Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • CVE-2004-0458
    Severidad: MEDIA
    Fecha de publicación: 28/09/2004
    Fecha de última actualización: 09/01/2024
    mah-jong anteriores a 1.6.2 permiten a atacantes remotos causar una denegación de servicio mediante un argumento omitido, lo que dispara una desreferencia de puntero nulo.
  • Vulnerabilidad en Xdg-utils 1.0.2 y versiones anteriores, ejecución de comandos remotamente (CVE-2008-0386)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2008
    Fecha de última actualización: 09/01/2024
    Xdg-utils 1.0.2 y versiones anteriores permite a atacantes remotos ayudados por un usuario ejecutar comandos de su elección a través de metacaracteres de consola en un argumento URL a (1) xdg-open or (2) xdg-email.
  • Vulnerabilidad en _basket cubecart.class.php en CubeCart (CVE-2013-1465)
    Severidad: ALTA
    Fecha de publicación: 08/02/2013
    Fecha de última actualización: 09/01/2024
    El método _basket en /classes / cubecart.class.php en CubeCart v5.0.0 a través de v5.2.0 permite a atacantes remotos desserializar objetos PHP a través de un parámetro envío hecho a mano, como se ha demostrado mediante la modificación de la configuración de la aplicación mediante el objeto Config.
  • Vulnerabilidad en el subsistema Jenkins CLI en Jenkins y LTS (CVE-2015-8103)
    Severidad: ALTA
    Fecha de publicación: 25/11/2015
    Fecha de última actualización: 09/01/2024
    El subsistema Jenkins CLI en Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 permite a atacantes remotos ejecutar código arbitrario a través de un objeto Java serializado manipulado, relacionado con una problemática de archivo webapps/ROOT/WEB-INF/lib/commons-collections-*.jar y la 'variante Groovy en 'ysoserial''.
  • Vulnerabilidad en la función pa_drop_root en PulseAudio. (CVE-2008-0008)
    Severidad: ALTA
    Fecha de publicación: 29/01/2008
    Fecha de última actualización: 09/01/2024
    La función pa_drop_root en PulseAudio versión 0.9.8, y una cierta build 0.9.9, no comprueba los valores de retorno de llamadas (1) setresuid, (2) setreuid, (3) setuid y (4) seteuid, cuando intenta perder privilegios, lo que podría permitir a usuarios locales alcanzar privilegios causando que esas llamadas fallen por ataques tales como el agotamiento de recursos.
  • Vulnerabilidad en superjson (CVE-2022-23631)
    Severidad: ALTA
    Fecha de publicación: 09/02/2022
    Fecha de última actualización: 09/01/2024
    superjson es un programa que permite serializar expresiones JavaScript a un superconjunto de JSON. En las versiones anteriores a 1.8.1 superjson permite ejecutar código arbitrario en cualquier servidor que use superjson sin necesidad de autenticación o conocimiento previo. El único requisito es que el servidor implemente al menos un endpoint que use superjson durante el procesamiento de la petición. Esto ha sido parcheado en superjson versión 1.8.1. Es recomendado a usuarios actualizar. No se presentan medidas de mitigación conocidas para este problema
  • Vulnerabilidad en Jenkins Bitbucket Server Integration Plugin (CVE-2022-28133)
    Severidad: BAJA
    Fecha de publicación: 29/03/2022
    Fecha de última actualización: 09/01/2024
    Jenkins Bitbucket Server Integration Plugin versiones 3.1.0 y anteriores, no limita los esquemas de URL para las URL de devolución de llamada en los consumidores OAuth, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado, explotable por atacantes capaces de crear consumidores de BitBucket Server
  • Vulnerabilidad en el Plugin Git de Jenkins (CVE-2022-30947)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2022
    Fecha de última actualización: 09/01/2024
    El Plugin Git de Jenkins versiones 4.11.1 y anteriores, permiten a atacantes configurar los pipelines para comprobar algunos repositorios SCM almacenados en el sistema de archivos del controlador de Jenkins usando rutas locales como URLs SCM, obteniendo información limitada sobre los contenidos SCM de otros proyectos
  • Vulnerabilidad en gitpython (CVE-2022-24439)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/12/2022
    Fecha de última actualización: 09/01/2024
    Todas las versiones del paquete gitpython son vulnerables a la ejecución remota de código (RCE) debido a una validación incorrecta de la entrada del usuario, lo que hace posible inyectar una URL remota creada con fines malintencionados en el comando de clonación. Es posible explotar esta vulnerabilidad porque la librería realiza llamadas externas a git sin una sanitización suficiente de los argumentos de entrada.
  • Vulnerabilidad en OpenPMIx PMIx (CVE-2023-41915)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/09/2023
    Fecha de última actualización: 09/01/2024
    OpenPMIx PMIx antes de las versiones 4.2.6 y 5.0.x antes de 5.0.1, permite a los atacantes obtener la propiedad de archivos arbitrarios a través de una condición de ejecución durante la ejecución de código de librería con UID 0.
  • Vulnerabilidad en CodeAstro Internet Banking System 1.0 (CVE-2023-5693)
    Severidad: MEDIA
    Fecha de publicación: 22/10/2023
    Fecha de última actualización: 09/01/2024
    Una vulnerabilidad fue encontrada en CodeAstro Internet Banking System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo pages_reset_pwd.php. La manipulación del argumento email conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-243131.
  • Vulnerabilidad en juzawebCMS (CVE-2023-46468)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/10/2023
    Fecha de última actualización: 09/01/2024
    Un problema en juzawebCMS v.3.4 y anteriores permite a un atacante remoto ejecutar código arbitrario a través de un archivo manipulado para la función de complemento personalizado.
  • Vulnerabilidad en spider-flow 0.4.3 (CVE-2024-0195)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2024
    Fecha de última actualización: 09/01/2024
    Una vulnerabilidad fue encontrada en spider-flow 0.4.3 y clasificada como crítica. La función FunctionService.saveFunction del archivo src/main/java/org/spiderflow/controller/FunctionController.java es afectada por la vulnerabilidad. La manipulación conduce a la inyección de código. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-249510 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Gila CMS (CVE-2020-26624)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/01/2024
    Fecha de última actualización: 09/01/2024
    Se descubrió una vulnerabilidad de inyección SQL en Gila CMS 1.15.4 y versiones anteriores que permite a un atacante remoto ejecutar scripts web arbitrarios a través del parámetro ID después del portal de inicio de sesión.