Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Windows Graphics Device Interface (CVE-2019-0903)
    Severidad: ALTA
    Fecha de publicación: 16/05/2019
    Fecha de última actualización: 03/04/2025
    Existe una vulnerabilidad de ejecución de código remoto en la manera en que Windows Graphics Device Interface (GDI) maneja los objetos en la memoria, también se conoce como "GDI+ Remote Code Execution Vulnerability".
  • Vulnerabilidad en Windows AppX Deployment Service (CVE-2019-1064)
    Severidad: ALTA
    Fecha de publicación: 12/06/2019
    Fecha de última actualización: 03/04/2025
    Existe una vulnerabilidad de elevación de privilegios cuando Windows AppX Deployment Service (AppXSVC) maneja incorrectamente los enlaces físicos, también se conoce como 'Windows Elevation of Privilege Vulnerability'.
  • Vulnerabilidad en Microsoft splwow64 Elevation (CVE-2019-0880)
    Severidad: ALTA
    Fecha de publicación: 15/07/2019
    Fecha de última actualización: 03/04/2025
    Se presenta una vulnerabilidad de elevación de privilegios local en la manera en que splwow64.exe maneja determinadas llamadas, también se conoce como "Microsoft splwow64 Elevation of Privilege Vulnerability
  • Vulnerabilidad en la biblioteca ws2ifsl.sys de Winsock en Microsoft Windows (CVE-2019-1215)
    Severidad: ALTA
    Fecha de publicación: 11/09/2019
    Fecha de última actualización: 03/04/2025
    Se presenta una vulnerabilidad de elevación de privilegios en la manera en que la biblioteca ws2ifsl.sys (Winsock) maneja los objetos en la memoria, también se conoce como "Windows Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1253, CVE-2019-1278, CVE-2019-1303.
  • Vulnerabilidad en Windows AppX Deployment Service (AppXSVC) (CVE-2019-1129)
    Severidad: ALTA
    Fecha de publicación: 15/07/2019
    Fecha de última actualización: 03/04/2025
    Existe una vulnerabilidad de elevación de privilegios cuando Windows AppX Deployment Service (AppXSVC) maneja incorrectamente los enlaces físicos, también se conoce como 'Windows Elevation of Privilege Vulnerability'. El ID de este CVE es diferente de CVE-2019-1130.
  • Vulnerabilidad en Windows AppX Deployment Service (AppXSVC) (CVE-2019-1130)
    Severidad: ALTA
    Fecha de publicación: 15/07/2019
    Fecha de última actualización: 03/04/2025
    Existe una vulnerabilidad de elevación de privilegios cuando Windows AppX Deployment Service (AppXSVC) maneja incorrectamente los enlaces físicos, también se conoce como 'Windows Elevation of Privilege Vulnerability'. El ID de este CVE es diferente de CVE-2019-1129.
  • Vulnerabilidad en las uniones en Windows AppX Deployment Server en Microsoft Windows (CVE-2019-1253)
    Severidad: ALTA
    Fecha de publicación: 11/09/2019
    Fecha de última actualización: 03/04/2025
    Se presenta una vulnerabilidad de elevación de privilegios cuando Windows AppX Deployment Server maneja inapropiadamente las uniones. Para explotar esta vulnerabilidad, un atacante primero tendría que alcanzar la ejecución en el sistema víctima, también se conoce como "Windows Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2019-1215, CVE-2019-1278, CVE-2019-1303.
  • Vulnerabilidad en Windows Error Reporting (WER) (CVE-2019-0863)
    Severidad: ALTA
    Fecha de publicación: 16/05/2019
    Fecha de última actualización: 03/04/2025
    Existe una vulnerabilidad de elevación de privilegios en la forma en que Windows Error Reporting (WER) maneja los archivos, también conocida como 'Windows Error Reporting Elevation of Privilege Vulnerability.
