Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en cross site scripting (CVE-2019-11359)
    Severidad: MEDIA
    Fecha de publicación: 20/04/2019
    Fecha de última actualización: 10/12/2025
    La vulnerabilidad de tipo cross site scripting (XSS) en el archivo display.php en I, Librarian versión 4.10 permite a atacantes remotos inyectar un script web arbitrario o HTML mediante el parámetro project.
  • Vulnerabilidad en I, Librarian (CVE-2019-11428)
    Severidad: MEDIA
    Fecha de publicación: 22/04/2019
    Fecha de última actualización: 10/12/2025
    I, Librarian versión 4.10, permite cross-site scripting (XSS) mediante el parámetro via the export.php export_files.
  • Vulnerabilidad en Librarian (CVE-2019-11449)
    Severidad: MEDIA
    Fecha de publicación: 22/04/2019
    Fecha de última actualización: 10/12/2025
    I, Librarian versión 4.10 tiene XSS a través de las notas del parámetro notes.php.
  • Vulnerabilidad en Evolution Controller (CVE-2024-29836)
    Severidad: CRÍTICA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 10/12/2025
    La interfaz web de Evolution Controller, versiones 2.04.560.31.03.2024 e inferiores, contiene un control de acceso mal configurado, lo que permite que un atacante no autenticado actualice y agregue perfiles de usuario dentro de la aplicación y obtenga acceso completo al sitio.
  • Vulnerabilidad en Evolution Controller (CVE-2024-29837)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 10/12/2025
    La interfaz web de Evolution Controller, versiones 2.04.560.31.03.2024 e inferiores, utiliza una gestión de sesión deficiente, lo que permite que un atacante no autenticado acceda a la funcionalidad de administrador si algún otro usuario ya ha iniciado sesión.
  • Vulnerabilidad en Evolution Controller (CVE-2024-29838)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 10/12/2025
    La interfaz web de las versiones 2.04.560.31.03.2024 y anteriores de Evolution Controller no sanitiza adecuadamente la entrada del usuario, lo que permite que un atacante no autenticado bloquee el software del controlador.
  • Vulnerabilidad en Evolution Controller (CVE-2024-29839)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 10/12/2025
    La interfaz web de Evolution Controller, versiones 2.04.560.31.03.2024 e inferiores, contiene un control de acceso mal configurado en DESKTOP_EDIT_USER_GET_CARD, lo que permite que un atacante no autenticado devuelva los datos del valor de la tarjeta de cualquier usuario.
  • Vulnerabilidad en Evolution Controller (CVE-2024-29840)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 10/12/2025
    La interfaz web de Evolution Controller, versiones 2.04.560.31.03.2024 e inferiores, contiene un control de acceso mal configurado en DESKTOP_EDIT_USER_GET_PIN_FIELDS, lo que permite que un atacante no autenticado devuelva el valor PIN de cualquier usuario.
  • Vulnerabilidad en Evolution Controller (CVE-2024-29841)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 10/12/2025
    La interfaz web de Evolution Controller, versiones 2.04.560.31.03.2024 e inferiores, contiene un control de acceso mal configurado en DESKTOP_EDIT_USER_GET_KEYS_FIELDS, lo que permite que un atacante no autenticado devuelva el valor de las claves de cualquier usuario.
  • Vulnerabilidad en Evolution Controller (CVE-2024-29842)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 10/12/2025
    La interfaz web de Evolution Controller, versiones 2.04.560.31.03.2024 e inferiores, contiene un control de acceso mal configurado en DESKTOP_EDIT_USER_GET_ABACARD_FIELDS, lo que permite que un atacante no autenticado devuelva el campo abacard de cualquier usuario.
  • Vulnerabilidad en Evolution Controller (CVE-2024-29843)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 10/12/2025
    La interfaz web de Evolution Controller, versiones 2.04.560.31.03.2024 e inferiores, contiene un control de acceso mal configurado en MOBILE_GET_USERS_LIST, lo que permite a un atacante no autenticado enumerar todos los usuarios y sus niveles de acceso.
