Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en QNAP (CVE-2023-23354)
    Severidad: ALTA
    Fecha de publicación: 19/12/2024
    Fecha de última actualización: 20/01/2026
    Se ha informado de una vulnerabilidad de cross-site scripting (XSS) que afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a atacantes remotos que hayan obtenido acceso de usuario eludir los mecanismos de seguridad o leer datos de la aplicación. Ya hemos corregido la vulnerabilidad en las siguientes versiones: QuLog Center 1.5.0.738 (06/03/2023) y posteriores QuLog Center 1.4.1.691 (01/03/2023) y posteriores QuLog Center 1.3.1.645 (22/02/2023) y posteriores
  • Vulnerabilidad en QNAP (CVE-2023-23357)
    Severidad: MEDIA
    Fecha de publicación: 19/12/2024
    Fecha de última actualización: 20/01/2026
    Se ha informado de una vulnerabilidad de cross-site scripting (XSS) que afecta a varias versiones del sistema operativo QNAP. Si se explota, la vulnerabilidad podría permitir a atacantes remotos que hayan obtenido acceso de administrador eludir los mecanismos de seguridad o leer datos de la aplicación. Ya hemos corregido la vulnerabilidad en las siguientes versiones: QuLog Center 1.5.0.738 (06/03/2023) y posteriores QuLog Center 1.4.1.691 (01/03/2023) y posteriores QuLog Center 1.3.1.645 (22/02/2023) y posteriores
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-26627)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 20/01/2026
    La neutralización incorrecta de elementos especiales utilizados en un comando ('inyección de comando') en Azure Arc permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en wpeverest User Registration (CVE-2025-30899)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2025
    Fecha de última actualización: 20/01/2026
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en wpeverest User Registration permite XSS almacenado. Este problema afecta al registro de usuario desde n/d hasta la versión 4.0.3.
  • Vulnerabilidad en UPDF (CVE-2025-10215)
    Severidad: ALTA
    Fecha de publicación: 10/09/2025
    Fecha de última actualización: 20/01/2026
    Vulnerabilidad de secuestro de la ruta de búsqueda de DLL en el ejecutable UPDF.exe para Windows versión 1.8.5.0 permite a atacantes con acceso local ejecutar código arbitrario al colocar un archivo FREngine.dll de su elección en el directorio 'C:\Users\Public\AppData\Local\UPDF\FREngine\Bin64\', lo que podría llevar a la ejecución de código arbitrario y persistencia.