  • Vulnerabilidad en productos Pulse Secure (CVE-2019-11539)
    Severidad: ALTA
    Fecha de publicación: 26/04/2019
    Fecha de última actualización: 03/04/2025
    En Pulse Secure Pulse Connect Secure versiones 9.0RX anteriores a 9.0R3.4, versiones 8.3RX anteriores a 8.3R7.1, versiones 8.2RX anteriores a 8.2R12.1, y versiones 8.1RX anteriores a 8.1R15.1; Pulse Policy Secure versiones 9.0RX anteriores a 9.0R3.2, versiones 5.4RX anteriores a 5.4R7.1, versiones 5.3RX anteriores a 5.3R12.1, versiones 5.2RX anteriores a 5.2R12.1, y versiones 5.1RX anteriores a 5.1R15.1, la interfaz web de administración permite a un atacante autenticado inyectar y ejecutar comandos.
  • Vulnerabilidad en Thunderbird (CVE-2019-11707)
    Severidad: ALTA
    Fecha de publicación: 23/07/2019
    Fecha de última actualización: 03/04/2025
    Se puede producir una vulnerabilidad de tipo confusión cuando se manipulan objetos de JavaScript debido a problemas en Array.pop. Esto puede permitir un accidente explotable. Somos conscientes de los ataques dirigidos en la naturaleza abusando de este fallo. Esta vulnerabilidad afecta a Firefox ESR anterior a la versión 60.7.1, Firefox anterior a la versión 67.0.3 y Thunderbird anterior a la versión 60.7.2.
  • Vulnerabilidad en una aplicación en iOS, iPadOS de Apple (CVE-2021-30900)
    Severidad: ALTA
    Fecha de publicación: 24/08/2021
    Fecha de última actualización: 03/04/2025
    Se abordó un problema de escritura fuera de límites con una comprobación de límites mejorada. Este problema se corrigió en iOS versión 14.8.1 y iPadOS versión 14.8.1, iOS versión 15.1 y iPadOS versión 15.1. Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios del kernel
  • Vulnerabilidad en D-Link DIR 645A1 1.06B01_Beta01 (CVE-2022-46475)
    Severidad: CRÍTICA
    Fecha de publicación: 17/01/2023
    Fecha de última actualización: 03/04/2025
    Se descubrió que D-Link DIR 645A1 1.06B01_Beta01 contenía un desbordamiento de pila a través de la variable service= en la función genacgi_main.
  • Vulnerabilidad en Ruckus (CVE-2020-22657)
    Severidad: CRÍTICA
    Fecha de publicación: 20/01/2023
    Fecha de última actualización: 03/04/2025
    En Ruckus R310 10.5.1.0.199, Ruckus R500 10.5.1.0.199, Ruckus R600 10.5.1.0.199, Ruckus T300 10.5.1.0.199, Ruckus T301n 10.5.1.0.199, Ruckus T301s 10.5.1.0 .199, celda inteligente Gateway 200 (SCG200) anterior a 3.6.2.0.795, SmartZone 100 (SZ-100) anterior a 3.6.2.0.795, SmartZone 300 (SZ300) anterior a 3.6.2.0.795, Virtual SmartZone (vSZ) anterior a 3.6.2.0.795, ZoneDirector 1100 9.10.2.0.130, ZoneDirector 1200 10.2.1.0.218, ZoneDirector 3000 10.2.1.0.218, ZoneDirector 5000 10.0.1.0.151, una vulnerabilidad permite a los atacantes realizar una omisión de autenticación de inicio de sesión en la GUI WEB.
  • Vulnerabilidad en Ruckus (CVE-2020-22653)
    Severidad: CRÍTICA
    Fecha de publicación: 20/01/2023
    Fecha de última actualización: 03/04/2025
    En Ruckus R310 10.5.1.0.199, Ruckus R500 10.5.1.0.199, Ruckus R600 10.5.1.0.199, Ruckus T300 10.5.1.0.199, Ruckus T301n 10.5.1.0.199, Ruckus T301s 10.5.1.0 .199, celda inteligente Gateway 200 (SCG200) anterior a 3.6.2.0.795, SmartZone 100 (SZ-100) anterior a 3.6.2.0.795, SmartZone 300 (SZ300) anterior a 3.6.2.0.795, Virtual SmartZone (vSZ) anterior a 3.6.2.0.795, ZoneDirector 1100 9.10.2.0.130, ZoneDirector 1200 10.2.1.0.218, ZoneDirector 3000 10.2.1.0.218, ZoneDirector 5000 10.0.1.0.151, una vulnerabilidad permite a los atacantes explotar la firma de la imagen oficial para forzar la inyección de una firma de imagen no autorizada.