  • Vulnerabilidad en Evolution Controller 2.x (CVE-2024-29844)
    Severidad: CRÍTICA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 10/12/2025
    Las credenciales predeterminadas en la interfaz web de Evolution Controller 2.x (123 y 123) permiten que cualquiera inicie sesión en el servidor directamente para realizar funciones administrativas. Tras la instalación o el primer inicio de sesión, la aplicación no solicita al usuario que cambie la contraseña. No hay ninguna advertencia ni mensaje para pedirle al usuario que cambie la contraseña predeterminada.
  • Vulnerabilidad en LibreOffice (CVE-2024-3044)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 10/12/2025
    La ejecución de script sin marcar en el enlace gráfico al hacer clic en las versiones afectadas de LibreOffice permite a un atacante crear un documento que, sin aviso, ejecutará script integradas en LibreOffice al hacer clic en un gráfico. Anteriormente, estos scripts se consideraban confiables, pero ahora se consideran no confiables.
  • Vulnerabilidad en LibreOffice (CVE-2024-6472)
    Severidad: ALTA
    Fecha de publicación: 05/08/2024
    Fecha de última actualización: 10/12/2025
    La interfaz de usuario de Validación de certificados en LibreOffice permite una vulnerabilidad potencial. Las macros firmadas son scripts que el desarrollador ha firmado digitalmente mediante una firma criptográfica. Cuando se abre un documento con una macro firmada, LibreOffice muestra una advertencia antes de ejecutar la macro. Anteriormente, si la verificación fallaba, el usuario podía no comprender el error y optar por habilitar las macros de todos modos. Este problema afecta a LibreOffice: desde 24.2 antes de 24.2.5.
  • Vulnerabilidad en musl libc (CVE-2025-26519)
    Severidad: ALTA
    Fecha de publicación: 14/02/2025
    Fecha de última actualización: 10/12/2025
    musl libc 0.9.13 a 1.2.5 antes de 1.2.6 tiene una vulnerabilidad de escritura fuera de los límites cuando un atacante puede activar la conversión iconv de texto EUC-KR no confiable a UTF-8.
  • Vulnerabilidad en The Document Foundation LibreOffice (CVE-2025-0514)
    Severidad: ALTA
    Fecha de publicación: 25/02/2025
    Fecha de última actualización: 10/12/2025
    La vulnerabilidad de validación de entrada incorrecta en The Document Foundation LibreOffice permite que los destinos de hipervínculos ejecutables de Windows se ejecuten incondicionalmente durante la activación. Este problema afecta a LibreOffice: desde la versión 24.8 hasta la versión < 24.8.5.
  • Vulnerabilidad en LibreOffice (CVE-2025-1080)
    Severidad: ALTA
    Fecha de publicación: 04/03/2025
    Fecha de última actualización: 10/12/2025
    LibreOffice admite esquemas URI de Office para permitir la integración de LibreOffice en el navegador con el servidor MS SharePoint. Se agregó un esquema adicional 'vnd.libreoffice.command' específico para LibreOffice. En las versiones afectadas de LibreOffice, se podía construir un vínculo en un navegador que usara ese esquema con una URL interna incrustada que, cuando se pasaba a LibreOffice, podía llamar a macros internas con argumentos arbitrarios. Este problema afecta a LibreOffice: desde la versión 24.8 hasta la 24.8.5, desde la versión 25.2 hasta la 25.2.1.
  • Vulnerabilidad en LibreOffice (CVE-2021-25635)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2025
    Fecha de última actualización: 10/12/2025
    Una vulnerabilidad de validación de certificado incorrecta en LibreOffice permitió a un atacante autofirmar un documento ODF, con una firma que no era de confianza para el destino, y luego modificarlo para cambiar el algoritmo de firma a uno no válido (o desconocido para LibreOffice) y LibreOffice presentaría incorrectamente dicha firma con un algoritmo desconocido como una firma válida emitida por una persona confiable. Este problema afecta a LibreOffice: desde 7.0 antes de 7.0.5, desde 7.1 antes de 7.1.1.