Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en una máquina en la funcionalidad de configuración de la puerta de enlace de correo en Zoho Application Control Plus (CVE-2020-15594)
    Severidad: MEDIA
    Fecha de publicación: 30/09/2020
    Fecha de última actualización: 18/12/2024
    Se detectó un problema de tipo SSRF en Zoho Application Control Plus versiones anteriores a 10.0.511. La funcionalidad mail gateway configuration permite a un atacante llevar a cabo un escaneo para detectar puertos abiertos en una máquina, así como máquinas disponibles en el segmento de red en el que se implementa la instancia del producto
  • Vulnerabilidad en la funcionalidad Element Configuration en Zoho Application Control Plus (CVE-2020-15595)
    Severidad: MEDIA
    Fecha de publicación: 30/09/2020
    Fecha de última actualización: 18/12/2024
    Se detectó un problema en Zoho Application Control Plus versiones anteriores a 10.0.511. La funcionalidad Element Configuration (para configurar elementos incluidos en el alcance de los elementos gestionados por el producto) permite a un atacante recuperar la lista completa de los rangos de IP y subredes configuradas en el producto y, en consecuencia, obtener información sobre la cartografía de las redes internas a las que el producto presenta acceso
  • Vulnerabilidad en setAllowOnlyVpnForUids de NetworkManagementService.java (CVE-2017-13314)
    Severidad: ALTA
    Fecha de publicación: 15/11/2024
    Fecha de última actualización: 18/12/2024
    En setAllowOnlyVpnForUids de NetworkManagementService.java, existe una posible omisión de la configuración de seguridad debido a la falta de una verificación de permisos. Esto podría provocar una escalada local de privilegios que permita a los usuarios acceder a redes que no sean VPN, cuando se supone que deben estar restringidos a las redes VPN, sin necesidad de privilegios de ejecución adicionales. No se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en writeToParcel y createFromParcel de DcParamObject.java (CVE-2017-13315)
    Severidad: ALTA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 18/12/2024
    En writeToParcel y createFromParcel de DcParamObject.java, existe una omisión de permisos debido a una discrepancia en el tamaño de escritura. Esto podría generar una elevación de privilegios donde el usuario puede iniciar una actividad con privilegios del sistema, sin necesidad de privilegios de ejecución adicionales. No se necesita interacción del usuario para la explotación.
  • Vulnerabilidad en restorePermissionState de PermissionManagerServiceImpl.java (CVE-2023-21270)
    Severidad: ALTA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 18/12/2024
    En restorePermissionState de PermissionManagerServiceImpl.java, existe una forma posible de que una aplicación conserve los permisos que deberían revocarse debido a que se borraron indicadores de permisos incorrectos durante una actualización. Esto podría provocar una escalada local de privilegios con privilegios de ejecución de usuario necesarios. No se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en smp_data_received de smp_l2c.cc (CVE-2018-9365)
    Severidad: ALTA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 18/12/2024
    En smp_data_received de smp_l2c.cc, existe una posible lectura fuera de los límites seguida de una ejecución de código debido a una verificación de los límites faltante. Esto podría provocar una ejecución de código remota sin necesidad de privilegios de ejecución adicionales. Se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en DownloadManager.java (CVE-2018-9468)
    Severidad: ALTA
    Fecha de publicación: 20/11/2024
    Fecha de última actualización: 18/12/2024
    En la consulta de DownloadManager.java, existe una posible lectura/escritura de archivos arbitrarios debido a una omisión de permisos. Esto podría provocar la divulgación de información local y la reescritura de archivos sin necesidad de privilegios de ejecución adicionales. No se necesita la interacción del usuario para la explotación.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52822)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 18/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima necesitaría acceder a una URL o página manipulada con la secuencia de comandos maliciosa.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52823)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 18/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima tendría que visitar un enlace malicioso o ingresar datos en un formulario comprometido.