  • Vulnerabilidad en las funcionalidades JNDI en la configuración, los mensajes de registro y los parámetros de Apache Log4j2 (CVE-2021-44228)
    Severidad: CRÍTICA
    Fecha de publicación: 10/12/2021
    Fecha de última actualización: 03/04/2025
    Las características JNDI de Apache Log4j2 2.0-beta9 hasta 2.15.0 (excluyendo las versiones de seguridad 2.12.2, 2.12.3 y 2.3.1) utilizadas en la configuración, los mensajes de registro y los parámetros no protegen contra LDAP controlado por un atacante y otros puntos finales relacionados con JNDI. Un atacante que pueda controlar los mensajes de registro o los parámetros de los mensajes de registro puede ejecutar código arbitrario cargado desde servidores LDAP cuando la sustitución de la búsqueda de mensajes está habilitada. A partir de la versión 2.15.0 de log4j, este comportamiento ha sido deshabilitado por defecto. A partir de la versión 2.16.0 (junto con las versiones 2.12.2, 2.12.3 y 2.3.1), esta funcionalidad se ha eliminado por completo. Tenga en cuenta que esta vulnerabilidad es específica de log4j-core y no afecta a log4net, log4cxx u otros proyectos de Apache Logging Services
  • Vulnerabilidad en libvpx (CVE-2023-5217)
    Severidad: ALTA
    Fecha de publicación: 28/09/2023
    Fecha de última actualización: 03/04/2025
    El desbordamiento del búfer en la codificación vp8 en libvpx en Google Chrome anterior a 117.0.5938.132 y libvpx 1.13.1 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Severidad de seguridad de Chrome: alta)
  • Vulnerabilidad en kernel de Linux (CVE-2024-26731)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 03/04/2025
    En el kernel de Linux, se resolvió la siguiente vulnerabilidad: bpf, sockmap: corrigió la desreferencia del puntero NULL en sk_psock_verdict_data_ready() syzbot informó el siguiente problema de desreferencia del puntero NULL [1]: ERROR: desreferencia del puntero NULL del kernel, dirección: 0000000000000000 [... ] RIP: 0010:0x0 [...] Seguimiento de llamadas: sk_psock_verdict_data_ready+0x232/0x340 net/core/skmsg.c:1230 unix_stream_sendmsg+0x9b4/0x1230 net/unix/af_unix.c:2293 sock_sendmsg_nosec net/socket. c:730 [en línea] __sock_sendmsg+0x221/0x270 net/socket.c:745 ____sys_sendmsg+0x525/0x7d0 net/socket.c:2584 ___sys_sendmsg net/socket.c:2638 [en línea] __sys_sendmsg+0x2b0/0x3a0 net /socket. c:2667 do_syscall_64+0xf9/0x240 Entry_SYSCALL_64_after_hwframe+0x6f/0x77 Si sk_psock_verdict_data_ready() y sk_psock_stop_verdict() se llaman simultáneamente, psock->saved_data_ready puede ser NULL, causando el problema anterior. Este parche soluciona este problema llamando a la función de preparación de datos adecuada utilizando el asistente sk_psock_data_ready() y protegiéndola de la concurrencia con sk->sk_callback_lock.
