Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Upload en URL y Edit/Rename files en Tiny File Manager. (CVE-2019-16790)
    Severidad: MEDIA
    Fecha de publicación: 30/12/2019
    Fecha de última actualización: 31/12/2025
    En Tiny File Manager versiones anteriores a la versión 2.3.9, Hay una ejecución de código remota por medio Upload desde URL y Edit/Rename files. Solo los usuarios autenticados están afectados.
  • Vulnerabilidad en la funcionalidad de listado de directorio recursivo de ajax en Tiny File Manage (CVE-2020-12102)
    Severidad: ALTA
    Fecha de publicación: 28/04/2020
    Fecha de última actualización: 31/12/2025
    En Tiny File Manager versión 2.4.1, hay una vulnerabilidad de Salto de Ruta en la funcionalidad de listado de directorio recursivo de ajax. Esto permite a los usuarios autenticados enumerar directorios y archivos en el sistema de archivos (fuera del alcance de la aplicación).
  • Vulnerabilidad en en la funcionalidad de copia de respaldo de archivos ajax (CVE-2020-12103)
    Severidad: ALTA
    Fecha de publicación: 28/04/2020
    Fecha de última actualización: 31/12/2025
    En Tiny File Manager 2.4.1 existe una vulnerabilidad en la funcionalidad de copia de respaldo de archivos ajax que permite a los usuarios autenticados crear copias de respaldo de archivos (con extensión .bak) fuera del alcance en el mismo directorio en el que están almacenados.
  • Vulnerabilidad en la funcionalidad file upload en el archivo tinyfilemanager.php en Tiny File Manager Project's Tiny File Manager (CVE-2021-45010)
    Severidad: ALTA
    Fecha de publicación: 15/03/2022
    Fecha de última actualización: 31/12/2025
    Una vulnerabilidad de cruce de rutas en la funcionalidad de carga de archivos en tinyfilemanager.php en Tiny File Manager antes de la versión 2.4.7 permite a los atacantes remotos (con cuentas de usuario válidas) cargar archivos PHP maliciosos en la raíz web, lo que lleva a la ejecución de código
  • Vulnerabilidad en el repositorio de GitHub prasathmani/tinyfilemanager (CVE-2022-1000)
    Severidad: CRÍTICA
    Fecha de publicación: 17/03/2022
    Fecha de última actualización: 31/12/2025
    Un Salto de Ruta en el repositorio de GitHub prasathmani/tinyfilemanager versiones anteriores a 2.4.7
  • Vulnerabilidad en Tiny File Manager (CVE-2022-45476)
    Severidad: CRÍTICA
    Fecha de publicación: 25/11/2022
    Fecha de última actualización: 31/12/2025
    La versión 2.4.8 de Tiny File Manager ejecuta el código de los archivos cargados por los usuarios de la aplicación, en lugar de simplemente devolverlos para su descarga. Esto es posible porque la aplicación es vulnerable a la carga de archivos no segura.
  • Vulnerabilidad en Tiny File Manager (CVE-2022-23044)
    Severidad: ALTA
    Fecha de publicación: 25/11/2022
    Fecha de última actualización: 31/12/2025
    La versión 2.4.8 de Tiny File Manager permite a un atacante remoto no autenticado persuadir a los usuarios para que realicen acciones no deseadas dentro de la aplicación. Esto es posible porque la aplicación es vulnerable a CSRF.
  • Vulnerabilidad en el parámetro "fullpath" en TinyFileManager (CVE-2021-40964)
    Severidad: MEDIA
    Fecha de publicación: 15/09/2021
    Fecha de última actualización: 31/12/2025
    Se presenta una vulnerabilidad de Salto de Directorio en TinyFileManager en Todas las versiones hasta 2.4.6 incluyéndola, que permite a atacantes subir un archivo (con credenciales de administrador o con la vulnerabilidad CSRF) con el parámetro "fullpath" que contiene cadenas de salto de ruta (../ y ..\) para escapar del directorio de trabajo previsto del servidor y escribir archivos maliciosos en cualquier directorio del ordenador
  • Vulnerabilidad en Tiny File Manager (CVE-2022-45475)
    Severidad: MEDIA
    Fecha de publicación: 25/11/2022
    Fecha de última actualización: 31/12/2025
    La versión 2.4.8 de Tiny File Manager permite que un atacante remoto no autenticado acceda a los archivos internos de la aplicación. Esto es posible porque la aplicación es vulnerable a un control de acceso roto.
