Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21403)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/10/2024
    Vulnerabilidad de elevación de privilegios del contenedor confidencial del servicio Microsoft Azure Kubernetes
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-21420)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 07/10/2024
    Proveedor Microsoft WDAC OLE DB para la vulnerabilidad de ejecución remota de código de SQL Server
  • Vulnerabilidad en Secure Copy Content Protection y Content Locking de WordPress (CVE-2024-6889)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/09/2024
    Fecha de última actualización: 07/10/2024
    El complemento Secure Copy Content Protection y Content Locking de WordPress anterior a la versión 4.1.7 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de cross-site scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en Viral Signup de WordPress (CVE-2024-6926)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/09/2024
    Fecha de última actualización: 07/10/2024
    El complemento Viral Signup de WordPress hasta la versión 2.1 no desinfecta ni escapa correctamente un parámetro antes de usarlo en una declaración SQL a través de una acción AJAX disponible para usuarios no autenticados, lo que genera una inyección SQL.
  • Vulnerabilidad en goTenna Pro (CVE-2024-47126)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/09/2024
    Fecha de última actualización: 07/10/2024
    La serie goTenna Pro no utiliza SecureRandom al generar sus claves criptográficas. La función aleatoria que se utiliza no es adecuada para el uso criptográfico.
  • Vulnerabilidad en goTenna Pro (CVE-2024-47127)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/09/2024
    Fecha de última actualización: 07/10/2024
    En goTenna Pro existe una vulnerabilidad que permite inyectar cualquier mensaje personalizado con cualquier GID y Callsign utilizando una radio definida por software en redes en malla de GoTenna existentes. Esta vulnerabilidad puede explotarse si el dispositivo se utiliza en un entorno no cifrado o si la criptografía ya se ha visto comprometida.
  • Vulnerabilidad en The AI ChatBot with ChatGPT and Content Generator by AYS para WordPress (CVE-2024-7714)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    El complemento The AI ChatBot with ChatGPT and Content Generator by AYS para WordPress anterior a la versión 2.1.0 carece de controles de acceso suficientes que permitan a un usuario no autenticado desconectar el AI ChatBot con el complemento ChatGPT y Content Generator de AYS para WordPress anterior a la versión 2.1.0 de OpenAI, deshabilitando así el AI ChatBot con el complemento ChatGPT y Content Generator de AYS para WordPress anterior a la versión 2.1.0. Se puede acceder a varias acciones: 'ays_chatgpt_disconnect', 'ays_chatgpt_connect' y 'ays_chatgpt_save_feedback'
  • Vulnerabilidad en kernel de Linux (CVE-2024-46802)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: se agregó una comprobación NULL al inicio de dc_validate_stream [Por qué] evitar el acceso no válido a la memoria [Cómo] comprobar si dc y stream son NULL
  • Vulnerabilidad en kernel de Linux (CVE-2024-46811)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: drm/amd/display: el índice de corrección puede exceder el rango de la matriz dentro de fpu_update_bw_bounding_box [Por qué] Coverity informa una advertencia de OVERRUN. soc.num_states podría ser 40. Pero el rango de la matriz de bw_params->clk_table.entries es 8. [Cómo] Confirmar si soc.num_states es mayor que 8.
  • Vulnerabilidad en NASA CryptoLib v1.3.0 (CVE-2024-44910)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    Se descubrió que NASA CryptoLib v1.3.0 contiene una lectura fuera de los límites a través del subsistema AOS (crypto_aos.c).
  • Vulnerabilidad en NASA CryptoLib v1.3.0 (CVE-2024-44911)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    Se descubrió que NASA CryptoLib v1.3.0 contiene una lectura fuera de los límites a través del subsistema TC (crypto_aos.c).
  • Vulnerabilidad en NASA CryptoLib v1.3.0 (CVE-2024-44912)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    Se descubrió que NASA CryptoLib v1.3.0 contiene una lectura fuera de los límites a través del subsistema TM (crypto_tm.c).
  • Vulnerabilidad en Flatpress v1.3 (CVE-2024-25412)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    Una vulnerabilidad de cross site scripting (XSS) en Flatpress v1.3 permite a los atacantes ejecutar secuencias de comandos web o HTML arbitrarios a través de un payload especialmente manipulado inyectado en el campo de correo electrónico.
  • Vulnerabilidad en Advantech ADAM-5630 (CVE-2024-34542)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    Advantech ADAM-5630 comparte credenciales de usuario en texto plano entre el dispositivo y el dispositivo de origen del usuario durante el proceso de inicio de sesión.
  • Vulnerabilidad en Advantech ADAM-5550 (CVE-2024-37187)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    Advantech ADAM-5550 comparte credenciales de usuario con un bajo nivel de cifrado, que consiste en codificación base 64.
  • Vulnerabilidad en Advantech ADAM 5550 (CVE-2024-38308)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    La aplicación web de Advantech ADAM 5550 incluye una página de "registros" en la que se muestran al usuario todas las solicitudes HTTP recibidas. El dispositivo no neutraliza correctamente el código malicioso al analizar las solicitudes HTTP para generar la salida de la página.
  • Vulnerabilidad en Advantech ADAM-5630 (CVE-2024-39275)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    Las cookies de los usuarios autenticados de Advantech ADAM-5630 permanecen como cookies válidas activas cuando se cierra una sesión. Falsificar solicitudes con una cookie legítima, incluso si se terminó la sesión, permite que un atacante no autorizado actúe con el mismo nivel de privilegios del usuario legítimo.
  • Vulnerabilidad en iq3xcite (CVE-2024-46453)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    Una vulnerabilidad de cross site scripting (XSS) en el componente /test/ de iq3xcite v2.31 a v3.05 permite a los atacantes ejecutar secuencias de comandos web o HTML arbitrarios a través de un payload especialmente manipulado.
  • Vulnerabilidad en skyselang yylAdmin (CVE-2024-9293)
    Severidad: MEDIA
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    Se ha encontrado una vulnerabilidad clasificada como crítica en skyselang yylAdmin hasta la versión 3.0. Esta vulnerabilidad afecta la lista de funciones del archivo /app/admin/controller/file/File.php del componente Backend. La manipulación del argumento is_disable provoca una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en HCL Nomad (CVE-2024-23586)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 07/10/2024
    HCL Nomad es susceptible a una vulnerabilidad de expiración de sesión insuficiente. En determinadas circunstancias, un atacante no autenticado podría obtener información de sesiones antiguas.