Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en productos Cisco (CVE-2019-1749)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2019
    Fecha de última actualización: 07/02/2024
    Una vulnerabilidad en la validación del tráfico entrante del software Cisco IOS XE para Cisco Aggregation Services Router (ASR) 900 Route Switch Processor 3 (RSP3) podría permitir que un atacante adyacente no autenticado desencadene la recarga de un dispositivo afectado, lo que resulta en una condición de denegación de servicio (DoS). La vulnerabilidad existe debido a que el software no valida lo suficiente el tráfico entrante en el ASIC empleado en la plataforma RSP3. Un atacante podría explotar esta vulnerabilidad enviando un mensaje OSPF versión 2 (OSPFv2) mal formado a un dispositivo afectado. Su explotación con éxito podría permitir que el atacante provoque la recarga del proceso iosd, desencadenando la recarga del dispositivo afectado y resultando en una condición de denegación de servicio (DoS).
  • Vulnerabilidad en el envío de paquetes HTTP en la Interfaz de Usuario Web del Software Cisco IOS XE (CVE-2021-1220)
    Severidad: BAJA
    Fecha de publicación: 24/03/2021
    Fecha de última actualización: 07/02/2024
    Múltiples vulnerabilidades en la Interfaz de Usuario Web del Software Cisco IOS XE, podrían permitir a un atacante remoto autenticado con privilegios de solo lectura hacer que el software de la interfaz de usuario web deje de responder y consuma instancias de línea vty, lo que resultará en una condición de denegación de servicio (DoS). Estas vulnerabilidades son debido a un manejo insuficiente de errores en la Interfaz de Usuario Web. Un atacante podría explotar estas vulnerabilidades mediante el envío de paquetes HTTP diseñados a un dispositivo afectado. Una explotación con éxito podría permitir el atacante causar que el software de la interfaz de usuario web deje de responder y consumiera todas las líneas vty disponibles, impidiendo el establecimiento de una nueva sesión y dando como resultado una condición de DoS. Se necesitaría una intervención manual para recuperar la Interfaz de Usuario Web y la funcionalidad de la sesión vty. Nota: estas vulnerabilidades no afectan la conexión de la consola
  • Vulnerabilidad en el tráfico en un túnel Ipsec en la rutina de descifrado de IPSec del software Cisco IOS XE (CVE-2022-20679)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2022
    Fecha de última actualización: 07/02/2024
    Una vulnerabilidad en la rutina de descifrado de IPSec del software Cisco IOS XE podría permitir a un atacante remoto no autenticado causar una recarga de un dispositivo afectado, resultando en una condición de denegación de servicio (DoS). Esta vulnerabilidad es debido al agotamiento del búfer que es producido mientras es procesado el tráfico en un túnel IPsec configurado. Un atacante podría aprovechar esta vulnerabilidad mediante el envío de tráfico a un dispositivo afectado que tenga una unidad de transmisión máxima (MTU) de 1800 bytes o superior. Una explotación con éxito podría permitir al atacante causar una recarga del dispositivo. Para explotar esta vulnerabilidad, el atacante puede necesitar acceso a la red confiable donde es encontrado el dispositivo afectado para enviar paquetes específicos que serán procesados por el dispositivo. Todos los dispositivos de red entre el atacante y el dispositivo afectado deben soportar una MTU de 1800 bytes o superior. Este requisito de acceso podría limitar la posibilidad de una explotación con éxito
  • Vulnerabilidad en la CLI del software Cisco IOS XE para Cisco Catalyst 9000 Family Switches and Cisco Catalyst 9000 Family Wireless Controllers (CVE-2022-20681)
    Severidad: ALTA
    Fecha de publicación: 15/04/2022
    Fecha de última actualización: 07/02/2024
    Una vulnerabilidad en la CLI del software Cisco IOS XE para Cisco Catalyst 9000 Family Switches and Cisco Catalyst 9000 Family Wireless Controllers podría permitir a un atacante local autenticado elevar los privilegios al nivel 15 en un dispositivo afectado. Esta vulnerabilidad es debido a que no han sido comprobados suficientemente los privilegios del usuario después de que éste ejecute determinados comandos de la CLI. Un atacante podría explotar esta vulnerabilidad al iniciar sesión en un dispositivo afectado como usuario con pocos privilegios y ejecutando a continuación determinados comandos de la CLI. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios con privilegios de nivel 15 en el dispositivo afectado
  • Vulnerabilidad en el entorno de alojamiento de aplicaciones Cisco IOx en varias plataformas de Cisco (CVE-2022-20722)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2022
    Fecha de última actualización: 07/02/2024
    Múltiples vulnerabilidades en el entorno de alojamiento de aplicaciones Cisco IOx en varias plataformas de Cisco podrían permitir a un atacante inyectar comandos arbitrarios en el sistema operativo anfitrión subyacente, ejecutar código arbitrario en el sistema operativo anfitrión subyacente, instalar aplicaciones sin ser autenticado o conducir un ataque de tipo cross-site scripting (XSS) contra un usuario del software afectado. Para más información sobre estas vulnerabilidades, consulte la sección Details de este aviso
