Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en DIRAC (CVE-2024-29905)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/01/2026
    DIRAC es un interware, es decir, un marco de software para informática distribuida. Antes de la versión 8.0.41, durante el proceso de generación del proxy (por ejemplo, cuando se usa `dirac-proxy-init`), es posible que usuarios no autorizados en la misma máquina obtengan acceso de lectura al proxy. Esto permite al usuario realizar cualquier acción posible con el proxy original. Esta vulnerabilidad solo existe durante un corto período de tiempo (menos de un milisegundo) durante el proceso de generación. La versión 8.0.41 contiene un parche para el problema. Como workaround, configurar la variable de entorno `X509_USER_PROXY` en una ruta que esté dentro de un directorio que solo sea legible para el usuario actual evita el riesgo potencial. Una vez escrito el archivo, se puede copiar de forma segura a la ubicación estándar (`/tmp/x509up_uNNNN`).
  • Vulnerabilidad en yt-dlp de youtube-dl (CVE-2024-22423)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/01/2026
    yt-dlp es una bifurcación de youtube-dl con funciones y correcciones adicionales. El parche que solucionó CVE-2023-40581 intentó evitar RCE al usar `--exec` con `%q` reemplazando comillas dobles con dos comillas dobles. Sin embargo, este escape no es suficiente y aún permite la expansión de las variables de entorno. La compatibilidad con la expansión de la plantilla de salida en `--exec`, junto con este comportamiento vulnerable, se agregó a `yt-dlp` en la versión 2021.04.11. La versión 2024.04.09 de yt-dlp soluciona este problema al escapar correctamente de `%`. Los reemplaza con `%%cd:~,%`, una variable que se expande a nada, dejando solo el porcentaje principal. Se recomienda actualizar yt-dlp a la versión 2024.04.09 lo antes posible. Además, siempre tenga cuidado al usar `--exec`, porque si bien esta vulnerabilidad específica ha sido parcheada, usar entradas no validadas en los comandos del shell es intrínsecamente peligroso. Para los usuarios de Windows que no pueden actualizar, evite usar cualquier expansión de plantilla de salida en `--exec` que no sea `{}` (ruta de archivo); si se necesita expansión en `--exec`, verifique que los campos que está usando no contengan `"`, `|` o `&`; y/o en lugar de usar `--exec`, escriba la información json y cargue los campos de él en su lugar.
  • Vulnerabilidad en Rust (CVE-2024-24576)
    Severidad: CRÍTICA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 05/01/2026
    Rust es un lenguaje de programación. Se notificó al Grupo de Trabajo de Respuesta de Seguridad de Rust que la librería estándar de Rust anterior a la versión 1.77.2 no escapaba correctamente a los argumentos al invocar archivos por lotes (con las extensiones `bat` y `cmd`) en Windows usando el `Comando`. Un atacante capaz de controlar los argumentos pasados al proceso generado podría ejecutar comandos de shell arbitrarios evitando el escape. La gravedad de esta vulnerabilidad es crítica para quienes invocan archivos por lotes en Windows con argumentos que no son de confianza. Ninguna otra plataforma o uso se ve afectado. Las API `Command::arg` y `Command::args` establecen en su documentación que los argumentos se pasarán al proceso generado tal cual, independientemente del contenido de los argumentos, y no serán evaluados por un shell. Esto significa que debería ser seguro pasar entradas que no sean de confianza como argumento. En Windows, la implementación de esto es más compleja que en otras plataformas, porque la API de Windows solo proporciona una única cadena que contiene todos los argumentos del proceso generado, y depende del proceso generado dividirlos. La mayoría de los programas utilizan el argv estándar en tiempo de ejecución de C, que en la práctica da como resultado una forma mayoritariamente consistente de dividir los argumentos. Sin embargo, una excepción es `cmd.exe` (utilizado, entre otras cosas, para ejecutar archivos por lotes), que tiene su propia lógica de división de argumentos. Eso obliga a la librería estándar a implementar un escape personalizado para los argumentos pasados a archivos por lotes. Desafortunadamente, se informó que nuestra lógica de escape no era lo suficientemente exhaustiva y era posible pasar argumentos maliciosos que darían como resultado una ejecución arbitraria del shell. Debido a la complejidad de `cmd.exe`, no identificamos una solución que escapara correctamente de los argumentos en todos los casos. Para mantener nuestras garantías de API, mejoramos la solidez del código de escape y cambiamos la API `Command` para que devuelva un error [`InvalidInput`][4] cuando no puede escapar de forma segura de un argumento. Este error se emitirá al generar el proceso. La solución está incluida en Rust 1.77.2. Tenga en cuenta que la nueva lógica de escape para archivos por lotes es conservadora y podría rechazar argumentos válidos. Aquellos que implementan el escape ellos mismos o solo manejan entradas confiables en Windows también pueden usar el método `CommandExt::raw_arg` para evitar la lógica de escape de la librería estándar.
  • Vulnerabilidad en OpenFGA (CVE-2024-31452)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 05/01/2026
    OpenFGA es un motor de autorización/permiso flexible y de alto rendimiento. Algunos usuarios finales de OpenFGA v1.5.0 o posterior son vulnerables a la omisión de autorización al llamar a las API Check o ListObjects. Es muy probable que se vea afectado si su modelo implica exclusión (por ejemplo, "a pero no b") o intersección (por ejemplo, "a y b"). Esta vulnerabilidad se solucionó en v1.5.3.
