Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Cisco Catalyst SD-WAN Manager (CVE-2023-20179)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad en la interfaz de administración web de Cisco Catalyst SD-WAN Manager, anteriormente Cisco SD-WAN vManage, podría permitir que un atacante remoto autenticado inyecte contenido HTML. Esta vulnerabilidad se debe a una validación inadecuada de los datos proporcionados por el usuario en los campos de elementos. Un atacante podría aprovechar esta vulnerabilidad enviando contenido malicioso dentro de las solicitudes y persuadiendo a un usuario para que vea una página que contenga contenido inyectado. Un exploit exitoso podría permitir al atacante modificar páginas dentro de la interfaz de administración basada en web, lo que posiblemente generaría más ataques basados en el navegador contra los usuarios de la aplicación.
  • Vulnerabilidad en Cisco Catalyst SD-WAN Manager (CVE-2023-20252)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad en las API del Security Assertion Markup Language (SAML) del software Cisco Catalyst SD-WAN Manager podría permitir que un atacante remoto no autenticado obtenga acceso no autorizado a la aplicación como un usuario arbitrario. Esta vulnerabilidad se debe a comprobaciones de autenticación incorrectas para las API de SAML. Un atacante podría aprovechar esta vulnerabilidad enviando solicitudes directamente a la API SAML. Un exploit exitoso podría permitir al atacante generar un token de autorización suficiente para obtener acceso a la aplicación.
  • Vulnerabilidad en TIBCO Nimbus de TIBCO Software Inc. (CVE-2023-26218)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/09/2023
    Fecha de última actualización: 04/10/2023
    El componente de cliente web de TIBCO Nimbus de TIBCO Software Inc. contiene vulnerabilidades de Cross Site Scripting (XSS) reflejada fácilmente explotables que permiten a un atacante con pocos privilegios realizar ingeniería social a un usuario legítimo con acceso a la red para ejecutar scripts dirigidos al sistema afectado o al sistema local de la víctima. Un ataque exitoso que utilice esta vulnerabilidad requiere la interacción humana de una persona distinta del atacante. Las versiones afectadas son TIBCO Nimbus de TIBCO Software Inc.: versiones 10.6.0 e inferiores.
  • Vulnerabilidad en Composer (CVE-2023-43655)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/09/2023
    Fecha de última actualización: 04/10/2023
    Composer es un administrador de dependencias para PHP. Los usuarios que publican un composer.phar en un servidor público accesible desde la web donde se puede ejecutar el composer.phar como un archivo php pueden estar sujetos a una vulnerabilidad de ejecución remota de código si PHP también tiene `register_argc_argv` habilitado en php.ini. Las versiones 2.6.4, 2.2.22 y 1.10.27 corrigen esta vulnerabilidad. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben asegurarse de que `register_argc_argv` esté deshabilitado en php.ini y evitar publicar composer.phar en la web, ya que esta no es la mejor práctica.
  • Vulnerabilidad en Cambium Enterprise Wi-Fi System Software (CVE-2022-35908)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/09/2023
    Fecha de última actualización: 04/10/2023
    Cambium Enterprise Wi-Fi System Software anterior a 6.4.2 no sanitiza el argumento del host de ping en el agente del dispositivo.
  • Vulnerabilidad en GitLab CE y EE (CVE-2023-5207)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/09/2023
    Fecha de última actualización: 04/10/2023
    Se descubrió una vulnerabilidad en GitLab CE y EE que afecta a todas las versiones desde 16.0 anteriores a 16.2.8, 16.3 anteriores a 16.3.5 y 16.4 anteriores a 16.4.1. Un atacante autenticado podría realizar una ejecución del pipeline arbitrario en el contexto de otro usuario.
  • Vulnerabilidad en ClickToTweet.Com Click To Tweet (CVE-2023-41856)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento ClickToTweet.Com Click To Tweet en versiones <= 2.0.14.
  • Vulnerabilidad en Ashok Rane Order Delivery Date for WP e-Commerce (CVE-2023-41859)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento Ashok Rane Order Delivery Date for WP e-Commerce en versiones <= 1.2.
  • Vulnerabilidad en FooPlugins FooGallery (CVE-2023-44244)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento FooPlugins FooGallery en versiones <= 2.2.44.
  • Vulnerabilidad en MD Jakir Hosen Tiger Forms – Drag and Drop Form Builder (CVE-2023-44474)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en el complemento MD Jakir Hosen Tiger Forms – Drag and Drop Form Builder en versiones <= 2.0.0.
  • Vulnerabilidad en Jim Krill WP Jump Menu (CVE-2023-44479)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento Jim Krill WP Jump Menu en versiones <= 3.6.4.
  • Vulnerabilidad en WooCommerce Dreamfox Payment per Product (CVE-2023-44144)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Cross-Site Scripting (XSS) Reflejada No Autenticada en la pasarela Dreamfox Payment per Product para el complemento WooCommerce en versiones <= 3.2.7.
  • Vulnerabilidad en jesweb.Dev Anchor Episodes Index (Spotify for Podcasters) (CVE-2023-44145)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento jesweb.Dev Anchor Episodes Index (Spotify for Podcasters) en versiones <= 2.1.7.