Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en linux-pam (CVE-2024-22365)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/02/2024
    Fecha de última actualización: 14/02/2024
    linux-pam (también conocido como Linux PAM) anterior a 1.6.0 permite a los atacantes provocar una denegación de servicio (proceso de inicio de sesión bloqueado) a través de mkfifo porque la llamada openat (para protect_dir) carece de O_DIRECTORY.
  • Vulnerabilidad en Galleon (CVE-2023-4503)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/02/2024
    Fecha de última actualización: 14/02/2024
    Se encontró una vulnerabilidad de inicialización incorrecta en Galleon. Cuando se utiliza Galleon para aprovisionar servidores EAP o EAP-XP personalizados, los servidores se crean sin seguridad. Este problema podría permitir que un atacante acceda a servicios HTTP remotos disponibles en el servidor.
  • Vulnerabilidad en GNU coreutils (CVE-2024-0684)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/02/2024
    Fecha de última actualización: 14/02/2024
    Se encontró una falla en el programa "split" de GNU coreutils. Podría producirse un desbordamiento de almacenamiento dinámico con datos controlados por el usuario de varios cientos de bytes de longitud en la función line_bytes_split(), lo que podría provocar un bloqueo de la aplicación y una denegación de servicio.
  • Vulnerabilidad en RustDesk 1.2.3 (CVE-2024-25140)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/02/2024
    Fecha de última actualización: 14/02/2024
    Una instalación predeterminada de RustDesk 1.2.3 en Windows coloca un certificado WDKTestCert bajo Autoridades de certificación raíz confiables con uso de clave mejorado de firma de código (1.3.6.1.5.5.7.3.3), válido desde 2023 hasta 2033. Esto es potencialmente no deseado, por ejemplo , porque no existe documentación pública sobre las medidas de seguridad para la clave privada, y se podría firmar software arbitrario si la clave privada se viera comprometida. NOTA: la posición del proveedor es "no tenemos un certificado EV, por lo que utilizamos el certificado de prueba como workaround". La inserción en autoridades de certificación raíz de confianza era el comportamiento previsto originalmente y la interfaz de usuario garantizaba que el paso de instalación del certificado (marcado de forma predeterminada) fuera visible para el usuario antes de continuar con la instalación del producto.
  • Vulnerabilidad en Apache Software Foundation Apache Sling Servlets Resolver (CVE-2024-23673)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/02/2024
    Fecha de última actualización: 14/02/2024
    Ejecución de código malicioso mediante path traversal en Apache Software Foundation Apache Sling Servlets Resolver. Este problema afecta a todas las versiones de Apache Sling Servlets Resolver anteriores a la 2.11.0. Sin embargo, si un sistema es vulnerable a este ataque depende de la configuración exacta del sistema. Si el sistema es vulnerable, un usuario con acceso de escritura al repositorio podría engañar a Sling Servlet Resolver para que cargue un script cargado previamente. Se recomienda a los usuarios actualizar a la versión 2.11.0, que soluciona este problema. Se recomienda actualizar, independientemente de si la configuración de su sistema actualmente permite este ataque o no.
  • Vulnerabilidad en ansible-core (CVE-2024-0690)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/02/2024
    Fecha de última actualización: 14/02/2024
    Se encontró una falla de divulgación de información en ansible-core debido a que no se respetó la configuración de ANSIBLE_NO_LOG en algunos escenarios. Se descubrió que la información todavía se incluye en la salida de determinadas tareas, como los elementos del bucle. Dependiendo de la tarea, este problema puede incluir información confidencial, como valores secretos descifrados.
  • Vulnerabilidad en Indent (CVE-2024-0911)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/02/2024
    Fecha de última actualización: 14/02/2024
    Se encontró una falla en Indent. Este problema puede permitir que un usuario local utilice un archivo especialmente manipulado para desencadenar un desbordamiento de búfer de almacenamiento dinámico, lo que puede provocar un bloqueo de la aplicación.