Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el plugin URL Shortify de WordPress (CVE-2021-24749)
    Severidad: MEDIA
    Fecha de publicación: 29/11/2021
    Fecha de última actualización: 30/01/2026
    El plugin URL Shortify de WordPress versiones anteriores a 1.5.1, no presenta una comprobación de CSRF cuando se eliminan enlaces o grupos de forma masiva, lo que podría permitir a atacantes hacer que un administrador conectado elimine enlaces y grupos arbitrarios por medio de un ataque de tipo CSRF
  • Vulnerabilidad en Typebot (CVE-2024-30264)
    Severidad: ALTA
    Fecha de publicación: 04/04/2024
    Fecha de última actualización: 30/01/2026
    Typebot es un creador de chatbots de código abierto. Un cross-site scripting (XSS) reflejado en la página de inicio de sesión de typebot.io antes de la versión 2.24.0 puede permitir que un atacante se apodere de la cuenta de un usuario. La página de inicio de sesión toma el parámetro `redirectPath` de la URL. Si un usuario hace clic en un enlace donde el parámetro `redirectPath` tiene un esquema javascript, el atacante que creó el enlace puede ejecutar JavaScript arbitrario con los privilegios del usuario. La versión 2.24.0 contiene un parche para este problema.
  • Vulnerabilidad en 1E Limited (CVE-2025-1683)
    Severidad: ALTA
    Fecha de publicación: 12/03/2025
    Fecha de última actualización: 30/01/2026
    La resolución de enlace incorrecta antes del acceso a archivos en el módulo Nomad del Cliente 1E, en versiones anteriores a la 25.3, permite a un atacante con acceso local sin privilegios en un sistema Windows eliminar archivos arbitrarios en el dispositivo mediante la explotación de enlaces simbólicos.
  • Vulnerabilidad en memory_pages 0.1.0 para Rust (CVE-2025-48754)
    Severidad: BAJA
    Fecha de publicación: 24/05/2025
    Fecha de última actualización: 30/01/2026
    En el paquete memory_pages 0.1.0 para Rust, puede ocurrir una división por cero.
  • Vulnerabilidad en spiral-rs 0.2.0 para Rust (CVE-2025-48755)
    Severidad: BAJA
    Fecha de publicación: 24/05/2025
    Fecha de última actualización: 30/01/2026
    En el paquete spiral-rs 0.2.0 para Rust, se puede intentar la asignación de un ZST (tipo de tamaño cero).
  • Vulnerabilidad en group_number (CVE-2025-48756)
    Severidad: BAJA
    Fecha de publicación: 24/05/2025
    Fecha de última actualización: 30/01/2026
    En group_number en el paquete scsir 0.2.0 para Rust, puede haber un desbordamiento porque un dispositivo de hardware puede esperar una pequeña cantidad de bits (por ejemplo, 5 bits) para el número de grupo.
  • Vulnerabilidad en Junos de Juniper Networks (CVE-2025-52981)
    Severidad: ALTA
    Fecha de publicación: 11/07/2025
    Fecha de última actualización: 30/01/2026
    Una vulnerabilidad de Comprobación Incorrecta de Condiciones Inusuales o Excepcionales en el daemon de procesamiento de flujo (flowd) del sistema operativo Junos de Juniper Networks en SRX1600, SRX2300, SRX 4000 y SRX5000 con SPC3 permite que un atacante no autenticado basado en la red provoque una denegación de servicio (DoS). Si se recibe una secuencia de paquetes PIM específicos, flowd se bloqueará y reiniciará. Este problema afecta a Junos OS: * todas las versiones anteriores a 21.2R3-S9, * versiones 21.4 anteriores a 21.4R3-S11, * versiones 22.2 anteriores a 22.2R3-S7, * versiones 22.4 anteriores a 22.4R3-S6, * versiones 23.2 anteriores a 23.2R2-S4, * versiones 23.4 anteriores a 23.4R2-S4, * versiones 24.2 anteriores a 24.2R2. Se trata de una vulnerabilidad similar, pero diferente, a la reportada como CVE-2024-47503, publicada en JSA88133.