  • Vulnerabilidad en el entorno de alojamiento de aplicaciones Cisco IOx en varias plataformas de Cisco (CVE-2022-20721)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2022
    Fecha de última actualización: 07/02/2024
    Múltiples vulnerabilidades en el entorno de alojamiento de aplicaciones Cisco IOx en varias plataformas de Cisco podrían permitir a un atacante inyectar comandos arbitrarios en el sistema operativo anfitrión subyacente, ejecutar código arbitrario en el sistema operativo anfitrión subyacente, instalar aplicaciones sin ser autenticado o conducir un ataque de tipo cross-site scripting (XSS) contra un usuario del software afectado. Para más información sobre estas vulnerabilidades, consulte la sección Details de este aviso
  • Vulnerabilidad en el entorno de alojamiento de aplicaciones Cisco IOx en varias plataformas de Cisco (CVE-2022-20718)
    Severidad: ALTA
    Fecha de publicación: 15/04/2022
    Fecha de última actualización: 07/02/2024
    Múltiples vulnerabilidades en el entorno de alojamiento de aplicaciones Cisco IOx en varias plataformas de Cisco podrían permitir a un atacante inyectar comandos arbitrarios en el sistema operativo anfitrión subyacente, ejecutar código arbitrario en el sistema operativo anfitrión subyacente, instalar aplicaciones sin ser autenticado o conducir un ataque de tipo cross-site scripting (XSS) contra un usuario del software afectado. Para más información sobre estas vulnerabilidades, consulte la sección Details de este aviso
  • Vulnerabilidad en el entorno de alojamiento de aplicaciones Cisco IOx en varias plataformas de Cisco (CVE-2022-20719)
    Severidad: ALTA
    Fecha de publicación: 15/04/2022
    Fecha de última actualización: 07/02/2024
    Múltiples vulnerabilidades en el entorno de alojamiento de aplicaciones Cisco IOx en varias plataformas de Cisco podrían permitir a un atacante inyectar comandos arbitrarios en el sistema operativo anfitrión subyacente, ejecutar código arbitrario en el sistema operativo anfitrión subyacente, instalar aplicaciones sin ser autenticado o conducir un ataque de tipo cross-site scripting (XSS) contra un usuario del software afectado. Para más información sobre estas vulnerabilidades, consulte la sección Details de este aviso
  • Vulnerabilidad en el entorno de alojamiento de aplicaciones Cisco IOx en varias plataformas de Cisco (CVE-2022-20723)
    Severidad: ALTA
    Fecha de publicación: 15/04/2022
    Fecha de última actualización: 07/02/2024
    Múltiples vulnerabilidades en el entorno de alojamiento de aplicaciones Cisco IOx en varias plataformas de Cisco podrían permitir a un atacante inyectar comandos arbitrarios en el sistema operativo anfitrión subyacente, ejecutar código arbitrario en el sistema operativo anfitrión subyacente, instalar aplicaciones sin ser autenticado o conducir un ataque de tipo cross-site scripting (XSS) contra un usuario del software afectado. Para más información sobre estas vulnerabilidades, consulte la sección Details de este aviso
  • Vulnerabilidad en el servicio Voice Telephony Service Provider (VTSP) de Cisco IOS Software y Cisco IOS XE Software (CVE-2021-34705)
    Severidad: MEDIA
    Fecha de publicación: 23/09/2021
    Fecha de última actualización: 07/02/2024
    Una vulnerabilidad en el servicio Voice Telephony Service Provider (VTSP) de Cisco IOS Software y Cisco IOS XE Software podría permitir a un atacante remoto no autenticado omitir los patrones de destino configurados y marcar números arbitrarios. Esta vulnerabilidad es debido a una comprobación insuficiente de las cadenas de marcación en las interfaces de oficina de cambio de divisas (FXO). Un atacante podría explotar esta vulnerabilidad mediante el envío de una cadena de marcado malformada a un dispositivo afectado por medio del protocolo RDSI o SIP. Una explotación con éxito podría permitir al atacante llevar a cabo un fraude de peaje, resultando en un impacto financiero inesperado para los clientes afectados
  • Vulnerabilidad en el analizador TrustSec CLI de Cisco IOS and Cisco IOS XE Software (CVE-2021-34699)
    Severidad: MEDIA
    Fecha de publicación: 23/09/2021
    Fecha de última actualización: 07/02/2024
    Una vulnerabilidad en el analizador TrustSec CLI de Cisco IOS and Cisco IOS XE Software podría permitir a un atacante remoto y autenticado causar una recarga de un dispositivo afectado. Esta vulnerabilidad es debido a una interacción inapropiada entre la Interfaz de Usuario web y el analizador de la CLI. Un atacante podría explotar esta vulnerabilidad al solicitar una ejecución de un determinado comando CLI mediante la interfaz web. Una explotación con éxito podría permitir al atacante causar la recarga del dispositivo, resultando en una condición de denegación de servicio (DoS)
  • Vulnerabilidad en SQLite (CVE-2024-0232)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 07/02/2024
    Se identificó un problema de uso después de la liberación del montón en SQLite en la función jsonParseAddNodeArray() en sqlite3.c. Este fallo permite que un atacante local aproveche a una víctima para que pase entradas maliciosas especialmente manipuladas a la aplicación, lo que podría provocar un fallo y provocar una denegación de servicio.
