Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en En Trusted Firmware (CVE-2017-7564)
    Severidad: ALTA
    Fecha de publicación: 07/06/2017
    Fecha de última actualización: 08/06/2026
    En Trusted Firmware versión 1.3 de ARM, la interfaz de depuración invasiva segura y auto alojada permite a los atacantes de mundo normal causar una denegación de servicio (pánico de mundo seguro) por medio de vectores que incluyen excepciones de depuración y registros de depuración.
  • Vulnerabilidad en En Trusted Firmware versión (CVE-2017-7563)
    Severidad: ALTA
    Fecha de publicación: 07/06/2017
    Fecha de última actualización: 08/06/2026
    En Trusted Firmware versión 1.3 de ARM, la memoria RO es siempre ejecutable en AArch64 Secure EL1, lo que permite a los atacantes eludir el mecanismo de protección MT_EXECUTE_NEVER. Este problema ocurre debido a la inconsistencia en el número de bits de nunca ejecutados (un bit contra dos bits).
  • Vulnerabilidad en la operación abort() en Trusted Firmware-M (CVE-2021-32032)
    Severidad: ALTA
    Fecha de publicación: 21/05/2021
    Fecha de última actualización: 08/06/2026
    En Trusted Firmware-M hasta la versión 1.3.0, limpiar la memoria asignada para una operación criptográfica de varias partes (en caso de fallo) puede impedir que la operación abort() en la biblioteca criptográfica asociada libere recursos internos, causando un filtrado de la memoria
  • Vulnerabilidad en LiteSpeed Technologies (CVE-2026-31386)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 08/06/2026
    OpenLiteSpeed y LSWS Enterprise proporcionados por LiteSpeed Technologies contienen una vulnerabilidad de inyección de comandos del sistema operativo. Un comando arbitrario del sistema operativo puede ser ejecutado por un atacante con privilegios administrativos.
  • Vulnerabilidad en Mattermost (CVE-2026-3109)
    Severidad: BAJA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 08/06/2026
    Las versiones <=11.4 10.11.11.0 de los plugins de Mattermost no validan las marcas de tiempo de las solicitudes de webhook, lo que permite a un atacante corromper el estado de las reuniones de Zoom en Mattermost mediante solicitudes de webhook repetidas. ID de aviso de Mattermost: MMSA-2026-00584
  • Vulnerabilidad en Mattermost (CVE-2026-3116)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2026
    Fecha de última actualización: 08/06/2026
    Las versiones de los plugins de Mattermost <=11.4 11.0.4 11.1.3 11.3.2 10.11.11.0 no validan el tamaño de las solicitudes entrantes, lo que permite a un atacante autenticado causar interrupción del servicio a través del endpoint de webhook. ID de aviso de Mattermost: MMSA-2026-00589