Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Google Chrome (CVE-2020-36765)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 19/10/2024
    La aplicación insuficiente de políticas en la navegación en Google Chrome antes de la versión 85.0.4183.83 permitió que un atacante remoto filtrara datos de orígenes cruzados a través de una página HTML manipulada. (Severidad de seguridad de Chromium: media)
  • Vulnerabilidad en IBM Sterling Partner Engagement Manager 6.2.2 (CVE-2022-35640)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 19/10/2024
    IBM Sterling Partner Engagement Manager 6.2.2 podría permitir a un atacante local obtener información confidencial cuando se devuelve un mensaje de error técnico detallado. ID de IBM X-Force: 230933.
  • Vulnerabilidad en IBM Sterling B2B Integrator Standard Edition (CVE-2023-42010)
    Severidad: BAJA
    Fecha de publicación: 17/07/2024
    Fecha de última actualización: 19/10/2024
    IBM Sterling B2B Integrator Standard Edition 6.0.0.0 a 6.1.2.5 y 6.2.0.0 a 6.2.0.2 podría revelar información confidencial en la respuesta HTTP utilizando técnicas de intermediario. ID de IBM X-Force: 265507.
  • Vulnerabilidad en IBM ClearQuest (CVE-2024-28796)
    Severidad: MEDIA
    Fecha de publicación: 17/07/2024
    Fecha de última actualización: 19/10/2024
    IBM ClearQuest (CQ) 9.1 a 9.1.0.6 es vulnerable a cross-site scripting almacenado. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría conducir a la divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 286833.
  • Vulnerabilidad en IBM Engineering Requisitos Management DOORS Web Access 9.7.2.8 (CVE-2023-50304)
    Severidad: ALTA
    Fecha de publicación: 18/07/2024
    Fecha de última actualización: 19/10/2024
    IBM Engineering Requisitos Management DOORS Web Access 9.7.2.8 es vulnerable a un ataque de inyección de entidad externa XML (XXE) al procesar datos XML. Un atacante remoto podría aprovechar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. ID de IBM X-Force: 273335.
  • Vulnerabilidad en IBM InfoSphere Information Server 11.7 (CVE-2024-40689)
    Severidad: CRÍTICA
    Fecha de publicación: 26/07/2024
    Fecha de última actualización: 19/10/2024
    IBM InfoSphere Information Server 11.7 es vulnerable a la inyección SQL. Un atacante remoto podría enviar declaraciones SQL especialmente manipuladas, que podrían permitirle ver, agregar, modificar o eliminar información en la base de datos back-end. ID de IBM X-Force: 297719.
  • Vulnerabilidad en Discourse (CVE-2024-43789)
    Severidad: MEDIA
    Fecha de publicación: 07/10/2024
    Fecha de última actualización: 19/10/2024
    Discourse es una plataforma de código abierto para debates comunitarios. Un usuario puede crear una publicación con muchas respuestas y luego intentar obtenerlas todas a la vez. Esto puede reducir potencialmente la disponibilidad de una instancia de Discourse. Este problema se ha corregido en la última versión de Discourse. Se recomienda a todos los usuarios que actualicen la versión. No existen workarounds conocidas para esta vulnerabilidad.
  • Vulnerabilidad en Discourse (CVE-2024-45051)
    Severidad: ALTA
    Fecha de publicación: 07/10/2024
    Fecha de última actualización: 19/10/2024
    Discourse es una plataforma de código abierto para debates comunitarios. Una dirección de correo electrónico manipulada con fines malintencionados podría permitir a un atacante eludir las restricciones basadas en dominios y obtener acceso a sitios, categorías o grupos privados. Este problema se ha corregido en la última versión estable, beta y de pruebas aprobadas de Discourse. Se recomienda a todos los usuarios del área que actualicen la versión. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Discourse (CVE-2024-45297)
    Severidad: MEDIA
    Fecha de publicación: 07/10/2024
    Fecha de última actualización: 19/10/2024
    Discourse es una plataforma de código abierto para debates comunitarios. Los usuarios pueden ver temas con una etiqueta oculta si conocen la etiqueta o el nombre de esa etiqueta. Este problema se ha corregido en la última versión estable, beta y de pruebas aprobadas de Discourse. Se recomienda a todos los usuarios que actualicen la versión. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Discourse (CVE-2024-47772)
    Severidad: MEDIA
    Fecha de publicación: 07/10/2024
    Fecha de última actualización: 19/10/2024
    Discourse es una plataforma de código abierto para debates comunitarios. Un atacante puede ejecutar código JavaScript arbitrario en los navegadores de los usuarios enviando un mensaje de chat manipulado con fines malintencionados y respondiéndolo. Este problema solo afecta a los sitios que tienen el CSP deshabilitado. Este problema está corregido en la última versión de Discourse. Se recomienda a todos los usuarios que actualicen la versión. Los usuarios que no puedan actualizar la versión deben asegurarse de que el CSP esté habilitado en el foro. Los usuarios que actualicen la versión también deben considerar habilitar un CSP, así como una medida proactiva.
