Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el sistema de archivos local en la interfaz REST del proceso JobManager en Apache Flink (CVE-2020-17519)
    Severidad: MEDIA
    Fecha de publicación: 05/01/2021
    Fecha de última actualización: 10/06/2024
    Un cambio introducido en Apache Flink versión 1.11.0 (y lanzado en versiones 1.11.1 y 1.11.2 también) permite a atacantes leer cualquier archivo en el sistema de archivos local de JobManager por medio de la interfaz REST del proceso JobManager. El acceso está restringido a los archivos accesibles por medio del proceso de JobManager. Todos los usuarios deben actualizar a Flink versión 1.11.3 o 1.12.0 si sus instancias de Flink están expuestas. El problema se corrigió en el commit b561010b0ee741543c3953306037f00d7a9f0801 de apache/flink:master
  • Vulnerabilidad en AMD CPU (CVE-2023-20569)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/08/2023
    Fecha de última actualización: 10/06/2024
    Una vulnerabilidad de canal lateral en algunas de las CPU de AMD puede permitir que un atacante influya en la predicción de la dirección de retorno. Esto puede dar lugar a una ejecución especulativa en una dirección controlada por el atacante, lo que podría conducir a la divulgación de información.
  • Vulnerabilidad en Google Chrome (CVE-2023-4762)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/09/2023
    Fecha de última actualización: 10/06/2024
    Type Confusion en V8 en Google Chrome anterior a 116.0.5845.179 permitía a un atacante remoto ejecutar código arbitrario a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
  • Vulnerabilidad en Confluence Data Center y Server (CVE-2023-22527)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 10/06/2024
    Resumen de vulnerabilidad. Una vulnerabilidad de inyección de plantilla en versiones anteriores de Confluence Data Center y Server permite que un atacante no autenticado logre RCE en una instancia afectada. Los clientes que utilicen una versión afectada deben tomar medidas inmediatas. Las versiones compatibles más recientes de Confluence Data Center y Server no se ven afectadas por esta vulnerabilidad, ya que finalmente se mitigó durante las actualizaciones periódicas de la versión. Sin embargo, Atlassian recomienda que los clientes tengan cuidado de instalar la última versión para proteger sus instancias de vulnerabilidades no críticas descritas en el Boletín de seguridad de enero de Atlassian. Consulte “What You Need to Do” para obtener instrucciones detalladas. {panel:bgColor=#deebff} Los sitios de Atlassian Cloud no se ven afectados por esta vulnerabilidad. Si se accede a su sitio de Confluence a través de un dominio atlassian.net, está alojado en Atlassian y no es vulnerable a este problema. {panel} Versiones afectadas ||Producto||Versiones afectadas|| |Centro de datos y servidor de Confluence| 8.0.x 8.1.x 8.2.x 8.3.x 8.4.x 8.5.0 8.5.1 8.5.2 8.5.3| Versiones fijas ||Producto||Versiones fijas|| |Centro de datos y servidor de Confluence|8.5.4 (LTS)| |Centro de datos de Confluence| 8.6.0 o posterior (solo centro de datos) 8.7.1 o posterior (solo centro de datos)| Qué debe hacer inmediatamente parchear a una versión fija Atlassian recomienda parchear cada una de sus instalaciones afectadas a la última versión. Las versiones fijas enumeradas ya no son las versiones más actualizadas y no protegen su instancia de otras vulnerabilidades no críticas, como se describe en el Boletín de seguridad de enero de Atlassian. ||Producto||Versiones fijas||Últimas versiones|| |Centro de datos y servidor de Confluence| 8.5.4 (LTS)| 8.5.5 (LTS) |Centro de datos de Confluence| 8.6.0 o posterior (solo centro de datos) 8.7.1 o posterior (solo centro de datos)| 8.6.3 o posterior (solo centro de datos) 8.7.2 o posterior (solo centro de datos) Para obtener detalles adicionales, consulte el aviso completo.
  • Vulnerabilidad en tvOS, iOS, iPadOS, macOS Sonoma, Safari, macOS Ventura y macOS Monterey (CVE-2024-23222)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 10/06/2024
    Se solucionó un problema de confusión de tipos con comprobaciones mejoradas. Este problema se solucionó en tvOS 17.3, iOS 17.3 y iPadOS 17.3, macOS Sonoma 14.3, iOS 16.7.5 y iPadOS 16.7.5, Safari 17.3, macOS Ventura 13.6.4, macOS Monterey 12.7.3. El procesamiento de contenido web creado con fines malintencionados puede provocar la ejecución de código arbitrario. Apple tiene conocimiento de un informe que indica que este problema puede haber sido aprovechado.