  • Vulnerabilidad en Mbed TLS 3.5.1 (CVE-2024-23744)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/01/2024
    Fecha de última actualización: 07/02/2024
    Se descubrió un problema en Mbed TLS 3.5.1. Hay una denegación persistente del protocolo de enlace si un cliente envía un ClientHello TLS 1.3 sin extensiones.
  • Vulnerabilidad en Gotham Table y Forward App (CVE-2023-30970)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/01/2024
    Fecha de última actualización: 07/02/2024
    Se descubrió que el servicio Gotham Table y Forward App eran vulnerables a un problema de path traversal que permitía a un usuario autenticado leer archivos arbitrarios en el sistema de archivos.
  • Vulnerabilidad en GLPI (CVE-2023-51446)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 07/02/2024
    GLPI es un paquete gratuito de software de gestión de TI y activos. Cuando la autenticación se realiza contra un LDAP, el formulario de autenticación se puede utilizar para realizar la inyección de LDAP. Actualice a 10.0.12.
  • Vulnerabilidad en GLPI (CVE-2024-23645)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 07/02/2024
    GLPI es un paquete gratuito de software de gestión de TI y activos. Se puede utilizar una URL maliciosa para ejecutar XSS en páginas de informes. Actualice a 10.0.12.
  • Vulnerabilidad en MachineSense FeverWarn (CVE-2023-46706)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 07/02/2024
    Varios dispositivos MachineSense tienen credenciales que el usuario o el administrador no pueden cambiar.
  • Vulnerabilidad en MachineSense FeverWarn (CVE-2023-47867)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 07/02/2024
    Los dispositivos MachineSense FeverWarn están configurados como hosts Wi-Fi de manera que los atacantes dentro del alcance puedan conectarse a los servicios web del dispositivo y comprometerlo.
  • Vulnerabilidad en MachineSense FeverWarn (CVE-2023-49115)
    Severidad: Pendiente de análisis
    Fecha de publicación: 01/02/2024
    Fecha de última actualización: 07/02/2024
    Los dispositivos MachineSense utilizan mensajes MQTT no autenticados para monitorear dispositivos y la visualización remota de datos de sensores por parte de los usuarios.
  • Vulnerabilidad en IBM Maximo Asset Management (CVE-2023-32333)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 07/02/2024
    IBM Maximo Asset Management versión 7.6.1.3 podría permitir que un atacante remoto inicie sesión en el panel de administración debido a controles de acceso inadecuados. ID de IBM X-Force: 255073.
  • Vulnerabilidad en SlimStat Analytics para WordPress (CVE-2024-1073)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 07/02/2024
    El complemento SlimStat Analytics para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'filter_array' en todas las versiones hasta la 5.1.3 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso a nivel de suscriptor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en OpenHarmony (CVE-2023-49118)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 07/02/2024
    Las versiones de OpenHarmony v3.2.4 y versiones anteriores permiten que un atacante local provoque una fuga de información a través de lectura fuera de los límites.
  • Vulnerabilidad en OpenHarmony (CVE-2024-0285)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 07/02/2024
    Las versiones de OpenHarmony v4.0.0 y versiones anteriores permiten que un atacante local cause DOS mediante una entrada incorrecta.
  • Vulnerabilidad en OpenHarmony (CVE-2024-21845)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 07/02/2024
    Las versiones de OpenHarmony v4.0.0 y versiones anteriores permiten que un atacante local provoque un desbordamiento en la región Heap a través de un desbordamiento de enteros.
  • Vulnerabilidad en OpenHarmony (CVE-2024-21851)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 07/02/2024
    Las versiones de OpenHarmony v4.0.0 y versiones anteriores permiten que un atacante local provoque un desbordamiento en la región Heap a través de un desbordamiento de enteros.
  • Vulnerabilidad en OpenHarmony (CVE-2024-21860)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 07/02/2024
    Las versiones de OpenHarmony v4.0.0 y versiones anteriores permiten que un atacante adyacente ejecute código arbitrario en cualquier aplicación mediante un use after free.
  • Vulnerabilidad en OpenHarmony (CVE-2024-21863)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/02/2024
    Fecha de última actualización: 07/02/2024
    Las versiones de OpenHarmony v4.0.0 y versiones anteriores permiten que un atacante local cause DOS mediante una entrada incorrecta.
  • Vulnerabilidad en flusity-CMS v.2.33 (CVE-2024-24468)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/02/2024
    Fecha de última actualización: 07/02/2024
    Vulnerabilidad de Cross Site Request Forgery en flusity-CMS v.2.33 permite a un atacante remoto ejecutar código arbitrario a través de add_customblock.php.
  • Vulnerabilidad en flusity-CMS v.2.33 (CVE-2024-24469)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/02/2024
    Fecha de última actualización: 07/02/2024
    Vulnerabilidad de Cross Site Request Forgery en flusity-CMS v.2.33 permite a un atacante remoto ejecutar código arbitrario a través de delete_post .php.