  • Vulnerabilidad en una URL en TinyFileManager (CVE-2021-40965)
    Severidad: ALTA
    Fecha de publicación: 15/09/2021
    Fecha de última actualización: 31/12/2025
    Se presenta una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en TinyFileManager en Todas las versiones hasta 2.4.6 incluyéndola, que permite a atacantes subir archivos y ejecutar comandos del Sistema Operativo induciendo al usuario administrador a navegar por una URL controlada por un atacante
  • Vulnerabilidad en el archivo /tinyfilemanager.php en TinyFileManager (CVE-2021-40966)
    Severidad: MEDIA
    Fecha de publicación: 15/09/2021
    Fecha de última actualización: 31/12/2025
    Se presenta una vulnerabilidad de tipo XSS almacenado en TinyFileManager. Todas las versiones hasta 2.4.6 incluyéndola, en el archivo /tinyfilemanager.php cuando el servidor recibe un archivo que contiene HTML y javascript en su nombre. Un usuario malicioso puede subir un archivo con un nombre malicioso que contenga código javascript y se ejecutará en cualquier navegador de usuario cuando éste acceda al servidor
  • Vulnerabilidad en OpenFGA (CVE-2024-56323)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 31/12/2025
    OpenFGA es un motor de autorización/permisos. En OpenFGA v1.3.8 a v1.8.2 (Helm chart openfga-0.1.38 a openfga-0.2.19, docker v1.3.8 a v.1.8.2) son vulnerables a la omisión de la autorización en las siguientes condiciones: 1. llamar a Check API o ListObjects con un modelo que usa [condiciones](https://openfga.dev/docs/modeling/conditions), y 2. llamar a Check API o ListObjects API con [tuplas contextuales](https://openfga.dev/docs/concepts#what-are-contextual-tuples) que incluyen condiciones y 3. OpenFGA está configurado con el almacenamiento en caché habilitado (`OPENFGA_CHECK_QUERY_CACHE_ENABLED`). Se recomienda a los usuarios que actualicen a v1.8.3. No se conocen Workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Umbraco CMS v14.3.1 (CVE-2024-55488)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 31/12/2025
    Una vulnerabilidad Cross-Site Scripting (XSS) Almacenado en Umbraco CMS v14.3.1 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado.
  • Vulnerabilidad en Vitest (CVE-2025-24963)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 31/12/2025
    Vitest es un framework de prueba desarrollado por Vite. El controlador `__screenshot-error` en el servidor HTTP en modo navegador que responde a cualquier archivo en el archivo sistema. Especialmente si el servidor está expuesto en la red por `browser.api.host: true`, un atacante puede enviar una solicitud a ese controlador desde el control remoto para obtener el contenido de archivos arbitrarios. Este controlador `__screenshot-error` en el servidor HTTP en modo navegador responde a cualquier archivo en el tallo sistema. Este código fue agregado por commit `2d62051`. Los usuarios que expongan explícitamente el servidor en modo navegador a la red por `browser.api.host: true` pueden exponer cualquier archivo. Este problema se ha solucionado en las versiones 2.1.9 y 3.0.4. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Vitest (CVE-2025-24964)
    Severidad: CRÍTICA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 31/12/2025
    Vitest es un servidor de pruebas framework desarrollado por Vite. Las versiones afectadas están sujetas a la ejecución remota de código arbitrario cuando se accede a un sitio web malicioso mientras el servidor API de Vitest está escuchando mediante ataques de Cross-site WebSocket hijacking (CSWSH). Cuando la opción `api` está habilitada (la interfaz de usuario de Vitest la habilita), Vitest inicia un servidor WebSocket. Este servidor WebSocket no verificaba el encabezado Origin y no tenía ningún mecanismo de autorización y era vulnerable a ataques CSWSH. Este servidor WebSocket tiene la API `saveTestFile` que puede editar un archivo de prueba y la API `rerun` que puede volver a ejecutar las pruebas. Un atacante puede ejecutar código arbitrario inyectando un código en un archivo de prueba mediante la API `saveTestFile` y luego ejecutando ese archivo llamando a la API `rerun`. Esta vulnerabilidad puede resultar en la ejecución remota de código para los usuarios que usan la API de servicio de Vitest. Este problema se ha corregido en las versiones 1.6.1, 2.1.9 y 3.0.5. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Tiny File Manager (CVE-2022-40490)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2025
    Fecha de última actualización: 31/12/2025
    Se descubrió que Tiny File Manager v2.4.7 y versiones anteriores contienen una vulnerabilidad de Cross Site Scripting (XSS). Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario a través de un payload manipulado inyectado en el nombre de un archivo cargado o ya existente.
