Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Postman (CVE-2018-17215)
    Severidad: MEDIA
    Fecha de publicación: 26/09/2018
    Fecha de última actualización: 01/02/2024
    Se ha descubierto un problema de divulgación de información en Postman hasta su versión 6.3.0. Valida el certificado X.509 de un servidor y presenta un error si el certificado no es válido. Desafortunadamente, los datos de la petición HTTPS asociados se envían igualmente. Lo único que no se muestra es la respuesta. Por lo tanto, toda la información contenida en la petición HTTPS se divulga a un atacante Man-in-the-Middle (MitM) (por ejemplo, las credenciales de usuario).
  • Vulnerabilidad en TuiTse-TsuSin (CVE-2024-23341)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 01/02/2024
    TuiTse-TsuSin es un paquete para organizar el corpus comparativo de caracteres chinos taiwaneses y caracteres romanos, y extraer oraciones de los caracteres chinos taiwaneses y caracteres romanos. Antes de la versión 1.3.2, cuando se usaba `tuitse_html` sin citar la entrada, existía una vulnerabilidad de inyección de html. La versión 1.3.2 contiene un parche para el problema. Como workaround, desinfecte la entrada de Taigi con citas HTML.
  • Vulnerabilidad en SOFARPC (CVE-2024-23636)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/01/2024
    Fecha de última actualización: 01/02/2024
    SOFARPC es un framework Java RPC. SOFARPC utiliza de forma predeterminada el protocolo SOFA Hessian para deserializar los datos recibidos, mientras que el protocolo SOFA Hessian utiliza un mecanismo de lista negra para restringir la deserialización de clases potencialmente peligrosas para la protección de la seguridad. Pero, antes de la versión 5.12.0, existía una cadena de dispositivos que podía eludir el mecanismo de protección de la lista negra de SOFA Hessian, y esta cadena de dispositivos solo se basa en JDK y no depende de ningún componente de terceros. La versión 5.12.0 solucionó este problema agregando una lista negra. SOFARPC también proporciona una forma de agregar listas negras adicionales. Los usuarios pueden agregar una clase como `-Drpc_serialize_blacklist_override=org.apache.xpath.` para evitar este problema.
  • Vulnerabilidad en Contiki-NG tinyDTLS (CVE-2021-42146)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/01/2024
    Fecha de última actualización: 01/02/2024
    Se descubrió un problema en Contiki-NG tinyDTLS a través de la rama maestra 53a0d97. Los servidores DTLS permiten a atacantes remotos reutilizar el mismo número de época dentro de dos veces la vida útil máxima del segmento TCP, lo cual está prohibido en RFC6347. Esta vulnerabilidad permite a atacantes remotos obtener aplicaciones confidenciales (datos de clientes conectados).
  • Vulnerabilidad en J-Web de Juniper Networks Junos OS (CVE-2024-21620)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en J-Web de Juniper Networks Junos OS en las series SRX y EX permite a un atacante construir una URL que, cuando la visita otro usuario, le permite ejecutar comandos con los permisos del objetivo, incluido un administrador. Una invocación específica del método emit_debug_note en webauth_operation.php devolverá los datos que recibe. Este problema afecta a Juniper Networks Junos OS en las series SRX y EX: * Todas las versiones anteriores a 20.4R3-S10; * Versiones 21.2 anteriores a 21.2R3-S8; * Versiones 21.4 anteriores a 21.4R3-S6; * Versiones 22.1 anteriores a 22.1R3-S5; * Versiones 22.2 anteriores a 22.2R3-S3; * Versiones 22.3 anteriores a 22.3R3-S2; * Versiones 22.4 anteriores a 22.4R3-S1; * Versiones 23.2 anteriores a 23.2R2; * Versiones 23.4 anteriores a 23.4R2.
  • Vulnerabilidad en Motorola MR2600 (CVE-2024-23628)
    Severidad: ALTA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Existe una vulnerabilidad de inyección de comandos en el parámetro 'SaveStaticRouteIPv6Params' del Motorola MR2600. Un atacante remoto puede aprovechar esta vulnerabilidad para lograr la ejecución de comandos. Se requiere autenticación, pero se puede omitir.
  • Vulnerabilidad en Motorola MR2600 (CVE-2024-23629)
    Severidad: ALTA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Existe una vulnerabilidad de omisión de autenticación en el componente web del Motorola MR2600. Un atacante puede aprovechar esta vulnerabilidad para acceder a URL protegidas y recuperar información confidencial.
  • Vulnerabilidad en Motorola MR2600 (CVE-2024-23630)
    Severidad: ALTA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Existe una vulnerabilidad de carga de firmware arbitraria en el Motorola MR2600. Un atacante puede aprovechar esta vulnerabilidad para lograr la ejecución de código en el dispositivo. Se requiere autenticación, pero se puede omitir.
  • Vulnerabilidad en Biges Safe Life Technologies Electronics Inc (CVE-2023-6919)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Vulnerabilidad de Path Traversal: '/../filedir' en Biges Safe Life Technologies Electronics Inc. VGuard permite Absolute Path Traversal. Este problema afecta a VGuard: antes de V500.0003.R008.4011.C0012.B351.C.
  • Vulnerabilidad en WhatACart v2.0.7 (CVE-2024-22551)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Se descubrió que WhatACart v2.0.7 contiene una vulnerabilidad de cross site scripting (XSS) reflejado a través del componente /site/default/search.
