Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Ejecución de comandos en masterCGI de Alcatel OmniPCX Enterprise Communication Server (CVE-2007-3010)
    Severidad: ALTA
    Fecha de publicación: 18/09/2007
    Fecha de última actualización: 02/07/2024
    masterCGI en la Herramienta de Mantenimiento Unificado (Unified Maintenance Tool) en Alcatel OmniPCX Enterprise Communication SErver R7.1 y anteriores permite a atacantes remotos ejecutar comandos de su elección mediante metacaracteres de línea de comandos en el parámetro user durante una acción ping.
  • Vulnerabilidad en Microsoft Internet Explorer 10 (CVE-2014-0322)
    Severidad: ALTA
    Fecha de publicación: 14/02/2014
    Fecha de última actualización: 02/07/2024
    Vulnerabilidad de uso después de liberación en Microsoft Internet Explorer 10 permite a atacantes remotos ejecutar código arbitrario a través de vectores que involucran código JavaScript manipulado, tal y como se explotó activamente en enero y febrero 2014.
  • Vulnerabilidad en InduSoft Web Studio (CVE-2014-0780)
    Severidad: ALTA
    Fecha de publicación: 25/04/2014
    Fecha de última actualización: 02/07/2024
    Vulnerabilidad de salto de directorio en NTWebServer en InduSoft Web Studio 7.1 anterior a SP2 Patch 4 permite a a atacantes remotos leer contraseñas de autenticación en archivos APP, y como consecuencia ejecutar código arbitrario, a través de solicitudes web no especificados.
  • Vulnerabilidad en win32k.sys en Microsoft Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 y Windows RT (CVE-2014-4113)
    Severidad: ALTA
    Fecha de publicación: 15/10/2014
    Fecha de última actualización: 02/07/2024
    win32k.sys en los controladores de modo de kernel en Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold y R2, y Windows RT Gold y 8.1 permite a usuarios locales ganar privilegios a través de una aplicación manipulada, tal y como fue demostrado activamente en octubre 2014, también conocido como 'vulnerabilidad de la elevación de privilegios de Win32k.sys.'
  • Vulnerabilidad en Adobe Flash Player (CVE-2015-0311)
    Severidad: ALTA
    Fecha de publicación: 23/01/2015
    Fecha de última actualización: 02/07/2024
    Vulnerabilidad no especificada en Adobe Flash Player hasta 13.0.0.262 y 14.x, 15.x, y 16.x hasta 16.0.0.287 en Windows y OS X y hasta 11.2.202.438 en Linux permite a atacantes remotos ejecutar código arbitrario a través de vectores desconocidos, tal y como fue utilizado activamente en enero del 2015.
  • Vulnerabilidad en Microsoft Internet Explorer (CVE-2015-2502)
    Severidad: ALTA
    Fecha de publicación: 19/08/2015
    Fecha de última actualización: 02/07/2024
    Vulnerabilidad en Microsoft Internet Explorer 7 hasta la versión 11, permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de una página web manipulada, también conocida como 'Vulnerabilidad de Corrupción de Memoria', tal y como fue explotada activamente en agosto de 2015.
  • Vulnerabilidad en Adobe Flash Player (CVE-2015-3113)
    Severidad: ALTA
    Fecha de publicación: 23/06/2015
    Fecha de última actualización: 02/07/2024
    Desbordamiento de buffer basado en memoria dinámica en Adobe Flash Player anterior a 13.0.0.296 y 14.x hasta 18.x anterior a 18.0.0.194 en Windows y OS X y anterior a 11.2.202.468 en Linux permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados, tal y como fue utilizado activamente en junio del 2015.
  • Vulnerabilidad en la interfaz WAP en Trihedral VTScada (CVE-2016-4523)
    Severidad: MEDIA
    Fecha de publicación: 09/06/2016
    Fecha de última actualización: 02/07/2024
    La interfaz WAP en Trihedral VTScada (anteriormente VTS) 8.x hasta la versión 11.x en versiones anteriores a 11.2.02 permite a atacantes remotos provocar una caída de servicio (lectura fuera de rango y caída de aplicación) a través de vectores no especificados.
  • Vulnerabilidad en las implementaciones de (1) TLS y (2) DTLS en OpenSSL (CVE-2014-0160)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2014
    Fecha de última actualización: 02/07/2024
    Las implementaciones de (1) TLS y (2) DTLS en OpenSSL 1.0.1 en versiones anteriores a 1.0.1g no manejan adecuadamente paquetes Heartbeat Extension, lo que permite a atacantes remotos obtener información sensible desde la memoria de proceso a través de paquetes manipulados que desencadenan una sobrelectura del buffer, según lo demostrado mediante la lectura de claves privadas, relacionado con d1_both.c y t1_lib.c, también conocido como bug Heartbleed.
  • Vulnerabilidad en Adobe Flash Player (CVE-2015-0313)
    Severidad: ALTA
    Fecha de publicación: 02/02/2015
    Fecha de última actualización: 02/07/2024
    Vulnerabilidad de uso después de liberación de memoria en Adobe Flash Player en versiones anteriores a 13.0.0.269 y 14.x hasta la versión 16.x en versiones anteriores a 16.0.0.305 en Windows y OS X y en versiones anteriores a 11.2.202.442 en Linux permite a atacantes remotos ejecutar código arbitrario a través de vectores no especificados, según se ha explotado activamente en febrero de 2015, una vulnerabilidad diferente a CVE-2015-0315, CVE-2015-0320 y CVE-2015-0322.