  • Vulnerabilidad en GeoServer (CVE-2024-36401)
    Severidad: CRÍTICA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 03/04/2025
    GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. Antes de las versiones 2.23.6, 2.24.4 y 2.25.2, varios parámetros de solicitud de OGC permitían la ejecución remota de código (RCE) por parte de usuarios no autenticados a través de entradas especialmente diseñadas en una instalación predeterminada de GeoServer debido a la evaluación insegura de nombres de propiedades como expresiones XPath. La API de la librería GeoTools a la que llama GeoServer evalúa los nombres de propiedades/atributos para tipos de entidades de una manera que los pasa de manera insegura a la librería commons-jxpath, que puede ejecutar código arbitrario al evaluar expresiones XPath. Esta evaluación XPath está destinada a ser utilizada únicamente por tipos de funciones complejas (es decir, almacenes de datos de esquemas de aplicación), pero también se aplica incorrectamente a tipos de funciones simples, lo que hace que esta vulnerabilidad se aplique a **TODAS** las instancias de GeoServer. No se proporciona ninguna PoC pública, pero se ha confirmado que esta vulnerabilidad es explotable a través de solicitudes WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic y WPS Execute. Esta vulnerabilidad puede llevar a la ejecución de código arbitrario. Las versiones 2.23.6, 2.24.4 y 2.25.2 contienen un parche para el problema. Existe una workaround eliminando el archivo `gt-complex-xyjar` del GeoServer donde `xy` es la versión de GeoTools (por ejemplo, `gt-complex-31.1.jar` si ejecuta GeoServer 2.25.1). Esto eliminará el código vulnerable de GeoServer, pero puede interrumpir algunas funciones de GeoServer o evitar que GeoServer se implemente si se necesita el módulo gt-complex.
  • Vulnerabilidad en Happy Addons para Elementor para WordPress (CVE-2024-12852)
    Severidad: MEDIA
    Fecha de publicación: 08/01/2025
    Fecha de última actualización: 03/04/2025
    El complemento Happy Addons para Elementor para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro 'ha_cmc_text' del cursor del mouse Happy en todas las versiones hasta la 3.15.1 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten web scripts en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Firefox (CVE-2025-23108)
    Severidad: MEDIA
    Fecha de publicación: 11/01/2025
    Fecha de última actualización: 03/04/2025
    Abrir enlaces de Javascript en una nueva pestaña manteniendo pulsada la tecla en el cliente iOS de Firefox podría provocar que un script malicioso falsifique la URL de la nueva pestaña. Esta vulnerabilidad afecta a Firefox para iOS < 134.
  • Vulnerabilidad en Firefox (CVE-2025-23109)
    Severidad: MEDIA
    Fecha de publicación: 11/01/2025
    Fecha de última actualización: 03/04/2025
    Los nombres de host largos en las URL podrían aprovecharse para ocultar el host real del sitio web o falsificar la dirección del sitio web. Esta vulnerabilidad afecta a Firefox para iOS < 134.
  • Vulnerabilidad en Code-Projects Online Car Rental System 1.0 (CVE-2024-57487)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 03/04/2025
    En Code-Projects Online Car Rental System 1.0, la función de carga de archivos no valida las extensiones de archivo o los tipos MIME, lo que permite a un atacante cargar un shell PHP sin ninguna restricción y ejecutar comandos en el servidor.
  • Vulnerabilidad en Code-Projects Online Car Rental System 1.0 (CVE-2024-57488)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 03/04/2025
    Code-Projects Online Car Rental System 1.0 es vulnerable a Cross Site Scripting (XSS) a través del parámetro vehicalorcview en /admin/edit-vehicle.php.
