Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en ESAFENET CDG 5 (CVE-2024-10277)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 04/11/2024
    Se ha encontrado una vulnerabilidad en ESAFENET CDG 5 y se ha clasificado como crítica. Este problema afecta a algunas funciones desconocidas del archivo /com/esafenet/servlet/ajax/UsbKeyAjax.java. La manipulación del argumento id provoca una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor primeramente sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en ESAFENET CDG 5 (CVE-2024-10278)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 04/11/2024
    Se ha encontrado una vulnerabilidad en ESAFENET CDG 5. Se ha clasificado como crítica. Afecta a una parte desconocida del archivo /com/esafenet/servlet/user/ReUserOrganiseService.java. La manipulación del argumento userId provoca una inyección SQL. Es posible iniciar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con antelación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en ESAFENET CDG 5 (CVE-2024-10279)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 04/11/2024
    Se ha encontrado una vulnerabilidad en ESAFENET CDG 5. Se ha declarado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /com/esafenet/servlet/policy/PrintPolicyService.java. La manipulación del argumento policyId provoca una inyección SQL. El ataque se puede iniciar de forma remota. La vulnerabilidad se ha hecho pública y puede utilizarse. Se contactó al proveedor con antelación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en PAM (CVE-2024-10041)
    Severidad: MEDIA
    Fecha de publicación: 23/10/2024
    Fecha de última actualización: 04/11/2024
    Se encontró una vulnerabilidad en PAM. La información secreta se almacena en la memoria, donde el atacante puede hacer que el programa víctima se ejecute enviando caracteres a su entrada estándar (stdin). Mientras esto ocurre, el atacante puede entrenar al predictor de bifurcaciones para que ejecute una cadena ROP de manera especulativa. Esta falla podría provocar la filtración de contraseñas, como las que se encuentran en /etc/shadow mientras se realizan autenticaciones.
  • Vulnerabilidad en valid_address de syscall.c (CVE-2024-47041)
    Severidad: ALTA
    Fecha de publicación: 25/10/2024
    Fecha de última actualización: 04/11/2024
    En valid_address de syscall.c, existe una posible lectura fuera de los límites debido a una comprobación de los límites incorrecta. Esto podría provocar una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. No se necesita interacción del usuario para la explotación.
  • Vulnerabilidad en MangoOS (CVE-2024-37844)
    Severidad: MEDIA
    Fecha de publicación: 25/10/2024
    Fecha de última actualización: 04/11/2024
    Una vulnerabilidad de Cross Site Scripting (XSS) almacenado en MangoOS anterior a 5.2.0 permite a los atacantes ejecutar secuencias de comandos web o HTML arbitrarios a través de un payload especialmente manipulado.
  • Vulnerabilidad en MangoOS (CVE-2024-37845)
    Severidad: ALTA
    Fecha de publicación: 25/10/2024
    Fecha de última actualización: 04/11/2024
    Se descubrió que MangoOS anterior a 5.2.0 contenía una vulnerabilidad de ejecución remota de código (RCE) autenticada a través de la función Comando de proceso activo.
  • Vulnerabilidad en MangoOS (CVE-2024-37846)
    Severidad: BAJA
    Fecha de publicación: 25/10/2024
    Fecha de última actualización: 04/11/2024
    Se descubrió que MangoOS anterior a 5.2.0 contenía una vulnerabilidad de inyección de plantilla del lado del cliente (CSTI) a través de la página Editar administración de la plataforma.
  • Vulnerabilidad en MangoOS y Mango API (CVE-2024-37847)
    Severidad: CRÍTICA
    Fecha de publicación: 25/10/2024
    Fecha de última actualización: 04/11/2024
    Una vulnerabilidad de carga de archivos arbitrarios en MangoOS anterior a 5.1.4 y Mango API anterior a 4.5.5 permite a los atacantes ejecutar código arbitrario a través de un archivo manipulado.
  • Vulnerabilidad en gaizhenbiao/chuanhuchatgpt 20240628 (CVE-2024-7807)
    Severidad: ALTA
    Fecha de publicación: 29/10/2024
    Fecha de última actualización: 04/11/2024
    Una vulnerabilidad en la versión 20240628 de gaizhenbiao/chuanhuchatgpt permite un ataque de denegación de servicio (DOS). Al cargar un archivo, si un atacante agrega una gran cantidad de caracteres al final de un límite de varias partes, el sistema procesará continuamente cada carácter, lo que hará que ChuanhuChatGPT sea inaccesible. Este consumo descontrolado de recursos puede provocar una indisponibilidad prolongada del servicio, lo que interrumpirá las operaciones y provocará una posible inaccesibilidad de los datos y una pérdida de productividad.