Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Microsoft Office Excel (CVE-2009-0238)
    Severidad: ALTA
    Fecha de publicación: 25/02/2009
    Fecha de última actualización: 22/04/2026
    Microsoft Office Excel 2000 SP3, 2002 SP3, 2003 SP3 y 2007 SP1; Excel Viewer 2003 Gold y SP3; Excel Viewer; Compatibility Pack para Word, Excel y PowerPoint 2007 File Formats SP1; y Excel de Microsoft Office 2004 y 2008 para Mac; permiten a atacantes remotos ejecutar código de su elección a través de un documento Excel manipulado que provoca un intento de acceso a un objeto no válido, tal y como se ha explotado libremente en Febrero 2009 por MDropper.XR.
  • Vulnerabilidad en Microsoft Office, Microsoft Visual Basic (CVE-2012-1854)
    Severidad: ALTA
    Fecha de publicación: 10/07/2012
    Fecha de última actualización: 22/04/2026
    Vulnerabilidad de búsqueda de ruta no confiable ("Untrusted search path") en VBE6.dll en Microsoft Office 2003 SP3, 2007 SP2 y SP3, y 2010 Gold y SP1; Microsoft Visual Basic para Applications (VBA); y Summit Microsoft Visual Basic para Applications SDK permite a usuarios locales conseguir privilegios a través de un troyano dll en el directorio de trabajo actual, como lo demuestra un directorio que contiene un archivo. docx, también conocido como vulnerabilidad "Visual Basic para la carga de librerías inseguras"," como fue explotado en julio de 2012.
  • Vulnerabilidad en Internet Explorer (CVE-2012-4792)
    Severidad: ALTA
    Fecha de publicación: 30/12/2012
    Fecha de última actualización: 22/04/2026
    Una vulnerabilidad de uso después de liberación en Microsoft Internet Explorer v6 a v8 permite a atacantes remotos ejecutar código de su elección a través de un sitio web diseñado para tal fin que desencadena el acceso a un objeto que (1) no se asignó correctamente o (2) se elimina, tal y como se demuestra con un objeto CDwnBindInfo y es explotado en Diciembre de 2012.
  • Vulnerabilidad en Apache Struts (CVE-2013-2251)
    Severidad: CRÍTICA
    Fecha de publicación: 20/07/2013
    Fecha de última actualización: 22/04/2026
    Apache Struts v2.0.0 hasta v2.3.15 permite a atacantes remotos ejecutar expresiones OGNL arbitrarias mediante un parámetro con una (1)acción:, (2) redirect:, o (3) redirectAction:
  • Vulnerabilidad en la configuración por defecto en Elasticsearch (CVE-2014-3120)
    Severidad: ALTA
    Fecha de publicación: 28/07/2014
    Fecha de última actualización: 22/04/2026
    La configuración por defecto en Elasticsearch anterior a 1.2 habilita secuencias de comandos dinámicos, lo que permite a atacantes remotos ejecutar expresiones MVEL arbitrarias y código Java a través del parámetro source en _search. NOTA: esto solamente viola la política de seguridad del proveedor si el usuario no hace funcionar Elasticsearch en su propia maquina virtual independiente.
  • Vulnerabilidad en Progress Telerik UI (CVE-2017-11357)
    Severidad: CRÍTICA
    Fecha de publicación: 23/08/2017
    Fecha de última actualización: 22/04/2026
    Progress Telerik UI para ASP.NET AJAX en versiones anteriores a la R2 2017 SP2 no restringe correctamente las entradas por parte de un usuario en RadAsyncUpload, lo que permite que atacantes remotos realicen subidas de archivos arbitrarios o ejecuten código arbitrario.
  • Vulnerabilidad en InformationCardSigninHelper Class ActiveX control in icardie.dll in Microsoft Windows XP SP2 and SP3, Windows Server (CVE-2013-3918)
    Severidad: ALTA
    Fecha de publicación: 12/11/2013
    Fecha de última actualización: 22/04/2026
    El control InformationCardSigninHelper Class ActiveX en la biblioteca icardie.dll in Microsoft Windows XP SP2 and SP3, Windows Server versión 2003 SP2, Windows Vista versión SP2, Windows Server versión 2008 SP2 y R2 SP1, Windows 7 SP1, Windows 8, Windows versión 8.1, Windows Server 2012 Gold and R2, y Windows RT Gold y versión 8.1 permiten a los atacantes remotos ejecutar código arbitrario o provocar una Denegación de Servicio (escritura fuera de límites) por medio de una página web creada a la que accede Internet Explorer, explotada de forma inminente en noviembre de 2013, también conocida como "InformationCardSigninHelper Vulnerability."
  • Vulnerabilidad en Adobe Connect (CVE-2025-27203)
    Severidad: CRÍTICA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 22/04/2026
    Las versiones 24.0 y anteriores de Adobe Connect se ven afectadas por una vulnerabilidad de deserialización de datos no confiables que podría provocar la ejecución de código arbitrario por parte de un atacante. La explotación de este problema requiere la interacción del usuario y se modifica el alcance.
