Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Una aplicación Spring MVC o Spring WebFlux en JDK 9+ (CVE-2022-22965)
    Severidad: CRÍTICA
    Fecha de publicación: 01/04/2022
    Fecha de última actualización: 18/10/2024
    Una aplicación Spring MVC o Spring WebFlux que es ejecutada en JDK 9+ puede ser vulnerable a la ejecución de código remota (RCE) por medio de una vinculación de datos. La explotación específica requiere que la aplicación sea ejecutada en Tomcat como un despliegue WAR. Si la aplicación es desplegada como un jar ejecutable de Spring Boot, es decir, por defecto, no es vulnerable a la explotación. Sin embargo, la naturaleza de la vulnerabilidad es más general, y puede haber otras formas de explotarla
  • Vulnerabilidad en Siemens AG (CVE-2023-48363)
    Severidad: ALTA
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 18/10/2024
    Se ha identificado una vulnerabilidad en: OpenPCS 7 V9.1 (todas las versiones), SIMATIC BATCH V9.1 (todas las versiones), SIMATIC PCS 7 V9.1 (todas las versiones), SIMATIC Route Control V9.1 (todas las versiones), SIMATIC WinCC Runtime Professional V18 (todas las versiones), SIMATIC WinCC Runtime Professional V19 (todas las versiones), SIMATIC WinCC V7.4 (todas las versiones), SIMATIC WinCC V7.5 (todas las versiones < V7.5 SP2 Update 15), SIMATIC WinCC V8.0 (Todas las versiones
  • Vulnerabilidad en Siemens AG (CVE-2023-48364)
    Severidad: ALTA
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 18/10/2024
    Se ha identificado una vulnerabilidad en: OpenPCS 7 V9.1 (todas las versiones), SIMATIC BATCH V9.1 (todas las versiones), SIMATIC PCS 7 V9.1 (todas las versiones), SIMATIC Route Control V9.1 (todas las versiones), SIMATIC WinCC Runtime Professional V18 (todas las versiones), SIMATIC WinCC Runtime Professional V19 (todas las versiones), SIMATIC WinCC V7.4 (todas las versiones), SIMATIC WinCC V7.5 (todas las versiones < V7.5 SP2 Update 15), SIMATIC WinCC V8.0 (Todas las versiones
  • Vulnerabilidad en Parasolid (CVE-2023-49125)
    Severidad: ALTA
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 18/10/2024
    Se ha identificado una vulnerabilidad en Parasolid V35.0 (Todas las versiones < V35.0.263), Parasolid V35.1 (Todas las versiones < V35.1.252), Parasolid V36.0 (Todas las versiones < V36.0.198). Las aplicaciones afectadas contienen una lectura fuera de los límites más allá del final de una estructura asignada mientras analizan archivos especialmente manipulados que contienen formato XT. Esto podría permitir a un atacante ejecutar código en el contexto del proceso actual.
  • Vulnerabilidad en Polarion ALM (CVE-2023-50236)
    Severidad: ALTA
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 18/10/2024
    Se ha identificado una vulnerabilidad en Polarion ALM (todas las versiones). El producto afectado es vulnerable debido a permisos débiles de archivos y carpetas en la ruta de instalación. Un atacante con acceso local podría aprovechar esta vulnerabilidad para escalar privilegios a NT AUTHORITY\SYSTEM.
  • Vulnerabilidad en SIMATIC CP y SIPLUS NET CP (CVE-2023-51440)
    Severidad: ALTA
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 18/10/2024
    Se ha identificado una vulnerabilidad en: SIMATIC CP 343-1 (6GK7343-1EX30-0XE0) (todas las versiones), SIMATIC CP 343-1 Lean (6GK7343-1CX10-0XE0) (todas las versiones), SIPLUS NET CP 343-1 (6AG1343- 1EX30-7XE0) (todas las versiones), SIPLUS NET CP 343-1 Lean (6AG1343-1CX10-2XE0) (todas las versiones). Los productos afectados validan incorrectamente los números de secuencia TCP. Esto podría permitir que un atacante remoto no autenticado cree una condición de denegación de servicio inyectando paquetes TCP RST falsificados.
  • Vulnerabilidad en CERT VDE (CVE-2024-24781)
    Severidad: ALTA
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 18/10/2024
    Un atacante remoto no autenticado puede utilizar una vulnerabilidad de consumo de recursos incontrolado para DoS en los dispositivos afectados a través de un tráfico excesivo en un único puerto Ethernet.
  • Vulnerabilidad en CERT VDE (CVE-2024-24782)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 18/10/2024
    Un atacante no autenticado puede enviar una solicitud de ping de una red a otra mediante un error en la verificación de origen aunque los puertos estén separados por VLAN.
  • Vulnerabilidad en bloch/mapshaper de GitHub (CVE-2024-1163)
    Severidad: ALTA
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 18/10/2024
    Path Traversal en el repositorio de GitHub bloch/mapshaper anterior a 0.6.44.