  • Vulnerabilidad en Cisco (CVE-2024-20357)
    Severidad: MEDIA
    Fecha de publicación: 01/05/2024
    Fecha de última actualización: 05/01/2026
    Una vulnerabilidad en el servicio XML del firmware del teléfono IP de Cisco podría permitir que un atacante remoto no autenticado inicie llamadas telefónicas en un dispositivo afectado. Esta vulnerabilidad existe porque la verificación de los límites no se produce al analizar solicitudes XML. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud XML manipulada a un dispositivo afectado. Un exploit exitoso podría permitir al atacante iniciar llamadas o reproducir sonidos en el dispositivo.
  • Vulnerabilidad en Cisco (CVE-2024-20376)
    Severidad: ALTA
    Fecha de publicación: 01/05/2024
    Fecha de última actualización: 05/01/2026
    Una vulnerabilidad en la interfaz de administración basada en web del firmware del teléfono IP de Cisco podría permitir que un atacante remoto no autenticado provoque la recarga de un dispositivo afectado, lo que resultaría en una condición DoS. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud manipulada a la interfaz de administración basada en web de un dispositivo afectado. Un exploit exitoso podría permitir al atacante hacer que el dispositivo afectado se recargue.
  • Vulnerabilidad en Cisco (CVE-2024-20378)
    Severidad: ALTA
    Fecha de publicación: 01/05/2024
    Fecha de última actualización: 05/01/2026
    Una vulnerabilidad en la interfaz de administración basada en web del firmware del teléfono IP de Cisco podría permitir que un atacante remoto no autenticado recupere información confidencial de un dispositivo afectado. Esta vulnerabilidad se debe a la falta de autenticación para endpoints específicos de la interfaz de administración basada en web en un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad conectándose al dispositivo afectado. Un exploit exitoso podría permitir al atacante obtener acceso no autorizado al dispositivo, lo que permitiría registrar las credenciales del usuario y el tráfico hacia y desde el dispositivo afectado, incluidas las llamadas VoIP que podrían reproducirse.
  • Vulnerabilidad en WordPress Core (CVE-2024-4439)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 05/01/2026
    WordPress Core es vulnerable a Cross-Site Scripting Almacenado a través de nombres para mostrar de usuario en el bloque Avatar en varias versiones hasta 6.5.2 debido a una salida insuficiente que se escapa en el nombre para mostrar. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Además, también hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que tienen el bloque de comentarios presente y muestran el avatar del autor del comentario.
  • Vulnerabilidad en Cisco (CVE-2024-20445)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 05/01/2026
    Una vulnerabilidad en la interfaz de usuario web de los teléfonos de escritorio Cisco de la serie 9800, los teléfonos IP de la serie 7800 y 8800 de Cisco y el teléfono con video Cisco 8875 podría permitir que un atacante remoto no autenticado acceda a información confidencial en un dispositivo afectado. Esta vulnerabilidad se debe al almacenamiento inadecuado de información confidencial dentro de la interfaz de usuario web de las cargas de teléfonos basadas en el protocolo de inicio de sesión (SIP). Un atacante podría aprovechar esta vulnerabilidad navegando hasta la dirección IP de un dispositivo que tenga habilitado el acceso web. Una explotación exitosa podría permitir al atacante acceder a información confidencial, incluidos los registros de llamadas entrantes y salientes. Nota: el acceso web está deshabilitado de forma predeterminada.
  • Vulnerabilidad en Cisco (CVE-2024-20533)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 05/01/2026
    Una vulnerabilidad en la interfaz de usuario web de los teléfonos de escritorio Cisco de la serie 9800, los teléfonos IP Cisco de las series 6800, 7800 y 8800 y el teléfono con video Cisco 8875 con firmware multiplataforma de Cisco podría permitir que un atacante remoto autenticado realice ataques de cross-site scripting (XSS) almacenado contra los usuarios. Esta vulnerabilidad existe porque la interfaz de usuario web de un dispositivo afectado no valida correctamente la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad inyectando código malicioso en páginas específicas de la interfaz. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Nota: Para aprovechar esta vulnerabilidad, el acceso web debe estar habilitado en el teléfono y el atacante debe tener credenciales de administrador en el dispositivo. El acceso web está deshabilitado de forma predeterminada.
  • Vulnerabilidad en Cisco (CVE-2024-20534)
    Severidad: MEDIA
    Fecha de publicación: 06/11/2024
    Fecha de última actualización: 05/01/2026
    Una vulnerabilidad en la interfaz de usuario web de los teléfonos de escritorio Cisco de la serie 9800, los teléfonos IP Cisco de las series 6800, 7800 y 8800 y el teléfono con video Cisco 8875 con firmware multiplataforma de Cisco podría permitir que un atacante remoto autenticado realice ataques de cross-site scripting (XSS) almacenado contra los usuarios. Esta vulnerabilidad existe porque la interfaz de usuario web de un dispositivo afectado no valida correctamente la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad inyectando código malicioso en páginas específicas de la interfaz. Una explotación exitosa podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador. Nota: Para aprovechar esta vulnerabilidad, el acceso web debe estar habilitado en el teléfono y el atacante debe tener credenciales de administrador en el dispositivo. El acceso web está deshabilitado de forma predeterminada.
  • Vulnerabilidad en Arm Limited (CVE-2024-5660)
    Severidad: CRÍTICA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 05/01/2026
    El uso de agregación de páginas de hardware (HPA) y traducción de etapa 1 y/o etapa 2 en A77, A78, A78C, A78AE, A710, V1, V2, V3, V3AE, X1, X1C, X2, X3, X4, N2, X925 y Travis puede permitir la omisión de la traducción de etapa 2 y/o la protección GPT.