Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Samsung Mobile (CVE-2025-20941)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 05/02/2026
    El control de acceso inadecuado en InputManager para SMR Apr-2025 Release 1 permite que atacantes locales accedan al código de escaneo de un dispositivo de entrada específico.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20942)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 05/02/2026
    La verificación incorrecta de la intención por parte del receptor de transmisión en DeviceIdService antes de la versión 1 de SMR de abril de 2025 permite que los atacantes locales restablezcan OAID.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20943)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 05/02/2026
    La escritura fuera de los límites en el trustlet secfr anterior a la versión 1 de SMR de abril de 2025 permite que atacantes privilegiados locales provoquen corrupción en la memoria.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20944)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 05/02/2026
    La lectura fuera de los límites al analizar datos de audio en libsavsac.so antes de SMR Apr-2025 Release 1 permite que atacantes locales lean memoria fuera de los límites.
  • Vulnerabilidad en ClipboardService (CVE-2025-20947)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 05/02/2026
    La gestión incorrecta de permisos o privilegios insuficientes en ClipboardService antes de la versión 1 de SMR (abril de 2025) permite a atacantes locales acceder a archivos de imagen de varios usuarios. Se requiere la interacción del usuario para activar esta vulnerabilidad.
  • Vulnerabilidad en Samsung Mobile (CVE-2025-20948)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2025
    Fecha de última actualización: 05/02/2026
    La lectura fuera de los límites en la inscripción con el trustlet secfr de frame CDSP anterior a la versión 1 de SMR de abril de 2025 permite que atacantes privilegiados locales lean memoria fuera de los límites.
  • Vulnerabilidad en FortiClientMac y FortiVoiceUCDesktop (CVE-2024-35281)
    Severidad: BAJA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 05/02/2026
    Una vulnerabilidad de aislamiento o compartimentación inadecuada [CWE-653] en la aplicación de escritorio FortiClientMac versión 7.4.2 y anteriores, versión 7.2.8 y anteriores, 7.0 todas las versiones y FortiVoiceUCDesktop 3.0 todas las versiones puede permitir que un atacante autenticado inyecte código a través de variables de entorno de Electron.
  • Vulnerabilidad en CrushFTP11 (CVE-2025-63420)
    Severidad: MEDIA
    Fecha de publicación: 07/11/2025
    Fecha de última actualización: 05/02/2026
    Una vulnerabilidad de cross-site scripting (XSS) almacenada en el Panel de administración de CrushFTP 11.3.7_50 (Informes / 'Quién creó la carpeta') permite a atacantes autenticados con permisos para crear carpetas inyectar HTML/JavaScript malicioso.
  • Vulnerabilidad en RISC-V Rocket-Chip (CVE-2025-63384)
    Severidad: MEDIA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 05/02/2026
    Se descubrió una vulnerabilidad en RISC-V Rocket-Chip v1.6 y versiones anteriores, donde la instrucción SRET (Supervisor-mode Exception Return) no logra transicionar correctamente el nivel de privilegio del procesador. En lugar de bajar de categoría desde el modo Máquina (M-mode) a modo Supervisor (S-mode) según lo especificado por el bit sstatus.SPP, el procesador permanece incorrectamente en M-mode, lo que lleva a una vulnerabilidad crítica de retención de privilegios.
  • Vulnerabilidad en KERUI K259 5MP Wi-Fi / Tuya Smart Security Camera (CVE-2025-63296)
    Severidad: MEDIA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 05/02/2026
    El firmware v33.53.87 de la cámara de seguridad inteligente KERUI K259 5MP Wi-Fi / Tuya contiene una vulnerabilidad de ejecución de código en su lógica de arranque/actualización: durante el arranque, /usr/sbin/anyka_service.sh escanea las tarjetas TF/SD montadas y, si /mnt/update.nor.sh está presente, lo copia a /tmp/net.sh y lo ejecuta como root.
  • Vulnerabilidad en ktg-mes (CVE-2025-63617)
    Severidad: MEDIA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 05/02/2026
    ktg-mes anterior al commit a484f96 (2025-07-03) tiene una vulnerabilidad de deserialización de fastjson. Esto se debe a que utiliza una versión vulnerable de fastjson y deserializa datos de entrada inseguros.