Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en libssh (CVE-2023-6918)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 02/01/2024
    Se encontró un fallo en la capa abstracta de implementación de libssh para operaciones de resumen de mensajes (MD) implementadas por diferentes backends criptográficos compatibles. Los valores de retorno de estos no se verificaron correctamente, lo que podría causar fallas en situaciones de poca memoria, desreferencias NULL, fallas o uso de la memoria no inicializada como entrada para el KDF. En este caso, las claves que no coinciden resultarán en fallas de descifrado/integridad, lo que terminará la conexión.
  • Vulnerabilidad en Jordy Meow Perfect Images (CVE-2023-44982)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 02/01/2024
    Exposición de información confidencial en una vulnerabilidad de actor no autorizado en Jordy Meow Perfect Images (administrar tamaños de imagen, miniaturas, reemplazar, Retina). Este problema afecta a Perfect Images (administrar tamaños de imagen, miniaturas, reemplazar, Retina): desde n/a hasta 6.4. 5.
  • Vulnerabilidad en HCL Launch (CVE-2023-45703)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    HCL Launch puede manejar mal la validación de entrada de un archivo cargado, lo que lleva a una denegación de servicio debido al agotamiento de los recursos.
  • Vulnerabilidad en Grails (CVE-2023-46131)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    Grails es un framework utilizado para crear aplicaciones web con el lenguaje de programación Groovy. Una solicitud web especialmente manipulada puede provocar un fallo de JVM o una denegación de servicio. Cualquier aplicación del framework de Grails que utilice el enlace de datos de Grails es vulnerable. Este problema se solucionó en las versiones 3.3.17, 4.1.3, 5.3.4, 6.1.0.
  • Vulnerabilidad en LTB Self Service Password (CVE-2023-49032)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    Un problema en LTB Self Service Password anterior a v.1.5.4 permite a un atacante remoto ejecutar código arbitrario y obtener información confidencial mediante el secuestro de la función del código de verificación por SMS en un teléfono arbitrario.
  • Vulnerabilidad en journalpump (CVE-2023-51390)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    journalpump es un daemon que toma mensajes de registro de journald y los envía a una salida determinada. Se encontró una vulnerabilidad de registro en journalpump que registra la configuración de una integración de servicios en texto plano en la canalización de registro proporcionada, incluida la información de credenciales contenida en la configuración, si corresponde. El problema se solucionó en journalpump 2.5.0.
  • Vulnerabilidad en HCL Launch (CVE-2023-45700)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    HCL Launch es vulnerable a la inyección de HTML. Esta vulnerabilidad puede permitir que un usuario incruste etiquetas HTML arbitrarias en la interfaz de usuario web, lo que podría provocar la divulgación de información confidencial.
  • Vulnerabilidad en KylinSoft hedron-domain-hook (CVE-2023-7025)
    Severidad: MEDIA
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    Se encontró una vulnerabilidad en KylinSoft hedron-domain-hook hasta 3.8.0.12-0k0.5. Ha sido declarado crítica. Esta vulnerabilidad afecta a la función init_kcm del componente DBus Handler. La manipulación conduce a controles de acceso inadecuados. Es requerido atacar localmente. La explotación ha sido divulgada al público y puede utilizarse. VDB-248578 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó al proveedor rápidamente sobre esta divulgación, pero no respondió de ninguna forma.
  • Vulnerabilidad en Lightxun IPTV Gateway (CVE-2023-7026)
    Severidad: MEDIA
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    Se encontró una vulnerabilidad en Lightxun IPTV Gateway hasta 20231208. Se calificó como problemática. Este problema afecta un procesamiento desconocido del archivo /ZHGXTV/index.php/admin/index/web_upload_template.html. La manipulación del archivo de argumentos conduce a una carga sin restricciones. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-248579.
  • Vulnerabilidad en Red Hat Enterprise Linux 7 (CVE-2023-2585)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    La concesión de autorización del dispositivo de Keycloak no valida correctamente el código del dispositivo y la identificación del cliente. Un cliente atacante podría abusar de la validación faltante para falsificar una solicitud de consentimiento del cliente y engañar a un administrador de autorización para que otorgue el consentimiento a un cliente OAuth malicioso o un posible acceso no autorizado a un cliente OAuth existente.
  • Vulnerabilidad en Resque (CVE-2023-50724)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    Resque (pronunciado como "rescue") es una biblioteca respaldada por Redis para crear trabajos en segundo plano, colocar esos trabajos en varias colas y procesarlos más tarde. resque-web en versiones de resque anteriores a 2.1.0 es vulnerable al XSS reflejado a través del parámetro current_queue en la ruta de las colas del endpoint. Este problema se solucionó en la versión 2.1.0.
  • Vulnerabilidad en Apache IoTDB (CVE-2023-51656)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    Vulnerabilidad de deserialización de datos no confiables en Apache IoTDB. Este problema afecta a Apache IoTDB: desde 0.13.0 hasta 0.13.4. Se recomienda a los usuarios actualizar a la versión 1.2.2, que soluciona el problema.
  • Vulnerabilidad en GROWI (CVE-2023-50294)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    La página App Settings (/admin/app) en las versiones de GROWI anteriores a la v6.0.6 almacena información confidencial en forma de texto plano. Como resultado, un atacante que pueda acceder a la página de configuración de la aplicación puede obtener la clave de acceso secreta para el servicio externo.