Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Poly Trio 8800 y Trio C60 (CVE-2023-4468)
    Severidad: MEDIA
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 05/01/2024
    Se encontró una vulnerabilidad en Poly Trio 8800 y Trio C60. Ha sido clasificada como problemática. Esto afecta a una parte desconocida del componente Poly Lens Management Cloud Registration. La manipulación conduce a la falta de autorización. Es posible lanzar el ataque al dispositivo físico. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-249261.
  • Vulnerabilidad en Hail (CVE-2023-51663)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 05/01/2024
    Hail es una herramienta de análisis de datos de código abierto, de uso general y basada en Python con tipos de datos y métodos adicionales para trabajar con datos genómicos. Hail depende de las direcciones de correo electrónico de OpenID Connect (OIDC) de los tokens de identificación para verificar la validez del dominio de un usuario, pero debido a que los usuarios tienen la capacidad de cambiar su dirección de correo electrónico, podrían crear cuentas y usar recursos en clústeres a los que no deberían tener acceso. Por ejemplo, un usuario podría crear una cuenta de Microsoft o Google y luego cambiar su correo electrónico a `test@example.org`. Luego, esta cuenta se puede usar para crear una cuenta de Hail Batch en clústeres de Hail Batch cuyo dominio de organización es `example.org`. El atacante no puede acceder a datos privados ni hacerse pasar por otro usuario, pero tendría la capacidad de ejecutar trabajos si los proyectos de facturación Hail Batch están habilitados y crear Azure Tenants si tienen acceso a Azure Active Directory Administrator.
  • Vulnerabilidad en WireMock (CVE-2023-50069)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/12/2023
    Fecha de última actualización: 05/01/2024
    WireMock con GUI, las versiones 3.2.0.0 a 3.0.4.0 son vulnerables a cross-site scripting almacenado (SXSS) a través de la función de grabación. Un atacante puede alojar un payload malicioso y realizar un mapeo de prueba que apunte al archivo del atacante, y el resultado se mostrará en la página Coincidente en el área Cuerpo, lo que resultará en la ejecución del payload. Esto ocurre porque el cuerpo de respuesta no está validado ni sanitizado.
  • Vulnerabilidad en XiangShan v2.1 (CVE-2023-50559)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/12/2023
    Fecha de última actualización: 05/01/2024
    Se descubrió un problema en XiangShan v2.1 que permite a atacantes locales obtener información confidencial a través del caché L1D.
  • Vulnerabilidad en jeecg-boot 3.5.3 (CVE-2023-41542)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/12/2023
    Fecha de última actualización: 05/01/2024
    Vulnerabilidad de inyección SQL en jeecg-boot versión 3.5.3, permite a atacantes remotos escalar privilegios y obtener información confidencial a través del componente jmreport/qurestSql.
  • Vulnerabilidad en jeecg-boot 3.5.3 (CVE-2023-41543)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/12/2023
    Fecha de última actualización: 05/01/2024
    Vulnerabilidad de inyección SQL en jeecg-boot v3.5.3, permite a atacantes remotos escalar privilegios y obtener información confidencial a través del componente /sys/replicate/check.
  • Vulnerabilidad en MDaemon SecurityGateway (CVE-2023-52269)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/12/2023
    Fecha de última actualización: 05/01/2024
    MDaemon SecurityGateway hasta 9.0.3 permite XSS a través de una regla de filtrado de contenido de mensajes manipulada. Esto podría permitir a los administradores de dominio realizar ataques contra administradores globales.
  • Vulnerabilidad en Cesanta mjs 2.20.0 (CVE-2023-49550)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/01/2024
    Fecha de última actualización: 05/01/2024
    Un problema en Cesanta mjs 2.20.0 permite a un atacante remoto provocar una denegación de servicio a través del componente mjs+0x4ec508.
  • Vulnerabilidad en Cesanta mjs 2.20.0 (CVE-2023-49551)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/01/2024
    Fecha de última actualización: 05/01/2024
    Un problema en Cesanta mjs 2.20.0 permite que un atacante remoto provoque una denegación de servicio a través de la función mjs_op_json_parse en el archivo msj.c.