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52824)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 18/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52825)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 18/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52826)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 18/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de Cross-Site Scripting (XSS) almacenado que un atacante podría aprovechar para inyectar secuencias de comandos maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de una víctima cuando esta accede a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52837)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 18/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima tendría que visitar un enlace malicioso o ingresar datos en un formulario comprometido.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52838)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 18/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima tendría que visitar un enlace malicioso o ingresar datos en un formulario comprometido.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52839)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 18/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima tendría que visitar un enlace malicioso o ingresar datos en un formulario comprometido.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52840)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 18/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima tendría que acceder a la URL manipulada o ingresar los datos maliciosos por sí misma.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-52844)
    Severidad: MEDIA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 18/12/2024
    Las versiones 6.5.21 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de DOM-based Cross-Site Scripting (XSS) en DOM que un atacante podría aprovechar para ejecutar código arbitrario en el contexto de la sesión del navegador de la víctima. Al manipular un elemento DOM a través de una URL manipulada o de la entrada del usuario, el atacante puede inyectar secuencias de comandos maliciosas que se ejecutan cuando se procesa la página. Este tipo de ataque requiere la interacción del usuario, ya que la víctima tendría que visitar un enlace malicioso o ingresar datos en un formulario comprometido.
  • Vulnerabilidad en Apple OS (CVE-2024-54502)
    Severidad: MEDIA
    Fecha de publicación: 12/12/2024
    Fecha de última actualización: 18/12/2024
    El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2. El procesamiento de contenido web manipulado con fines malintencionados puede provocar un bloqueo inesperado del proceso.
  • Vulnerabilidad en Apple OS (CVE-2024-54514)
    Severidad: ALTA
    Fecha de publicación: 12/12/2024
    Fecha de última actualización: 18/12/2024
    El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en watchOS 11.2, tvOS 18.2, macOS Sequoia 15.2, iOS 18.2 y iPadOS 18.2, macOS Ventura 13.7.2, macOS Sonoma 14.7.2. Es posible que una aplicación pueda salir de su zona protegida.
  • Vulnerabilidad en macOS Sequoia 15.2 (CVE-2024-54524)
    Severidad: MEDIA
    Fecha de publicación: 12/12/2024
    Fecha de última actualización: 18/12/2024
    Se solucionó un problema de lógica mejorando el manejo de archivos. Este problema se solucionó en macOS Sequoia 15.2. Una aplicación maliciosa podría acceder a archivos arbitrarios.
  • Vulnerabilidad en FabulaTech USB over Network 6.0.6.1 (CVE-2024-12653)
    Severidad: MEDIA
    Fecha de publicación: 16/12/2024
    Fecha de última actualización: 18/12/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en FabulaTech USB over Network 6.0.6.1. La función afectada es 0x22040C en la librería ftusbbus2.sys del componente IOCT Handler. La manipulación provoca la desreferenciación de puntero nulo. Se requiere acceso local para abordar este ataque. El exploit se ha divulgado al público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en FabulaTech USB over Network 6.0.6.1 (CVE-2024-12654)
    Severidad: MEDIA
    Fecha de publicación: 16/12/2024
    Fecha de última actualización: 18/12/2024
    Se ha encontrado una vulnerabilidad clasificada como problemática en FabulaTech USB over Network 6.0.6.1. La función 0x220408 de la librería ftusbbus2.sys del componente IOCT Handler se ve afectada por esta vulnerabilidad. La manipulación provoca la desreferenciación de puntero nulo. Es necesario realizar un ataque local. El exploit se ha hecho público y puede utilizarse. Se contactó al proveedor con anticipación sobre esta revelación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Telerik UI (CVE-2024-10095)
    Severidad: ALTA
    Fecha de publicación: 16/12/2024
    Fecha de última actualización: 18/12/2024
    En las versiones de Telerik UI para WPF anteriores al cuarto trimestre de 2024 (2024.4.1213), es posible un ataque de ejecución de código a través de una vulnerabilidad de deserialización insegura.