  • Vulnerabilidad en Fortinet FortiAnalyzer (CVE-2024-45330)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 19/10/2024
    El uso de una cadena de formato controlada externamente en las versiones 7.4.0 a 7.4.3 y 7.2.2 a 7.2.5 de Fortinet FortiAnalyzer permite a un atacante aumentar sus privilegios a través de solicitudes especialmente manipuladas.
  • Vulnerabilidad en Django (CVE-2024-45230)
    Severidad: ALTA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 19/10/2024
    Se descubrió un problema en Django 5.1 anterior a 5.1.1, 5.0 anterior a 5.0.9 y 4.2 anterior a 4.2.16. Los filtros de plantilla urlize() y urlizetrunc() están sujetos a un posible ataque de denegación de servicio mediante entradas muy grandes con una secuencia específica de caracteres.
  • Vulnerabilidad en Django (CVE-2024-45231)
    Severidad: MEDIA
    Fecha de publicación: 08/10/2024
    Fecha de última actualización: 19/10/2024
    Se descubrió un problema en Django v5.1.1, v5.0.9 y v4.2.16. La clase django.contrib.auth.forms.PasswordResetForm, cuando se utiliza en una vista que implementa flujos de restablecimiento de contraseña, permite a atacantes remotos enumerar las direcciones de correo electrónico de los usuarios mediante el envío de solicitudes de restablecimiento de contraseña y la observación del resultado (solo cuando el envío de correo electrónico falla constantemente).
  • Vulnerabilidad en HuangDou UTCMS V9 (CVE-2024-9917)
    Severidad: MEDIA
    Fecha de publicación: 13/10/2024
    Fecha de última actualización: 19/10/2024
    Se ha descubierto una vulnerabilidad clasificada como crítica en HuangDou UTCMS V9. Afecta a una parte desconocida del archivo app/modules/ut-template/admin/template_creat.php. La manipulación del contenido del argumento provoca la deserialización. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en HuangDou UTCMS V9 (CVE-2024-9918)
    Severidad: MEDIA
    Fecha de publicación: 13/10/2024
    Fecha de última actualización: 19/10/2024
    Se ha encontrado una vulnerabilidad en HuangDou UTCMS V9 y se ha clasificado como crítica. Esta vulnerabilidad afecta a la función RunSql del archivo app/modules/ut-data/admin/sql.php. La manipulación del argumento sql provoca una inyección SQL. El ataque se puede iniciar de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en WP 2FA con Telegram para WordPress (CVE-2024-9820)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 19/10/2024
    El complemento WP 2FA con Telegram para WordPress es vulnerable a la omisión de la autenticación de dos factores en versiones hasta la 3.0 incluida. Esto se debe a que el código de dos factores se almacena en una cookie, lo que permite omitir la autenticación de dos factores.
  • Vulnerabilidad en WebEIP v3.0 de NewType (CVE-2024-9968)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 19/10/2024
    WebEIP v3.0 de NewType no valida correctamente la entrada del usuario, lo que permite a atacantes remotos con privilegios normales inyectar comandos SQL para leer, modificar y eliminar datos almacenados en la base de datos. El producto afectado ya no recibe mantenimiento. Se recomienda actualizar al nuevo producto.
  • Vulnerabilidad en NewType WebEIP v3.0 (CVE-2024-9969)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 19/10/2024
    NewType WebEIP v3.0 no valida correctamente la entrada del usuario, lo que permite que un atacante remoto con privilegios normales inserte JavaScript en parámetros específicos, lo que da como resultado un ataque de Cross Site Scripting (XSS) Reflejado. El producto afectado ya no recibe mantenimiento. Se recomienda actualizar al nuevo producto.