  • Vulnerabilidad en el plugin de Jenkins (CVE-2019-1003029)
    Severidad: MEDIA
    Fecha de publicación: 08/03/2019
    Fecha de última actualización: 02/07/2024
    Existe una vulnerabilidad de omisión de sandbox en Jenkins Script Security Plugin, en la versión 1.53 y anteriores en src/main/java/org/jenkinsci/plugins/scriptsecurity/sandbox/groovy/GroovySandbox.java, que permite a los atacantes con permisos de "Overall/Read" ejecutar código arbitrario en el maestro JVM de Jenkins.
  • Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Monterey, tvOS, watchOS, macOS Big Sur de Apple (CVE-2021-30883)
    Severidad: ALTA
    Fecha de publicación: 24/08/2021
    Fecha de última actualización: 02/07/2024
    Se abordó un problema de corrupción de memoria con un manejo de memoria mejorada. Este problema se corrigió en iOS versión 15.0.2 y iPadOS versión 15.0.2, macOS Monterey versión 12.0.1, iOS versión 14.8.1 y iPadOS versión 14.8.1, tvOS versión 15.1, watchOS versión 8.1, macOS Big Sur versión 11.6.1. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios del kernel. Apple es consciente de un informe de que este problema puede haber sido explotado activamente
  • Vulnerabilidad en el RPM de comprobación de salud del software Cisco IOS XR (CVE-2022-20821)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2022
    Fecha de última actualización: 02/07/2024
    Una vulnerabilidad en el RPM de comprobación de salud del software Cisco IOS XR podría permitir a un atacante remoto no autenticado acceder a la instancia de Redis que es ejecutado dentro del contenedor NOSi. Esta vulnerabilidad se presenta porque el RPM de comprobación de salud abre el puerto TCP 6379 por defecto al activarse. Un atacante podría explotar esta vulnerabilidad al conectarse a la instancia de Redis en el puerto abierto. Una explotación con éxito podría permitir al atacante escribir en la base de datos en memoria de Redis, escribir archivos arbitrarios en el sistema de archivos del contenedor y recuperar información sobre la base de datos de Redis. Dada la configuración del contenedor con sandbox en el que es ejecutada la instancia de Redis, un atacante remoto no podría ejecutar código remoto ni abusar de la integridad del sistema anfitrión del software Cisco IOS XR
  • Vulnerabilidad en Blink en Google Chrome (CVE-2019-5786)
    Severidad: MEDIA
    Fecha de publicación: 27/06/2019
    Fecha de última actualización: 02/07/2024
    El problema de la vida útil del objeto en Blink en Google Chrome antes del 72.0.3626.121 permitió que un atacante remoto pudiera realizar un acceso a la memoria fuera de límites a través de una página HTML diseñada.
  • Vulnerabilidad en Windows User Profile Service de Microsoft (CVE-2022-21919)
    Severidad: MEDIA
    Fecha de publicación: 11/01/2022
    Fecha de última actualización: 02/07/2024
    Una vulnerabilidad de Elevación de Privilegios en Windows User Profile Service. Este ID de CVE es diferente de CVE-2022-21895
  • Vulnerabilidad en Windows User Profile Service de Microsoft (CVE-2022-26904)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2022
    Fecha de última actualización: 02/07/2024
    Una vulnerabilidad de Elevación de Privilegios en Windows User Profile Service
  • Vulnerabilidad en una carga de archivos sin restricciones en algunos productos WSO2 (CVE-2022-29464)
    Severidad: ALTA
    Fecha de publicación: 18/04/2022
    Fecha de última actualización: 02/07/2024
    Algunos productos WSO2 permiten la carga de archivos sin restricciones con la consiguiente ejecución remota de código. El atacante debe utilizar un endpoint /fileupload con una secuencia de recorrido de directorio Content-Disposition para alcanzar un directorio bajo la raíz web, como un directorio ../../../../repositorio/despliegue/servidor/webapps. Esto afecta a WSO2 API Manager 2.2.0 y superior hasta 4.0.0; WSO2 Identity Server 5.2.0 y superior hasta 5.11.0; WSO2 Identity Server Analytics 5.4.0, 5.4.1, 5.5.0 y 5.6.0; WSO2 Identity Server as Key Manager 5.3.0 y superior hasta 5.10.0; y WSO2 Enterprise Integrator 6.2.0 y superior hasta 6.6.0
  • Vulnerabilidad en Win32k de Microsoft (CVE-2021-40450)
    Severidad: MEDIA
    Fecha de publicación: 13/10/2021
    Fecha de última actualización: 02/07/2024
    Una vulnerabilidad de Elevación de Privilegios en Win32k . Este ID de CVE es diferente de CVE-2021-40449, CVE-2021-41357
  • Vulnerabilidad en Win32k de Microsoft (CVE-2021-41357)
    Severidad: MEDIA
    Fecha de publicación: 13/10/2021
    Fecha de última actualización: 02/07/2024
    Una vulnerabilidad de Elevación de Privilegios en Win32k. Este ID de CVE es único de CVE-2021-40449, CVE-2021-40450
  • Vulnerabilidad en Windows Print Spooler de Microsoft (CVE-2022-22718)
    Severidad: ALTA
    Fecha de publicación: 09/02/2022
    Fecha de última actualización: 02/07/2024
    Una Vulnerabilidad de Elevación de Privilegios en Windows Print Spooler. Este ID de CVE es diferente de CVE-2022-21997, CVE-2022-21999, CVE-2022-22717
  • Vulnerabilidad en badmonkey (CVE-2023-5038)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/06/2024
    Fecha de última actualización: 02/07/2024
    badmonkey, un investigador de seguridad ha encontrado una falla que permite un ataque DoS no autenticado en la cámara. Un atacante ejecuta una URL manipulada y nadie puede acceder a la página de administración web de la cámara y debe reiniciar manualmente el dispositivo o volver a encenderlo. El fabricante ha publicado un parche de firmware para la falla; consulte el informe del fabricante para obtener detalles y workarounds.