Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Xinhu RockOA 1.1/2.3.2/15.X3amdi (CVE-2023-5296)
    Severidad: MEDIA
    Fecha de publicación: 29/09/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad fue encontrada en Xinhu RockOA 1.1/2.3.2/15.X3amdi y clasificada como problemática. Una función desconocida del archivo api.php?m=reimplat&a=index del componente Password Handler es afectada por esta vulnerabilidad. La manipulación conduce a una recuperación de contraseña débil. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-240926 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Xinhu RockOA 2.3.2 (CVE-2023-5297)
    Severidad: BAJA
    Fecha de publicación: 29/09/2023
    Fecha de última actualización: 04/10/2023
    Se encontró una vulnerabilidad en Xinhu RockOA 2.3.2. Ha sido clasificada como problemática. Esto afecta el inicio de la función del archivo task.php?m=sys|runt&a=beifen. La manipulación conduce a la exposición del archivo de copia de seguridad a una esfera de control no autorizada. Es posible iniciar el ataque de forma remota. La complejidad de un ataque es bastante alta. Se dice que la explotabilidad es difícil. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-240927.
  • Vulnerabilidad en Mattermost (CVE-2023-5160)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Mattermost no marca la opción "Show Full Name" en el endpoint /api/v4/teams/TEAM_ID/top/team_members, lo que permite a un miembro obtener el nombre completo de otro usuario incluso si la opción "Show Full Name" está deshabilitada.
  • Vulnerabilidad en Ultimate-licensed GitLab EE (CVE-2023-5106)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Se ha descubierto un problema en Ultimate-licensed GitLab EE que afecta a todas las versiones desde 13.12 anteriores a 16.2.8, 16.3.0 anteriores a 16.3.5 y 16.4.0 anteriores a 16.4.1 y que podría permitir a un atacante hacerse pasar por usuarios en CI pipelines mediante importaciones de grupos de transferencia directa.