Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en parisneo/lollms-webui (CVE-2024-3322)
    Severidad: CRÍTICA
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 17/10/2024
    Existe una vulnerabilidad de path traversal en la personalidad nativa 'cyber_security/codeguard' de parisneo/lollms-webui, que afecta a las versiones hasta la 9.5. La vulnerabilidad surge de la limitación inadecuada de un nombre de ruta a un directorio restringido en la función 'process_folder' dentro de 'lollms-webui/zoos/personalities_zoo/cyber_security/codeguard/scripts/processor.py'. Específicamente, la función no sanitiza adecuadamente la entrada proporcionada por el usuario para 'code_folder_path', lo que permite a un atacante especificar rutas arbitrarias usando '../' o rutas absolutas. Esta falla genera capacidades arbitrarias de lectura y sobrescritura de archivos en directorios específicos sin limitaciones, lo que plantea un riesgo significativo de divulgación de información confidencial y manipulación no autorizada de archivos.
  • Vulnerabilidad en parisneo/lollms-webui (CVE-2024-4320)
    Severidad: CRÍTICA
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 17/10/2024
    Existe una vulnerabilidad de ejecución remota de código (RCE) en el endpoint '/install_extension' de la aplicación parisneo/lollms-webui, específicamente dentro del controlador de ruta `@router.post("/install_extension")`. La vulnerabilidad surge debido al manejo inadecuado del parámetro `name` en el método `ExtensionBuilder().build_extension()`, que permite la inclusión de archivos locales (LFI) que conducen a la ejecución de código arbitrario. Un atacante puede aprovechar esta vulnerabilidad creando un parámetro "nombre" malicioso que hace que el servidor cargue y ejecute un archivo "__init__.py" desde una ubicación arbitraria, como el directorio de carga para discusiones. Esta vulnerabilidad afecta a la última versión de parisneo/lollms-webui y puede provocar la ejecución remota de código sin requerir la interacción del usuario, especialmente cuando la aplicación está expuesta a un endpoint externo o se opera en modo sin cabeza.
  • Vulnerabilidad en lunary-ai/lunary (CVE-2024-5248)
    Severidad: MEDIA
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 17/10/2024
    En lunary-ai/lunary versión 1.2.5, existe una vulnerabilidad de control de acceso inadecuado debido a una falta de verificación de permiso en el endpoint `GET /v1/users/me/org`. Las definiciones de funciones de la plataforma restringen la función "Editor de mensajes" a la gestión de mensajes y las capacidades de visualización/enumeración de proyectos, excluyendo explícitamente el acceso a la información del usuario. Sin embargo, el endpoint no aplica esta restricción, lo que permite a los usuarios con la función "Editor de mensajes" acceder a la lista completa de usuarios de la organización. Esta vulnerabilidad permite el acceso no autorizado a información confidencial del usuario, violando los controles de acceso previstos.
  • Vulnerabilidad en Azure Service Fabric (CVE-2024-43480)
    Severidad: MEDIA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de ejecución remota de código en Azure Service Fabric para Linux
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43497)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de ejecución remota de código en DeepSpeed
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43500)
    Severidad: MEDIA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de divulgación de información del sistema de archivos resiliente de Windows (ReFS)
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43501)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de elevación de privilegios del controlador del sistema de archivos de registro común de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43502)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de elevación de privilegios en el kernel de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43503)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de elevación de privilegios en Microsoft SharePoint
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43506)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de denegación de servicio en BranchCache
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43508)
    Severidad: MEDIA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de divulgación de información del componente gráfico de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43509)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de elevación de privilegios en componentes gráficos de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43511)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de elevación de privilegios en el kernel de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43512)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de denegación de servicio del servicio de administración de almacenamiento basado en estándares de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43513)
    Severidad: MEDIA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de omisión de la función de seguridad de BitLocker
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43514)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de elevación de privilegios en el sistema de archivos resiliente de Windows (ReFS)
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43515)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de denegación de servicio en la interfaz de sistemas informáticos pequeños de Internet (iSCSI)
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43516)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de elevación de privilegios en el modo kernel seguro de Windows
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43517)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de ejecución remota de código en objetos de datos de Microsoft ActiveX
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43599)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de ejecución remota de código en el cliente de escritorio remoto
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-43609)
    Severidad: MEDIA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 17/10/2024
    Vulnerabilidad de suplantación de identidad en Microsoft Office