  • Vulnerabilidad en Apache Tomcat (CVE-2025-24813)
    Severidad: CRÍTICA
    Fecha de publicación: 10/03/2025
    Fecha de última actualización: 03/04/2025
    Equivalencia de ruta: 'file.Name' (punto interno) que conduce a la ejecución remota de código y/o divulgación de información y/o contenido malicioso agregado a los archivos cargados a través del servlet predeterminado habilitado para escritura en Apache Tomcat. Este problema afecta a Apache Tomcat: desde 11.0.0-M1 hasta 11.0.2, desde 10.1.0-M1 hasta 10.1.34, desde 9.0.0.M1 hasta 9.0.98. Si todo lo siguiente fuera cierto, un usuario malintencionado podría ver archivos sensibles de seguridad y/o inyectar contenido en esos archivos: - escrituras habilitadas para el servlet predeterminado (deshabilitado por defecto) - soporte para PUT parcial (habilitado por defecto) - una URL de destino para cargas sensibles de seguridad que era un subdirectorio de una URL de destino para cargas públicas - conocimiento del atacante de los nombres de los archivos sensibles de seguridad que se estaban cargando - los archivos sensibles de seguridad también se estaban cargando a través de PUT parcial Si todo lo siguiente fuera cierto, un usuario malintencionado podría realizar una ejecución remota de código: - escrituras habilitadas para el servlet predeterminado (deshabilitado por defecto) - soporte para PUT parcial (habilitado por defecto) - la aplicación estaba usando la persistencia de sesión basada en archivos de Tomcat con la ubicación de almacenamiento predeterminada - la aplicación incluía una biblioteca que se puede aprovechar en un ataque de deserialización Se recomienda a los usuarios actualizar a la versión 11.0.3, 10.1.35 o 9.0.98, que corrige el problema.
  • Vulnerabilidad en Celk Sistemas Celk Saude v.3.1.252.1 (CVE-2024-55198)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 03/04/2025
    Enumeración de usuarios mediante discrepancias en los mensajes de error en la funcionalidad de recuperación de contraseña de Celk Sistemas Celk Saude v.3.1.252.1 que permite a un atacante remoto enumerar usuarios a través de discrepancias en las respuestas.
  • Vulnerabilidad en FS Inc S3150 8T2F Switch s3150-8t2f-switch-fsos-220d_118101 (CVE-2025-25625)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 03/04/2025
    FS Inc S3150 8T2F Switch s3150-8t2f-switch-fsos-220d_118101 tiene una vulnerabilidad de Cross Site Scripting (XSS) almacenado en la interfaz de administración web.
  • Vulnerabilidad en Froxlor (CVE-2025-29773)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 03/04/2025
    Froxlor es un software de administración de servidores de código abierto. Una vulnerabilidad en versiones anteriores a la 2.2.6 permite a los usuarios (como revendedores o clientes) crear cuentas con la misma dirección de correo electrónico que una cuenta existente. Esto genera posibles problemas de identificación y seguridad de la cuenta. Esta vulnerabilidad puede ser explotada por usuarios autenticados (por ejemplo, revendedores o clientes) que pueden crear cuentas con la misma dirección de correo electrónico que ya ha sido utilizada por otra cuenta, como la del administrador. El vector de ataque se basa en el correo electrónico, ya que el sistema no impide que varias cuentas registren la misma dirección de correo electrónico, lo que puede generar conflictos y problemas de seguridad. La versión 2.2.6 corrige el problema.
  • Vulnerabilidad en Tenable Network Security, Inc. (CVE-2025-2263)
    Severidad: CRÍTICA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 03/04/2025
    Al iniciar sesión en el servidor web en "Sante PACS Server.exe", se llama a la función OpenSSL EVP_DecryptUpdate para descifrar el nombre de usuario y la contraseña. Se pasa a la función un búfer fijo de pila de 0x80 bytes como búfer de salida. Se produce un desbordamiento de búfer de pila si un atacante remoto no autenticado proporciona un nombre de usuario o una contraseña cifrados largos.
  • Vulnerabilidad en Tenable Network Security, Inc. (CVE-2025-2264)
    Severidad: ALTA
    Fecha de publicación: 13/03/2025
    Fecha de última actualización: 03/04/2025
    Existe una vulnerabilidad de divulgación de información de Path Traversal en "Sante PACS Server.exe". Un atacante remoto no autenticado puede explotarla para descargar archivos arbitrarios en la unidad de disco donde está instalada la aplicación.
  • Vulnerabilidad en danswer-ai/danswer v0.3.94 (CVE-2024-9612)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 03/04/2025
    En danswer-ai/danswer v0.3.94, los administradores pueden configurar la visibilidad de las páginas dentro de un espacio de trabajo, incluida la página de búsqueda. Cuando la página de búsqueda está configurada como invisible, los usuarios no pueden verla ni acceder a sus funciones desde la interfaz del frontend. Sin embargo, el backend no verifica el estado de visibilidad de la página de búsqueda. Por lo tanto, los atacantes pueden llamar directamente a la API para acceder a las funciones de la página de búsqueda, eludiendo la restricción de visibilidad establecida por el administrador.