  • Vulnerabilidad en Tiny File Manager (CVE-2022-40916)
    Severidad: CRÍTICA
    Fecha de publicación: 06/02/2025
    Fecha de última actualización: 31/12/2025
    Tiny File Manager v2.4.7 y abajo es vulnerable a la fijación de la sesión.
  • Vulnerabilidad en Ays Pro Quiz Maker (CVE-2025-30774)
    Severidad: ALTA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 31/12/2025
    La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en Ays Pro Quiz Maker permite la inyección SQL. Este problema afecta a Quiz Maker desde n/d hasta la versión 6.6.8.7.
  • Vulnerabilidad en Jmix (CVE-2025-32950)
    Severidad: MEDIA
    Fecha de publicación: 22/04/2025
    Fecha de última actualización: 31/12/2025
    Jmix es un conjunto de librerías y herramientas para acelerar el desarrollo de aplicaciones centradas en datos en Spring Boot. En las versiones 1.0.0 a 1.6.1 y 2.0.0 a 2.3.4, los atacantes podían manipular el parámetro FileRef para acceder a los archivos del sistema donde se implementa la aplicación Jmix, siempre que el servidor de aplicaciones cuente con los permisos necesarios. Esto se puede lograr modificando FileRef directamente en la base de datos o proporcionando un valor dañino en el parámetro fileRef del endpoint `/files` de la API REST genérica. Este problema se ha corregido en las versiones 1.6.2 y 2.4.0. Se ofrece un workaround en el sitio web de documentación de Jmix.
  • Vulnerabilidad en Jmix (CVE-2025-32951)
    Severidad: MEDIA
    Fecha de publicación: 22/04/2025
    Fecha de última actualización: 31/12/2025
    Jmix es un conjunto de librerías y herramientas para acelerar el desarrollo de aplicaciones centradas en datos en Spring Boot. En las versiones 1.0.0 a 1.6.1 y 2.0.0 a 2.3.4, el parámetro de entrada, que consiste en la ruta y el nombre del archivo, se puede manipular para devolver el encabezado Content-Type con text/html si el nombre termina en .html. Esto podría permitir la ejecución de código JavaScript malicioso en el navegador. Para que un ataque tenga éxito, es necesario cargar previamente un archivo malicioso. Este problema se ha corregido en las versiones 1.6.2 y 2.4.0. Se ofrece un workaround en el sitio web de documentación de Jmix.
  • Vulnerabilidad en Jmix (CVE-2025-32952)
    Severidad: MEDIA
    Fecha de publicación: 22/04/2025
    Fecha de última actualización: 31/12/2025
    Jmix es un conjunto de librerías y herramientas para acelerar el desarrollo de aplicaciones centradas en datos en Spring Boot. En las versiones 1.0.0 a 1.6.1 y 2.0.0 a 2.3.4, la implementación del almacenamiento local de archivos no restringe el tamaño de los archivos subidos. Un atacante podría aprovechar esta situación subiendo archivos excesivamente grandes, lo que podría provocar que el servidor se quede sin espacio y devuelva un error HTTP 500, lo que resulta en una denegación de servicio. Este problema se ha corregido en las versiones 1.6.2 y 2.4.0. Se ofrece un workaround en el sitio web de documentación de Jmix.
  • Vulnerabilidad en ImageMagick (CVE-2025-43965)
    Severidad: BAJA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 31/12/2025
    En el procesamiento de imágenes MIFF en ImageMagick anterior a 7.1.1-44, la profundidad de la imagen se gestiona incorrectamente después de utilizar SetQuantumFormat.
  • Vulnerabilidad en ImageMagick (CVE-2025-46393)
    Severidad: BAJA
    Fecha de publicación: 23/04/2025
    Fecha de última actualización: 31/12/2025
    En el procesamiento de imágenes MIFF multiespectrales en ImageMagick anterior a 7.1.1-44, packet_size se gestiona incorrectamente (relacionado con la representación de todos los canales en un orden arbitrario).