  • Vulnerabilidad en Cisco Unified Communications y Contact Center Solutions (CVE-2024-20253)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad en múltiples productos Cisco Unified Communications y Contact Center Solutions podría permitir que un atacante remoto no autenticado ejecute código arbitrario en un dispositivo afectado. Esta vulnerabilidad se debe al procesamiento inadecuado de los datos proporcionados por el usuario que se leen en la memoria. Un atacante podría aprovechar esta vulnerabilidad enviando un mensaje manipulado a un puerto de escucha de un dispositivo afectado. Una explotación exitosa podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web. Con acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado.
  • Vulnerabilidad en Cisco Unity Connection (CVE-2024-20305)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unity Connection podría permitir que un atacante remoto autenticado lleve a cabo un ataque de cross site scripting (XSS) contra un usuario de la interfaz. Esta vulnerabilidad existe porque la interfaz de administración basada en web no valida adecuadamente la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que haga clic en un enlace manipulado. Una explotación exitosa podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información confidencial basada en el navegador.
  • Vulnerabilidad en Suite Setups (CVE-2023-29081)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Se ha informado de una vulnerabilidad en Suite Setups creadas con versiones anteriores a InstallShield 2023 R2. Esta vulnerabilidad puede permitir que los usuarios autenticados localmente provoquen una condición de denegación de servicio (DoS) al manejar operaciones de movimiento en carpetas locales temporales.
  • Vulnerabilidad en Totolink N200RE V5 9.3.5u.6255_B20211224 (CVE-2024-0942)
    Severidad: BAJA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Se encontró una vulnerabilidad en Totolink N200RE V5 9.3.5u.6255_B20211224. Ha sido clasificada como problemática. Una función desconocida del archivo /cgi-bin/cstecgi.cgi es afectada por esta vulnerabilidad. La manipulación provoca la caducidad de la sesión. Es posible lanzar el ataque de forma remota. La complejidad de un ataque es bastante alta. Se dice que la explotabilidad es difícil. La explotación ha sido divulgada al público y puede utilizarse. VDB-252186 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Totolink N350RT 9.3.5u.6255 (CVE-2024-0943)
    Severidad: BAJA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Se encontró una vulnerabilidad en Totolink N350RT 9.3.5u.6255. Ha sido declarada problemática. Una función desconocida del archivo /cgi-bin/cstecgi.cgi es afectada por esta vulnerabilidad. La manipulación provoca la caducidad de la sesión. El ataque se puede lanzar de forma remota. La complejidad de un ataque es bastante alta. La explotación parece difícil. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-252187. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Totolink T8 4.1.5cu.833_20220905 (CVE-2024-0944)
    Severidad: BAJA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Se encontró una vulnerabilidad en Totolink T8 4.1.5cu.833_20220905. Ha sido calificada como problemática. Una función desconocida del archivo /cgi-bin/cstecgi.cgi es afectada por este problema. La manipulación provoca la caducidad de la sesión. El ataque puede lanzarse de forma remota. La complejidad de un ataque es bastante alta. Se sabe que la explotación es difícil. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-252188. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en 60IndexPage (CVE-2024-0945)
    Severidad: ALTA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad ha sido encontrada en 60IndexPage hasta 1.8.5 y clasificada como crítica. Una parte desconocida del archivo /include/file.php del componente Parameter Handler afecta a una parte desconocida. La manipulación del argumento URL conduce a server-side request forgery. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-252189. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en 60IndexPage (CVE-2024-0946)
    Severidad: ALTA
    Fecha de publicación: 26/01/2024
    Fecha de última actualización: 01/02/2024
    Una vulnerabilidad fue encontrada en 60IndexPage hasta 1.8.5 y clasificada como crítica. Esta vulnerabilidad afecta a código desconocido del archivo /apply/index.php del componente Parameter Handler. La manipulación del argumento URL conduce a server-side request forgery. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-252190 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Postman (CVE-2024-23738)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/01/2024
    Fecha de última actualización: 01/02/2024
    Un problema en Postman versión 10.22 y anteriores en macOS permite a un atacante remoto ejecutar código arbitrario a través de la configuración RunAsNode y enableNodeClilnspectArguments.
  • Vulnerabilidad en macOS versión 3.1.0 (CVE-2024-23743)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/01/2024
    Fecha de última actualización: 01/02/2024
    Un problema en Notion para macOS versión 3.1.0 y anteriores permite a atacantes remotos ejecutar código arbitrario a través de los componentes RunAsNode y enableNodeClilnspectArguments.
  • Vulnerabilidad en macOS versión 0.0.291 (CVE-2024-23739)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/01/2024
    Fecha de última actualización: 01/02/2024
    Un problema en Discord para macOS versión 0.0.291 y anteriores permite a atacantes remotos ejecutar código arbitrario a través de la configuración RunAsNode y enableNodeClilnspectArguments.
  • Vulnerabilidad en macOS versión 3.4.1 (CVE-2024-23741)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/01/2024
    Fecha de última actualización: 01/02/2024
    Un problema en Hyper en macOS versión 3.4.1 y anteriores permite a atacantes remotos ejecutar código arbitrario a través de la configuración RunAsNode y enableNodeClilnspectArguments.
  • Vulnerabilidad en macOS versión 0.196.1 (CVE-2024-23742)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/01/2024
    Fecha de última actualización: 01/02/2024
    Un problema en Loom en macOS versión 0.196.1 y anteriores permite a atacantes remotos ejecutar código arbitrario a través de la configuración RunAsNode y enableNodeClilnspectArguments.
  • Vulnerabilidad en macOS versión 3.6.0 (CVE-2024-23740)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/01/2024
    Fecha de última actualización: 01/02/2024
    Un problema en Kap para macOS versión 3.6.0 y anteriores permite a atacantes remotos ejecutar código arbitrario a través de la configuración RunAsNode y enableNodeClilnspectArguments.