Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en TDuckCLoud tduck-platform v.4.0 (CVE-2023-51805)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/01/2024
    Fecha de última actualización: 24/01/2024
    Vulnerabilidad de inyección SQL en TDuckCLoud tduck-platform v.4.0 permite a un atacante remoto obtener información confidencial a través del parámetro getFormKey en la función search del archivo FormDataMysqlService.java.
  • Vulnerabilidad en Totolink T8 4.1.5cu.833_20220905 (CVE-2024-0569)
    Severidad: MEDIA
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 24/01/2024
    Una vulnerabilidad ha sido encontrada en Totolink T8 4.1.5cu.833_20220905 y clasificada como problemática. Esto afecta a la función getSysStatusCfg del archivo /cgi-bin/cstecgi.cgi del componente Configuration Handler. La manipulación del argumento ssid/key conduce a la divulgación de información. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. La actualización a la versión 4.1.5cu.862_B20230228 puede solucionar este problema. Se recomienda actualizar el componente afectado. A esta vulnerabilidad se le asignó el identificador VDB-250785.
  • Vulnerabilidad en SQLite (CVE-2024-0232)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 24/01/2024
    Se identificó un problema de uso después de la liberación del montón en SQLite en la función jsonParseAddNodeArray() en sqlite3.c. Este fallo permite que un atacante local aproveche a una víctima para que pase entradas maliciosas especialmente manipuladas a la aplicación, lo que podría provocar un fallo y provocar una denegación de servicio.
  • Vulnerabilidad en GnuTLS (CVE-2024-0567)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 24/01/2024
    Se encontró una vulnerabilidad en GnuTLS, donde una cabina (que usa gnuTLS) rechaza una cadena de certificados con confianza distribuida. Este problema ocurre al validar una cadena de certificados con cockpit-certificate-ensure. Este fallo permite que un cliente o atacante remoto no autenticado inicie un ataque de denegación de servicio.
  • Vulnerabilidad en El complemento de WordPress Coru LFMember (CVE-2022-1618)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 24/01/2024
    El complemento de WordPress Coru LFMember hasta la versión 1.0.2 no tiene verificación CSRF cuando se agrega un nuevo juego, y carece de sanitización, además de escapar en su configuración, lo que permite al atacante hacer que un administrador que haya iniciado sesión agregue un juego arbitrario con payloads XSS.
  • Vulnerabilidad en El complemento de WordPress Contact Form & Lead Form Elementor Builder (CVE-2022-23180)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 24/01/2024
    El complemento de WordPress Contact Form & Lead Form Elementor Builder anterior a 1.7.4 no tiene autorización ni comprobaciones nonce, lo que podría permitir a cualquier usuario autenticado, como el suscriptor, actualizar y cambiar varias configuraciones.