  • Vulnerabilidad en OpenFGA (CVE-2025-46331)
    Severidad: MEDIA
    Fecha de publicación: 30/04/2025
    Fecha de última actualización: 31/12/2025
    OpenFGA es un motor de autorización y permisos flexible y de alto rendimiento, diseñado para desarrolladores e inspirado en Google Zanzibar. Las versiones de OpenFGA v1.8.10 a v1.3.6 (Helm chart <= openfga-0.2.28, docker <= v.1.8.10) son vulnerables a la omisión de la autorización al ejecutar ciertas llamadas a Check y ListObject. Este problema se ha corregido en la versión 1.8.11.
  • Vulnerabilidad en FastAPI Guard (CVE-2025-46814)
    Severidad: BAJA
    Fecha de publicación: 06/05/2025
    Fecha de última actualización: 31/12/2025
    FastAPI Guard es una librería de seguridad para FastAPI que proporciona middleware para controlar IP, registrar solicitudes y detectar intentos de penetración. Se ha identificado una vulnerabilidad de inyección de encabezado HTTP en versiones anteriores a la 2.0.0. Al manipular el encabezado X-Forwarded-For, un atacante podría inyectar direcciones IP arbitrarias en la solicitud. Esta vulnerabilidad puede permitir a los atacantes eludir los controles de acceso basados en IP, engañar a los sistemas de registro y suplantar la identidad de clientes de confianza. Es especialmente grave cuando la aplicación utiliza el encabezado X-Forwarded-For para la autorización o autenticación basadas en IP. Los usuarios deben actualizar a la versión 2.0.0 de FastAPI Guard para obtener una corrección.
  • Vulnerabilidad en TinyFileManager v2.4.7 (CVE-2025-44998)
    Severidad: MEDIA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 31/12/2025
    Una vulnerabilidad de cross-site scripting (XSS) almacenado en el componente /tinyfilemanager.php de TinyFileManager v2.4.7 permite a los atacantes ejecutar JavaScript o HTML arbitrario mediante la inyección de un payload manipulado en el parámetro js-theme-3.
  • Vulnerabilidad en FLIR AX8 (CVE-2025-6266)
    Severidad: MEDIA
    Fecha de publicación: 19/06/2025
    Fecha de última actualización: 31/12/2025
    Se detectó una vulnerabilidad en FLIR AX8 hasta la versión 1.46. Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /upload.php. La manipulación del argumento "File" permite la carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación sobre esta divulgación, pero no respondió.
  • Vulnerabilidad en FastAPI Guard (CVE-2025-53539)
    Severidad: MEDIA
    Fecha de publicación: 07/07/2025
    Fecha de última actualización: 31/12/2025
    FastAPI Guard es una librería de seguridad para FastAPI que proporciona middleware para controlar IP, registrar solicitudes y detectar intentos de penetración. La detección de intentos de penetración de fastapi-guard utiliza expresiones regulares para analizar las solicitudes entrantes. Sin embargo, algunos patrones de expresiones regulares utilizados en la detección son extremadamente ineficientes y pueden causar retrocesos de complejidad polinómica al procesar entradas especialmente manipuladas. Esta vulnerabilidad se corrigió en la versión 3.0.1.
  • Vulnerabilidad en GreenCMS (CVE-2025-9415)
    Severidad: MEDIA
    Fecha de publicación: 25/08/2025
    Fecha de última actualización: 31/12/2025
    Se identificó una vulnerabilidad en GreenCMS hasta la versión 2.3.0603. Esta afecta a una parte desconocida del archivo /index.php?m=admin&c=media&a=fileconnect. La manipulación del argumento upload[] permite una carga sin restricciones. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.
  • Vulnerabilidad en containerd (CVE-2025-64329)
    Severidad: MEDIA
    Fecha de publicación: 07/11/2025
    Fecha de última actualización: 31/12/2025
    containerd es un tiempo de ejecución de contenedores de código abierto. Las versiones 1.7.28 e inferiores, 2.0.0-beta.0 hasta 2.0.6, 2.1.0-beta.0 hasta 2.1.4, y 2.2.0-beta.0 hasta 2.2.0-rc.1 contienen un error en la implementación de CRI Attach donde un usuario puede agotar la memoria en el host debido a fugas de goroutines. Este problema está solucionado en las versiones 1.7.29, 2.0.7, 2.1.5 y 2.2.0. Como solución alternativa a esta vulnerabilidad, los usuarios pueden configurar un controlador de admisión para controlar los accesos a los recursos pods/attach.