  • Vulnerabilidad en parisneo/lollms-webui (CVE-2024-9920)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 03/04/2025
    En la versión v12 de parisneo/lollms-webui, la función "Enviar archivo a AL" permite subir archivos con diversas extensiones, incluyendo algunas potencialmente peligrosas como .py, .sh, .bat y otras. Los atacantes pueden explotar esto subiendo archivos con contenido malicioso y utilizando el endpoint de la API "/open_file" para ejecutarlos. La vulnerabilidad surge del uso de "subprocess.Popen" para abrir archivos sin la validación adecuada, lo que puede provocar la ejecución remota de código.
  • Vulnerabilidad en ollama/ollama (CVE-2025-0313)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 03/04/2025
    Una vulnerabilidad en ollama/ollama versiones anteriores a la 0.3.14 permite a un usuario malintencionado crear un modelo GGUF que puede provocar un ataque de denegación de servicio (DoS). Esta vulnerabilidad se debe a una validación incorrecta de los límites del índice de la matriz en el código de gestión del modelo GGUF, que puede explotarse a través de una red remota.
  • Vulnerabilidad en Form Maker de 10Web para WordPress (CVE-2024-10560)
    Severidad: BAJA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 03/04/2025
    El complemento Form Maker de 10Web para WordPress anterior a la versión 1.15.30 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de cross site scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en D-Link DIR-823X 240126 y 240802 (CVE-2025-29635)
    Severidad: ALTA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 03/04/2025
    Una vulnerabilidad de inyección de comandos en D-Link DIR-823X 240126 y 240802 permite a un atacante autorizado ejecutar comandos arbitrarios en dispositivos remotos enviando una solicitud POST a /goform/set_prohibiting a través de la función correspondiente, lo que desencadena la ejecución remota de comandos.
  • Vulnerabilidad en NASA Fprime v3.4.3 (CVE-2024-55028)
    Severidad: CRÍTICA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 03/04/2025
    Una vulnerabilidad de inyección de plantilla en el Dashboard de NASA Fprime v3.4.3 permite a los atacantes ejecutar código arbitrario mediante la carga de un archivo Vue manipulado.
  • Vulnerabilidad en NASA Fprime v3.4.3 (CVE-2024-55029)
    Severidad: MEDIA
    Fecha de publicación: 25/03/2025
    Fecha de última actualización: 03/04/2025
    Se descubrió que NASA Fprime v3.4.3 contenía múltiples vulnerabilidades de cross-site scripting (XSS).
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2024-40864)
    Severidad: BAJA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando la gestión de protocolos. Este problema está corregido en macOS Ventura 13.7.5 y macOS Sonoma 14.7.5. Un atacante con una posición privilegiada en la red puede rastrear la actividad de un usuario.
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2024-54533)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de permisos con restricciones adicionales en el entorno aislado. Este problema se solucionó en macOS Ventura 13.7.5 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, iOS, iPadOS, tvOS y macOS Sequoia (CVE-2025-24097)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sonoma 14.7.5, iOS 18.4 y iPadOS 18.4, tvOS 18.4 y macOS Sequoia 15.4. Una aplicación podría leer metadatos de archivos arbitrarios.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24148)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la gestión de los tipos de ejecutables. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Un archivo JAR malicioso podría eludir las comprobaciones de Gatekeeper.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24157)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de desbordamiento de búfer mejorando la gestión de memoria. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría provocar la finalización inesperada del sistema o dañar la memoria del kernel.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24164)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en Safari, iOS, iPadOS y macOS Sequoia (CVE-2025-24167)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la gestión del estado. Este problema está corregido en Safari 18.4, iOS 18.4, iPadOS 18.4 y macOS Sequoia 15.4. El origen de una descarga podría estar asociado incorrectamente.
