Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el agente NodeJS de Apache SkyWalking (CVE-2022-36127)
    Severidad: ALTA
    Fecha de publicación: 18/07/2022
    Fecha de última actualización: 10/12/2025
    Una vulnerabilidad en el agente NodeJS de Apache SkyWalking versiones anteriores a 0.5.1. La vulnerabilidad causará que los servicios de NodeJS que tengan este agente instalado no estén disponibles si el OAP no es saludable y el agente NodeJS no puede establecer la conexión
  • Vulnerabilidad en Dfinity (CVE-2024-1631)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 10/12/2025
    Impacto: la librería ofrece una función para generar un par de claves ed25519 a través de Ed25519KeyIdentity.generate con un parámetro opcional para proporcionar un valor inicial de 32 bytes, que luego se utilizará como clave secreta. Cuando no se proporciona ningún valor inicial, se espera que la librería genere la clave secreta mediante aleatoriedad segura. Sin embargo, un cambio reciente rompió esta garantía y utiliza una semilla insegura para la generación del par de claves. Dado que la clave privada de esta identidad (535yc-uxytb-gfk7h-tny7p-vjkoe-i4krp-3qmcl-uqfgr-cpgej-yqtjq-rqe) está comprometida, se podrían perder fondos asociados con el principal en los libros de contabilidad o perder el acceso a un contenedor donde este principal es el controlador.
  • Vulnerabilidad en ASR Microelectronics Co., Ltd. (CVE-2024-32625)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 10/12/2025
    En OffloadAMRWriter, un campo escalar no se inicializa, por lo que contendrá un valor arbitrario sobrante de cálculos anteriores.
  • Vulnerabilidad en ASR Microelectronics Co., Ltd. (CVE-2024-32631)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 10/12/2025
    Los límites leídos en ciCCIOTOPT en ASR180X provocarán cálculos incorrectos.
  • Vulnerabilidad en ASR Microelectronics Co., Ltd. (CVE-2024-32632)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 10/12/2025
    Printf malinterpretará un valor en ATCMD, lo que provocará una salida incorrecta y posiblemente un acceso a la memoria fuera de los límites.
  • Vulnerabilidad en ASR Microelectronics Co., Ltd. (CVE-2024-32633)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 10/12/2025
    Un valor sin signo nunca puede ser negativo, por lo que la prueba de disco completo de eMMC siempre se evaluará de la misma manera.
  • Vulnerabilidad en ASR Microelectronics Co., Ltd. (CVE-2024-32634)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 10/12/2025
    En una memoria enorme, se verifica el área no asignada, nunca se puede acceder al código debido a una contradicción lógica.
  • Vulnerabilidad en BTreeMap (CVE-2024-4435)
    Severidad: MEDIA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 10/12/2025
    Al almacenar tipos ilimitados en un BTreeMap, un nodo se representa como una lista vinculada de "fragmentos de memoria". Recientemente se descubrió que cuando desasignamos un nodo, en algunos casos solo se desasigna el primer fragmento de memoria y el resto de los fragmentos de memoria permanecen (incorrectamente) asignados, lo que provoca una pérdida de memoria. En el peor de los casos, dependiendo de cómo un recipiente utilice BTreeMap, un adversario podría interactuar con el recipiente a través de su API y desencadenar interacciones con el mapa que sigan consumiendo memoria debido a la pérdida de memoria. Esto podría llevar potencialmente al uso de una cantidad excesiva de memoria o incluso a quedarse sin memoria. Este problema se solucionó en el n.º 212 https://github.com/dfinity/stable-structures/pull/212 cambiando la lógica para desasignar nodos para garantizar que todos los fragmentos de memoria de un nodo se desasignen y se solicite a los usuarios que actualicen a versión 0.6.4.. Se han agregado pruebas para evitar que avancen regresiones de esta naturaleza. Nota: Los usuarios de estructura estable <0.6.0 no se ven afectados. Los usuarios que no almacenan tipos ilimitados en BTreeMap no se ven afectados y no necesitan actualizar. De lo contrario, es necesaria una actualización a la versión 0.6.4.
  • Vulnerabilidad en Realchar (CVE-2024-10051)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 10/12/2025
    La versión v0.0.4 de Realchar es vulnerable a un ataque de denegación de servicio (DoS) no autenticado. La vulnerabilidad se presenta en la gestión de solicitudes de carga de archivos, donde añadir caracteres, como guiones (-), al final de un límite multiparte en una solicitud HTTP, hace que el servidor procese continuamente cada carácter. Esto provoca un consumo excesivo de recursos y deja el servicio indisponible. El problema no está autenticado y no requiere la interacción del usuario, lo que afecta a todos los usuarios del servicio.