Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (CVE-2024-20932)
    Severidad: Pendiente de análisis
    Fecha de publicación: 16/01/2024
    Fecha de última actualización: 14/02/2024
    Vulnerabilidad en el producto Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition de Oracle Java SE (componente: Seguridad). Las versiones compatibles que se ven afectadas son Oracle Java SE: 17.0.9; Oracle GraalVM para JDK: 17.0.9; Oracle GraalVM Enterprise Edition: 21.3.8 y 22.3.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Oracle Java SE, Oracle GraalVM para JDK y Oracle GraalVM Enterprise Edition. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a la creación, eliminación o modificación de datos críticos o de todos los datos accesibles de Oracle Java SE, Oracle GraalVM para JDK, Oracle GraalVM Enterprise Edition. Nota: Esta vulnerabilidad se aplica a implementaciones de Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o subprogramas de Java en sandbox, que cargan y ejecutan código que no es de confianza (por ejemplo, código que proviene de Internet) y dependen del entorno limitado de Java para su seguridad. Esta vulnerabilidad no se aplica a implementaciones de Java, normalmente en servidores, que cargan y ejecutan sólo código confiable (por ejemplo, código instalado por un administrador). CVSS 3.1 Puntaje base 7.5 (Impactos en la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N).
  • Vulnerabilidad en Unlimited Addons for WPBakery Page Builder para WordPress (CVE-2023-6925)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/02/2024
    Fecha de última actualización: 14/02/2024
    El complemento Unlimited Addons for WPBakery Page Builder para WordPress es vulnerable a cargas de archivos arbitrarias debido a una validación insuficiente del tipo de archivo en la función 'importZipFile' en versiones hasta la 1.0.42 incluida. Esto hace posible que atacantes autenticados con una función a la que el administrador haya concedido previamente acceso al complemento (la función predeterminada es la de editor, pero también se puede conceder acceso a la función de colaborador), carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer que los atacantes remotos posible la ejecución del código.
  • Vulnerabilidad en Better Search Replace para WordPress (CVE-2023-6933)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/02/2024
    Fecha de última actualización: 14/02/2024
    El complemento Better Search Replace para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 1.4.4 incluida, a través de la deserialización de entradas que no son de confianza. Esto hace posible que atacantes no autenticados inyecten un objeto PHP. No hay ninguna cadena POP presente en el complemento vulnerable. Si hay una cadena POP presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código.
  • Vulnerabilidad en PDF Generator For Fluent Forms – The Contact Form Plugin para WordPress (CVE-2023-6953)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/02/2024
    Fecha de última actualización: 14/02/2024
    El complemento PDF Generator For Fluent Forms – The Contact Form Plugin para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros de contenido del encabezado, el cuerpo del PDF y el pie de página en todas las versiones hasta la 1.1.7 incluida, debido a una sanitización de entrada insuficiente y salida que se escapa. Esto hace posible que los atacantes inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. El nivel de explotación depende de a quién un administrador le concede el derecho de crear formularios. Este nivel puede ser tan bajo como colaborador, pero de forma predeterminada es administrador.
  • Vulnerabilidad en HID Global Encoders (CVE-2024-22388)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/02/2024
    Fecha de última actualización: 14/02/2024
    Cierta configuración disponible en el canal de comunicación para codificadores podría exponer datos confidenciales cuando se programan las tarjetas de configuración del lector. Estos datos podrían incluir claves de administración de dispositivos y credenciales.
  • Vulnerabilidad en Veeam Recovery Orchestrator (CVE-2024-22021)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/02/2024
    Fecha de última actualización: 14/02/2024
    La vulnerabilidad CVE-2024-22021 permite a un usuario de Veeam Recovery Orchestrator con un rol de privilegios bajos (Autor del plan) recuperar planes de un ámbito distinto al que están asignados.
  • Vulnerabilidad en Línea Gráfica para PrestaShop (CVE-2024-24311)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/02/2024
    Fecha de última actualización: 14/02/2024
    Vulnerabilidad de Path Traversal en el módulo de Línea Gráfica "Multilingual and Multistore Sitemap Pro - SEO" (lgsitemaps) para PrestaShop anterior a la versión 1.6.6, un invitado puede descargar información personal sin restricciones.
  • Vulnerabilidad en Axigen WebMail (CVE-2023-48974)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/02/2024
    Fecha de última actualización: 14/02/2024
    Vulnerabilidad de cross-site scripting en Axigen WebMail v.10.5.7 y anteriores permite a un atacante remoto escalar privilegios a través de un script manipulado al parámetro serverName_input.
  • Vulnerabilidad en Software Publico e-Sic Livre (CVE-2024-24350)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/02/2024
    Fecha de última actualización: 14/02/2024
    Vulnerabilidad de carga de archivos en Software Publico e-Sic Livre v.2.0 y anteriores permite a un atacante remoto ejecutar código arbitrario a través del componente de filtrado de extensión.
  • Vulnerabilidad en SonicWall SonicOS (CVE-2024-22394)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/02/2024
    Fecha de última actualización: 14/02/2024
    Se ha identificado una vulnerabilidad de autenticación incorrecta en la función SSL-VPN de SonicWall SonicOS, que en condiciones específicas podría permitir que un atacante remoto omita la autenticación. Este problema afecta únicamente a la versión de firmware SonicOS 7.1.1-7040.