  • Vulnerabilidad en macOS Ventura y macOS Sonoma (CVE-2025-24170)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema lógico mejorando la gestión de archivos. Este problema se solucionó en macOS Ventura 13.7.5 y macOS Sonoma 14.7.5. Es posible que una aplicación obtenga privilegios de root.
  • Vulnerabilidad en macOS Ventura, macOS Sonoma y macOS Sequoia (CVE-2025-24172)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de permisos con restricciones adicionales en el entorno aislado. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que la opción "Bloquear todo el contenido remoto" no se aplique a todas las vistas previas de correo.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-24173)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó con comprobaciones de derechos adicionales. Este problema está corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación pueda salir de su zona de pruebas.
  • Vulnerabilidad en macOS Ventura, tvOS, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-24178)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la gestión del estado. Está corregido en macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación pueda salir de su zona de pruebas.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24191)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando la validación de las variables de entorno. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24204)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en Xcode 16.3 (CVE-2025-24226)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema se solucionó en Xcode 16.3. Una aplicación maliciosa podría acceder a información privada.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-24236)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de acceso con restricciones adicionales en el entorno aislado. Este problema se solucionó en macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en visionOS, macOS Ventura, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-24237)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un desbordamiento de búfer mejorando la comprobación de los límites. Este problema se solucionó en visionOS 2.4, macOS Ventura 13.7.5, iOS 18.4 y iPadOS 18.4, iPadOS 17.7.6, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría provocar el cierre inesperado del sistema.
  • Vulnerabilidad en macOS Ventura, tvOS, iOS, macOS Sequoia y macOS Sonoma (CVE-2025-24238)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en macOS Ventura 13.7.5, tvOS 18.4, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría obtener privilegios elevados.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24239)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de degradación con restricciones adicionales para la firma de código. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24240)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó una condición de ejecución con una validación adicional. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24241)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de configuración con restricciones adicionales. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría engañar al usuario para que copie datos confidenciales al portapapeles.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24242)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la gestión de enlaces simbólicos. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación con privilegios de root podría acceder a información privada.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iPadOS, iOS, macOS Sequoia y macOS Sonoma (CVE-2025-24243)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Procesar un archivo malintencionado puede provocar la ejecución de código arbitrario.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24245)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó añadiendo un retraso entre los intentos de verificación del código. Este problema está corregido en macOS Sequoia 15.4. Una aplicación maliciosa podría acceder a las contraseñas guardadas de un usuario.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24248)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría enumerar los dispositivos que han iniciado sesión en la cuenta Apple del usuario.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24262)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de privacidad mejorando la redacción de datos privados en las entradas de registro. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación en un entorno aislado podría acceder a datos confidenciales del usuario en los registros del sistema.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24263)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de privacidad moviendo datos confidenciales a una ubicación protegida. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría observar datos de usuario sin protección.
  • Vulnerabilidad en visionOS, tvOS, iPadOS, iOS, macOS Sequoia y Safari (CVE-2025-24264)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en visionOS 2.4, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y Safari 18.4. El procesamiento de contenido web malintencionado puede provocar un bloqueo inesperado de Safari.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24265)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó una lectura fuera de los límites mejorando la comprobación de los límites. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría provocar el cierre inesperado del sistema.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24266)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un desbordamiento de búfer mejorando la comprobación de los límites. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría provocar el cierre inesperado del sistema.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24267)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación obtenga privilegios de root.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24269)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría provocar el cierre inesperado del sistema.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24277)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de análisis en el manejo de rutas de directorio mejorando la validación de rutas. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría obtener privilegios de root.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24278)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la validación de enlaces simbólicos. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-24280)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de acceso con restricciones adicionales en el entorno aislado. Este problema se solucionó en macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24281)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la protección de datos. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24282)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de inyección de librerías con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-30435)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la redacción de información confidencial. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación en un entorno aislado podría acceder a datos confidenciales del usuario en los registros del sistema.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-30437)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando las comprobaciones de los límites. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría dañar la memoria del coprocesador.