  • Vulnerabilidad en wiki de HytaleModding (CVE-2026-32736)
    Severidad: MEDIA
    Fecha de publicación: 18/03/2026
    Fecha de última actualización: 22/04/2026
    La Wiki de Modding de Hytale es un servicio gratuito para que los mods de Hytale alojen su documentación y wikis. Una vulnerabilidad de Referencia Directa a Objeto Insegura (IDOR) en versiones de la wiki anteriores a la 1.0.0 expone la información personal de los autores de mods - incluyendo nombres completos y direcciones de correo electrónico - a cualquier usuario autenticado que visita una página de mod. Cualquier usuario que crea una cuenta puede acceder a detalles sensibles del autor simplemente navegando a la página de un mod a través de su slug. La versión 1.0.0 soluciona el problema.
  • Vulnerabilidad en FootPrints de BMC Software, Inc. (CVE-2025-71257)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 22/04/2026
    Las versiones 20.20.02 a 20.24.01.001 de BMC FootPrints ITSM contienen una vulnerabilidad de omisión de autenticación debido a la aplicación incorrecta de filtros de seguridad en puntos finales de API REST y servlets restringidos. Atacantes remotos no autenticados pueden omitir los controles de acceso para invocar funcionalidades restringidas y obtener acceso no autorizado a los datos de la aplicación y modificar los recursos del sistema. Los siguientes hotfixes remedian la vulnerabilidad: 20.20.02, 20.20.03.002, 20.21.01.001, 20.21.02.002, 20.22.01, 20.22.01.001, 20.23.01, 20.23.01.002 y 20.24.01.
  • Vulnerabilidad en FootPrints de BMC Software, Inc. (CVE-2025-71258)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 22/04/2026
    Las versiones 20.20.02 a 20.24.01.001 de BMC FootPrints ITSM contienen una vulnerabilidad de falsificación de petición del lado del servidor ciega en el componente API searchWeb que permite a atacantes autenticados hacer que el servidor inicie peticiones salientes arbitrarias. Los atacantes pueden explotar una validación de URL incorrecta para realizar escaneo de red interno o interactuar con servicios internos, afectando la disponibilidad del sistema. Los siguientes hotfixes remedian la vulnerabilidad: 20.20.02, 20.20.03.002, 20.21.01.001, 20.21.02.002, 20.22.01, 20.22.01.001, 20.23.01, 20.23.01.002 y 20.24.01.
  • Vulnerabilidad en FootPrints de BMC Software, Inc. (CVE-2025-71259)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 22/04/2026
    Las versiones 20.20.02 a 20.24.01.001 de BMC FootPrints ITSM contienen una vulnerabilidad de falsificación de petición del lado del servidor ciega en el componente API externalfeed/RSS que permite a atacantes autenticados activar peticiones salientes arbitrarias desde el servidor. Los atacantes pueden explotar la validación insuficiente de referencias de recursos suministradas externamente para interactuar con servicios internos o causar agotamiento de recursos que afecte la disponibilidad. Los siguientes hotfixes remedian la vulnerabilidad: 20.20.02, 20.20.03.002, 20.21.01.001, 20.21.02.002, 20.22.01, 20.22.01.001, 20.23.01, 20.23.01.002 y 20.24.01.
  • Vulnerabilidad en FootPrints de BMC Software, Inc. (CVE-2025-71260)
    Severidad: ALTA
    Fecha de publicación: 19/03/2026
    Fecha de última actualización: 22/04/2026
    Las versiones 20.20.02 a 20.24.01.001 de BMC FootPrints ITSM contienen una vulnerabilidad de deserialización de datos no confiables en el manejo del VIEWSTATE del servlet de ASP.NET que permite a atacantes autenticados ejecutar código arbitrario. Los atacantes pueden suministrar objetos serializados manipulados al parámetro VIEWSTATE para lograr la ejecución remota de código y comprometer completamente la aplicación. Los siguientes hotfixes remedian la vulnerabilidad: 20.20.02, 20.20.03.002, 20.21.01.001, 20.21.02.002, 20.22.01, 20.22.01.001, 20.23.01, 20.23.01.002, y 20.24.01.
  • Vulnerabilidad en perl de SHAY (CVE-2026-4176)
    Severidad: CRÍTICA
    Fecha de publicación: 29/03/2026
    Fecha de última actualización: 22/04/2026
    Las versiones de Perl desde la 5.9.4 anteriores a la 5.40.4-RC1, desde la 5.41.0 anteriores a la 5.42.2-RC1, y desde la 5.43.0 anteriores a la 5.43.9 contienen una versión vulnerable de Compress::Raw::Zlib. Compress::Raw::Zlib está incluido en el paquete de Perl como un módulo central de doble vida, y es vulnerable a CVE-2026-3381 debido a una versión empaquetada de zlib que tiene varias vulnerabilidades, incluyendo CVE-2026-27171. El Compress::Raw::Zlib empaquetado fue actualizado a la versión 2.221 en el commit de Perl blead c75ae9cc164205e1b6d6dbd57bd2c65c8593fe94.