valores predecibles de RAND_bytes() tras llamar a fork(). Esto puede generar números aleatorios débiles o predecibles en aplicaciones que usan RAND_bytes() y realizan operaciones fork(). Esto solo afecta a las aplicaciones que llaman explícitamente a RAND_bytes() después de fork() y no afecta a las operaciones internas de TLS. Aunque la documentación de RAND_bytes() en OpenSSL indica que no es seguro usarla con fork() sin llamar primero a RAND_poll(), también se realizó un cambio de código adicional en wolfSSL para que RAND_bytes() se comporte de forma similar a OpenSSL tras una llamada a fork() sin llamar a RAND_poll(). Ahora, el Hash-DRBG utilizado se resembraliza tras detectar la ejecución en un nuevo proceso. Si se utiliza RAND_bytes() y se llama a fork(), se recomienda actualizar a la última versión de wolfSSL. Gracias a Per Allansson de Appgate por el informe.
  • Vulnerabilidad en wolfSSL (CVE-2025-7396)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2025
    Fecha de última actualización: 03/12/2025
    En la versión 5.8.2 de wolfSSL, la compatibilidad con el cegamiento está activada por defecto para Curve25519 en las compilaciones aplicables. La opción de configuración de cegamiento solo está disponible para la implementación básica de Curve25519 en C. No es necesaria ni está disponible con compilaciones de ensamblaje ARM, compilaciones de ensamblaje Intel ni con la función pequeña de Curve25519. Si bien el ataque de canal lateral para extraer una clave privada sería muy difícil de ejecutar en la práctica, habilitar el cegamiento proporciona una capa adicional de protección para dispositivos que podrían ser más susceptibles al acceso físico o a la observación de canal lateral.
  • Vulnerabilidad en Chanjet CRM 1.0 (CVE-2025-7915)
    Severidad: MEDIA
    Fecha de publicación: 21/07/2025
    Fecha de última actualización: 03/12/2025
    Se encontró una vulnerabilidad en Chanjet CRM 1.0, clasificada como crítica. Este problema afecta a una funcionalidad desconocida del archivo /mail/mailinactive.php del componente "Login Page". La manipulación provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en ThingsBoard 4.1 (CVE-2025-9094)
    Severidad: MEDIA
    Fecha de publicación: 17/08/2025
    Fecha de última actualización: 03/12/2025
    Se detectó una vulnerabilidad en ThingsBoard 4.1. Esta vulnerabilidad afecta al código desconocido del componente Add Gateway Handler. La manipulación provoca la neutralización incorrecta de elementos especiales utilizados en un motor de plantillas. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. El proveedor responde que «la solución se incluirá en la próxima versión (v4.2) y se incorporará a las versiones de mantenimiento de las versiones LTS (a partir de la 4.0)».
  • Vulnerabilidad en GiveWP – Donation Plugin and Fundraising Platform para WordPress (CVE-2025-7221)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 03/12/2025
    El complemento GiveWP – Donation Plugin and Fundraising Platform para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función give_update_payment_status() en todas las versiones hasta la 4.5.0 incluida. Esto permite que atacantes autenticados, con acceso de nivel Worker de GiveWP y superior, actualicen el estado de las donaciones. Esta función no está disponible en la interfaz de usuario.