  • Vulnerabilidad en Xcode 16.3 (CVE-2025-30441)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la gestión del estado. Se solucionó en Xcode 16.3. Una aplicación podría sobrescribir archivos arbitrarios.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-30451)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la redacción de información confidencial. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en iOS, iPadOS, macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30456)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de análisis en la gestión de rutas de directorio mejorando la validación de rutas. Este problema se solucionó en macOS Ventura 13.7.5, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación obtenga privilegios de root.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30457)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la validación de enlaces simbólicos. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación maliciosa podría crear enlaces simbólicos a regiones protegidas del disco.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-30458)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría leer archivos fuera de su entorno de pruebas.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30460)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de permisos eliminando código vulnerable y añadiendo comprobaciones adicionales. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-30461)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de acceso con restricciones adicionales de la sandbox en los portapapeles del sistema. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30462)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de inyección de librerías con restricciones adicionales. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Las apps que aparentemente usan App Sandbox podrían iniciarse sin restricciones.
  • Vulnerabilidad en iOS, iPadOS y macOS Sequoia (CVE-2025-30463)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando la restricción del acceso al contenedor de datos. Este problema está corregido en iOS 18.4, iPadOS 18.4 y macOS Sequoia 15.4. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30464)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de escritura fuera de los límites mejorando la comprobación de los límites. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría provocar la finalización inesperada del sistema o dañar la memoria del kernel.
  • Vulnerabilidad en iPadOS, macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30465)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de permisos mejorando la validación. Este problema se solucionó en macOS Ventura 13.7.5, iPadOS 17.7.6, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Un acceso directo podría acceder a archivos que normalmente no son accesibles desde la app Accesos directos.
  • Vulnerabilidad en Safari, iOS, iPadOS y macOS Sequoia (CVE-2025-30467)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en Safari 18.4, iOS 18.4, iPadOS 18.4 y macOS Sequoia 15.4. Visitar un sitio web malicioso puede provocar la suplantación de la barra de direcciones.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-30469)
    Severidad: BAJA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la gestión del estado. Este problema se solucionó en iOS 18.4 y iPadOS 18.4. Una persona con acceso físico a un dispositivo iOS podría acceder a las fotos desde la pantalla de bloqueo.
  • Vulnerabilidad en visionOS, macOS Ventura, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-30470)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de gestión de rutas mejorando la lógica. Este problema se solucionó en visionOS 2.4, macOS Ventura 13.7.5, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación pueda leer información confidencial de ubicación.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iPadOS, iOS, macOS Sequoia y macOS Sonoma (CVE-2025-30471)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de validación mejorando la lógica. Este problema se solucionó en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Un usuario remoto podría provocar una denegación de servicio.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-31182)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la gestión de enlaces simbólicos. Este problema está corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación pueda eliminar archivos para los que no tiene permiso.
  • Vulnerabilidad en macOS Sonoma, iOS, iPadOS, tvOS y macOS Sequoia (CVE-2025-31183)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    El problema se solucionó mejorando la restricción del acceso al contenedor de datos. Este problema está corregido en macOS Sonoma 14.7.5, iOS 18.4 y iPadOS 18.4, tvOS 18.4 y macOS Sequoia 15.4. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-31187)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó eliminando el código vulnerable. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en macOS Ventura, tvOS, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-31191)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Este problema se solucionó mejorando la gestión del estado. Está corregido en macOS Ventura 13.7.5, tvOS 18.4, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-31194)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 04/04/2025
    Se solucionó un problema de autenticación mejorando la gestión del estado. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Un acceso directo puede ejecutarse con privilegios de administrador sin autenticación.
  • Vulnerabilidad en sunshinephotocart Sunshine Photo Cart (CVE-2025-31084)
    Severidad: CRÍTICA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 03/04/2025
    Vulnerabilidad de deserialización de datos no confiables en sunshinephotocart Sunshine Photo Cart permite la inyección de objetos. Este problema afecta a Sunshine Photo Cart desde n/d hasta la versión 3.4.10.