  • Vulnerabilidad en BusyBox (CVE-2025-60876)
    Severidad: MEDIA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 31/12/2025
    BusyBox wget hasta la versión 1.3.7 aceptaba CR (0x0D)/LF (0x0A) sin procesar y otros bytes de control C0 en el *request-target* HTTP (ruta/consulta), lo que permitía dividir la línea de solicitud e inyectar encabezados controlados por el atacante. Para preservar la forma de la línea de solicitud HTTP/1.1 *MÉTODO SP request-target SP HTTP/1.1*, un espacio sin procesar (0x20) en el *request-target* también debe ser rechazado (los clientes deben usar %20).
  • Vulnerabilidad en changedetection.io (CVE-2025-62780)
    Severidad: BAJA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 31/12/2025
    changedetection.io es una herramienta de detección de cambios en páginas web de código abierto gratuita. Un Cross-Site Scripting Almacenado está presente en la API de actualización de Watch de changedetection.io en versiones anteriores a la 0.50.34 debido a comprobaciones de seguridad insuficientes. Dos escenarios son posibles. En el primero, un atacante puede insertar un nuevo watch con una URL arbitraria que realmente apunta a una página web. Una vez que se recupera el contenido HTML, el atacante actualiza la URL con una carga útil de JavaScript. En el segundo, un atacante sustituye la URL en un watch existente con una nueva URL que es en realidad una carga útil de JavaScript. Cuando el usuario hace clic en *Preview* y luego en el enlace malicioso, se ejecuta el código malicioso de JavaScript. La versión 0.50.34 corrige el problema.
  • Vulnerabilidad en OneFlow (CVE-2025-63397)
    Severidad: MEDIA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 31/12/2025
    La validación de entrada inadecuada en OneFlow v0.9.0 permite a los atacantes causar un fallo de segmentación mediante la adición de una secuencia de Python al código nativo durante la difusión/conversión de tipos.
  • Vulnerabilidad en Pdfminer.six (CVE-2025-64512)
    Severidad: ALTA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 31/12/2025
    Pdfminer.six es una bifurcación mantenida por la comunidad del PDFMiner original, una herramienta para extraer información de documentos PDF. Antes de la versión 20251107, pdfminer.six ejecutará código arbitrario de un archivo pickle malicioso si se le proporciona un archivo PDF malicioso. La función 'CMapDB._load_data()' en pdfminer.six utiliza 'pickle.loads()' para deserializar archivos pickle. Se supone que estos archivos pickle forman parte de la distribución de pdfminer.six almacenada en el directorio 'cmap/', pero un PDF malicioso puede especificar un directorio y nombre de archivo alternativos siempre que el nombre de archivo termine en '.pickle.gz'. Un archivo pickle malicioso y comprimido puede entonces contener código que se ejecutará automáticamente cuando se procese el PDF. La versión 20251107 corrige el problema.
  • Vulnerabilidad en TorrentPier (CVE-2025-64519)
    Severidad: ALTA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 31/12/2025
    TorrentPier es un motor de tracker BitTorrent Público/Privado de código abierto, escrito en PHP. En versiones hasta la 2.8.8 inclusive, existe una vulnerabilidad de inyección SQL autenticada en el panel de control del moderador ('modcp.php'). Los usuarios con permisos de moderador pueden explotar esta vulnerabilidad suministrando un parámetro 'topic_id' ('t') malicioso. Esto permite a un moderador autenticado ejecutar consultas SQL arbitrarias, lo que lleva a la posible divulgación, modificación o eliminación de cualquier dato en la base de datos. Aunque requiere privilegios de moderador, sigue siendo grave. Una cuenta de moderador maliciosa o comprometida puede aprovechar esta vulnerabilidad para leer, modificar o eliminar datos. Un parche está disponible en el commit 6a0f6499d89fa5d6e2afa8ee53802a1ad11ece80.
  • Vulnerabilidad en Soft Serve (CVE-2025-64522)
    Severidad: CRÍTICA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 31/12/2025
    Soft Serve es un servidor Git autoalojable para la línea de comandos. Las versiones anteriores a la 0.11.1 tienen una vulnerabilidad SSRF donde las URL de los webhooks no son validadas, permitiendo a los administradores del repositorio crear webhooks que apunten a servicios internos, redes privadas y puntos finales de metadatos en la nube. La versión 0.11.1 corrige la vulnerabilidad.