  • Vulnerabilidad en TYPO3 (CVE-2024-24751)
    Severidad: ALTA
    Fecha de publicación: 13/02/2024
    Fecha de última actualización: 18/10/2024
    sf_event_mgt es una extensión de registro y gestión de eventos para TYPO3 CMS basada en ExtBase y Fluid. En las versiones afectadas, la verificación de control de acceso existente para eventos en el módulo backend se rompió durante la actualización de la extensión a TYPO3 12.4, porque la función `RedirectResponse` de la función `$this->redirect()` nunca se manejó. Este problema se solucionó en la versión 7.4.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-21217)
    Severidad: BAJA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Serialization). Las versiones compatibles afectadas son Oracle Java SE: 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4, 23; Oracle GraalVM for JDK: 17.0.12, 21.0.4, 23; Oracle GraalVM Enterprise Edition: 20.3.15 y 21.3.11. Esta vulnerabilidad, difícil de explotar, permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos ponga en peligro Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se puede explotar mediante el uso de las API en el componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API. Esta vulnerabilidad también se aplica a las implementaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java en entornos aislados, que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y dependen del entorno aislado de Java para su seguridad. Puntuación base de CVSS 3.1: 3,7 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L).
  • Vulnerabilidad en Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2024-21234)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Las versiones compatibles afectadas son 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de T3, IIOP ponga en peligro Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle WebLogic Server. Puntuación base de CVSS 3.1: 7,5 (impactos de confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-21235)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Hotspot). Las versiones compatibles afectadas son Oracle Java SE: 8u421, 8u421-perf, 11.0.24, 17.0.12, 21.0.4, 23; Oracle GraalVM for JDK: 17.0.12, 21.0.4, 23; Oracle GraalVM Enterprise Edition: 20.3.15 y 21.3.11. Esta vulnerabilidad, difícil de explotar, permite que un atacante no autenticado con acceso a la red a través de múltiples protocolos ponga en peligro Oracle Java SE, Oracle GraalVM for JDK, Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserciones o eliminaciones de algunos datos accesibles de Oracle Java SE, Oracle GraalVM for JDK y Oracle GraalVM Enterprise Edition, así como acceso no autorizado a lecturas de un subconjunto de datos accesibles de Oracle Java SE, Oracle GraalVM for JDK y Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se puede explotar mediante el uso de API en el componente especificado, por ejemplo, a través de un servicio web que proporciona datos a las API. Esta vulnerabilidad también se aplica a implementaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start o applets Java en entornos aislados, que cargan y ejecutan código no confiable (por ejemplo, código que proviene de Internet) y dependen del entorno aislado de Java para su seguridad. Puntuación base de CVSS 3.1: 4,8 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N).
  • Vulnerabilidad en Oracle Service Bus de Oracle Fusion Middleware (CVE-2024-21246)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle Service Bus de Oracle Fusion Middleware (componente: OSB Core Functionality). La versión compatible afectada es la 12.2.1.4.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en peligro Oracle Service Bus. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Service Bus. Puntuación base de CVSS 3.1: 7,5 (impactos de confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
  • Vulnerabilidad en Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2024-21260)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Las versiones compatibles afectadas son 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de T3, IIOP ponga en peligro Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar un bloqueo o un bloqueo frecuente y repetitivo (DOS completo) de Oracle WebLogic Server. Puntuación base de CVSS 3.1: 7,5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2024-21274)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console). Las versiones compatibles afectadas son 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad, que se puede explotar fácilmente, permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en peligro Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden dar como resultado la capacidad no autorizada de provocar un bloqueo o un bloqueo frecuente y repetitivo (DOS completo) de Oracle WebLogic Server. Puntuación base de CVSS 3.1: 7,5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Acronis Cyber Files (CVE-2024-49386)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 18/10/2024
    Divulgación de información confidencial debido a la piratería de hechizos. Los siguientes productos se ven afectados: Acronis Cyber Files (Windows) antes de la compilación 9.0.0x24.
  • Vulnerabilidad en Acronis Cyber Files (CVE-2024-49389)
    Severidad: ALTA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 18/10/2024
    Escalada de privilegios locales debido a permisos de carpetas inseguros. Los siguientes productos se ven afectados: Acronis Cyber Files (Windows) antes de la compilación 9.0.0x24.
  • Vulnerabilidad en Acronis Cyber Files (CVE-2024-49390)
    Severidad: ALTA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 18/10/2024
    Escalada de privilegios locales debido a una vulnerabilidad de secuestro de DLL. Los siguientes productos están afectados: Acronis Cyber Files (Windows) antes de la compilación 9.0.0x24.
  • Vulnerabilidad en Acronis Cyber Files (CVE-2024-49391)
    Severidad: ALTA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 18/10/2024
    Escalada de privilegios locales debido a una vulnerabilidad de secuestro de DLL. Los siguientes productos están afectados: Acronis Cyber Files (Windows) antes de la compilación 9.0.0x24.
  • Vulnerabilidad en Acronis Cyber Files (CVE-2024-49392)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 18/10/2024
    Vulnerabilidad de cross-site scripting (XSS) almacenado en la página de invitación a la inscripción. Los siguientes productos están afectados: Acronis Cyber Files (Windows) antes de la compilación 9.0.0x24.