Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK) (CVE-2023-6895)
    Severidad: MEDIA
    Fecha de publicación: 17/12/2023
    Fecha de última actualización: 02/01/2024
    Se encontró una vulnerabilidad en Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK). Ha sido declarada crítica. Esta vulnerabilidad afecta a código desconocido del archivo /php/ping.php. La manipulación del argumento jsondata[ip] con la entrada netstat -ano conduce a la inyección del comando os. El exploit ha sido divulgado al público y puede utilizarse. VDB-248254 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Controller 7000 (CVE-2023-6355)
    Severidad: Pendiente de análisis
    Fecha de publicación: 18/12/2023
    Fecha de última actualización: 02/01/2024
    La selección incorrecta de valores de fusibles en la plataforma Controller 7000 permite a un atacante eludir algunos mecanismos de protección para habilitar la depuración local. Este problema afecta a: Gallagher Controller 7000 9.00 anterior a vCR9.00.231204b (distribuido en 9.00.1507 (MR1)), 8.90 anterior a vCR8.90.231204a (distribuido en 8.90.1620 (MR2)), 8.80 anterior a vCR8.80.231204a (distribuido en 8.80.1369 (MR3)), 8.70 antes de vCR8.70.231204a (distribuido en 8.70.2375 (MR5)).
  • Vulnerabilidad en Gordon Böhme & Antonio Leutsch Structured Content JSON-LD (CVE-2023-49819)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 02/01/2024
    Vulnerabilidad de deserialización de datos no confiables en Gordon Böhme, Antonio Leutsch Structured Content (JSON-LD) #wpsc. Este problema afecta el contenido estructurado (JSON-LD) #wpsc: desde n/a hasta 1.5.3.
  • Vulnerabilidad en FPWin Pro (CVE-2023-6314)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 02/01/2024
    El desbordamiento de búfer en la región stack de la memoria en FPWin Pro versión 7.7.0.0 y todas las versiones anteriores puede permitir a los atacantes ejecutar código arbitrario a través de un archivo de proyecto especialmente manipulado.
  • Vulnerabilidad en FPWin Pro (CVE-2023-6315)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 02/01/2024
    Una vulnerabilidad de lectura fuera de los límites en FPWin Pro versión 7.7.0.0 y todas las versiones anteriores puede permitir a los atacantes ejecutar código arbitrario a través de un archivo de proyecto especialmente manipulado.
  • Vulnerabilidad en Phpsysinfo (CVE-2023-49006)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 02/01/2024
    Vulnerabilidad de Cross Site Request Forgery (CSRF) en Phpsysinfo versión 3.4.3 permite a un atacante remoto obtener información confidencial a través de una página manipulada en el archivo XML.php.
  • Vulnerabilidad en PDF24 Creator 11.14.0 (CVE-2023-49147)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 02/01/2024
    Se descubrió un problema en PDF24 Creator 11.14.0. Se descubrió que la configuración del archivo de instalación msi produce una ventana cmd.exe visible cuando se utiliza la función de reparación de msiexec.exe. Esto permite a un atacante local sin privilegios utilizar una cadena de acciones (por ejemplo, un bloqueo de operación en faxPrnInst.log) para abrir un cmd.exe de SYSTEM.
  • Vulnerabilidad en DS Wireless Communication (CVE-2023-45887)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 02/01/2024
    DS Wireless Communication (DWC) con DWC_VERSION_3 y DWC_VERSION_11 permite a atacantes remotos ejecutar código arbitrario en la máquina de un cliente de juego a través de un mensaje GPCM modificado.
  • Vulnerabilidad en Xpand IT Write-back Manager v2.3.1 (CVE-2023-27172)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 02/01/2024
    Xpand IT Write-back Manager v2.3.1 utiliza claves secretas débiles para firmar tokens JWT. Esto permite a los atacantes obtener fácilmente la clave secreta utilizada para firmar tokens JWT mediante un ataque de fuerza bruta.