Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en PHPGurukul IFSC Code Finder Project v1.0 (CVE-2024-51180)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Se encontró una vulnerabilidad de Cross Site Scripting reflejado (XSS) en /ifscfinder/index.php en PHPGurukul IFSC Code Finder Project v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro "searchifsccode".
  • Vulnerabilidad en PHPGurukul IFSC Code Finder Project v1.0 (CVE-2024-51181)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Se encontró una vulnerabilidad de Cross Site Scripting reflejado (XSS) en /ifscfinder/admin/profile.php en PHPGurukul IFSC Code Finder Project v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro "searchifsccode".
  • Vulnerabilidad en PHPGurukul Online DJ Booking Management System v1.0 (CVE-2024-51075)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Se encontró una vulnerabilidad de Cross Site Scripting reflejado (XSS) en /odms/admin/user-search.php en PHPGurukul Online DJ Booking Management System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro searchdata.
  • Vulnerabilidad en PHPGurukul Online DJ Booking Management System 1.0 (CVE-2024-51076)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Se encontró una vulnerabilidad de Cross Site Scripting reflejado (XSS) en /odms/admin/booking-search.php en PHPGurukul Online DJ Booking Management System 1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro "searchdata".
  • Vulnerabilidad en multipart/x-mixed-replace (CVE-2024-10461)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    En las respuestas multipart/x-mixed-replace, no se respetó el atributo `Content-Disposition: attached` en el encabezado de respuesta y no se forzó una descarga, lo que podría permitir ataques XSS. Esta vulnerabilidad afecta a Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4 y Thunderbird < 132.
  • Vulnerabilidad en Focus (CVE-2024-10474)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Focus permitía incorrectamente que los enlaces internos utilizaran el esquema de aplicación usado para enlaces profundos, lo que podría resultar en enlaces que potencialmente eludieran algunos controles de seguridad de URL. Esta vulnerabilidad afecta a Focus para iOS < 132.
  • Vulnerabilidad en lunary-ai/lunary 1.3.2 (CVE-2024-7474)
    Severidad: ALTA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    En la versión 1.3.2 de lunary-ai/lunary, existe una vulnerabilidad de referencia directa a objetos inseguros (IDOR). Un usuario puede ver o eliminar usuarios externos manipulando el parámetro 'id' en la URL de solicitud. La aplicación no realiza comprobaciones adecuadas en el parámetro 'id', lo que permite el acceso no autorizado a los datos de usuarios externos.
  • Vulnerabilidad en lunary-ai/lunary 1.3.2 (CVE-2024-7475)
    Severidad: CRÍTICA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Una vulnerabilidad de control de acceso indebido en la versión 1.3.2 de lunary-ai/lunary permite a un atacante actualizar la configuración de SAML sin autorización. Esta vulnerabilidad puede provocar la manipulación de los procesos de autenticación, solicitudes de inicio de sesión fraudulentas y robo de información de los usuarios. Se deben implementar controles de acceso adecuados para garantizar que la configuración de SAML solo pueda ser actualizada por usuarios autorizados.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2024-10462)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    El truncamiento de una URL larga podría haber permitido la suplantación de origen en una solicitud de permiso. Esta vulnerabilidad afecta a Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4 y Thunderbird < 132.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2024-10463)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    En algunas situaciones, es posible que se hayan filtrado fotogramas de vídeo entre orígenes. Esta vulnerabilidad afecta a Firefox < 132, Firefox ESR < 128.4, Firefox ESR < 115.17, Thunderbird < 128.4 y Thunderbird < 132.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2024-10464)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Las escrituras repetidas en los atributos de la interfaz del historial podrían haberse utilizado para provocar una condición de denegación de servicio en el navegador. Esto se solucionó introduciendo una limitación de velocidad en esta API. Esta vulnerabilidad afecta a Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4 y Thunderbird < 132.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2024-10465)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Un botón de "pegar" del portapapeles podría persistir en varias pestañas, lo que permitía un ataque de suplantación de identidad. Esta vulnerabilidad afecta a Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4 y Thunderbird < 132.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2024-10466)
    Severidad: ALTA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Al enviar un mensaje push especialmente manipulado, un servidor remoto podría haber bloqueado el proceso principal, lo que provocaría que el navegador dejara de responder. Esta vulnerabilidad afecta a Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4 y Thunderbird < 132.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2024-10467)
    Severidad: ALTA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Errores de seguridad de memoria presentes en Firefox 131, Firefox ESR 128.3 y Thunderbird 128.3. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox < 132, Firefox ESR < 128.4, Thunderbird < 128.4 y Thunderbird < 132.
  • Vulnerabilidad en Firefox y Thunderbird (CVE-2024-10468)
    Severidad: MEDIA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Posibles condiciones de carrera en IndexedDB podrían haber causado daños en la memoria, lo que podría provocar un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox < 132 y Thunderbird < 132.