Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en El complemento Clerk WordPress (CVE-2022-3907)
    Severidad: ALTA
    Fecha de publicación: 05/12/2022
    Fecha de última actualización: 08/06/2026
    El complemento Clerk WordPress anterior a 4.0.0 se ve afectado por ataques basados en el tiempo en la función de validación para todas las solicitudes de API debido al uso de operadores de comparación para verificar las claves de API con las almacenadas en las opciones del sitio.
  • Vulnerabilidad en TR-VISION HOME de thermalright (CVE-2026-4255)
    Severidad: ALTA
    Fecha de publicación: 16/03/2026
    Fecha de última actualización: 08/06/2026
    Una vulnerabilidad de secuestro del orden de búsqueda de DLL en Thermalright TR-VISION HOME en Windows (64 bits) permite a un atacante local escalar privilegios mediante la carga lateral de DLL. La aplicación carga ciertas dependencias de biblioteca de vínculos dinámicos (DLL) utilizando el orden de búsqueda predeterminado de Windows, que incluye directorios que pueden ser escribibles por usuarios no privilegiados. Debido a que estos directorios pueden ser modificados por usuarios sin privilegios, un atacante puede colocar una DLL maliciosa con el mismo nombre que una dependencia legítima en un directorio que se busca antes que las ubicaciones de sistema confiables. Cuando la aplicación se ejecuta, lo cual es siempre con privilegios administrativos, la DLL maliciosa se carga en lugar de la biblioteca legítima. La aplicación no impone restricciones sobre las ubicaciones de carga de DLL y no verifica la integridad o la firma digital de las bibliotecas cargadas. Como resultado, código controlado por el atacante puede ser ejecutado dentro del contexto de seguridad de la aplicación, permitiendo la ejecución de código arbitrario con privilegios elevados. La explotación exitosa requiere que un atacante coloque una DLL maliciosa manipulada en un directorio escribible por el usuario que esté incluido en la ruta de búsqueda de DLL de la aplicación y luego haga que la aplicación afectada sea ejecutada. Una vez cargada, la DLL maliciosa se ejecuta con los mismos privilegios que la aplicación. Este problema afecta a las versiones de TR-VISION HOME hasta la 2.0.5 inclusive.