Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el controlador del kernel de la GPU Arm Mali en Bifrost, Valhall y Midgard (CVE-2021-29256)
    Severidad: ALTA
    Fecha de publicación: 24/05/2021
    Fecha de última actualización: 07/04/2025
    El controlador del kernel de la GPU Arm Mali, permite a un usuario no privilegiado acceder a la memoria liberada, conllevando a una divulgación de información o una escalada de privilegios de root. Esto afecta a Bifrost versiones r16p0 hasta r29p0 anteriores a r30p0, Valhall r19p0 hasta r29p0 anteriores a r30p0 y Midgard versiones r28p0 hasta r30p0
  • Vulnerabilidad en el controlador del kernel de la GPU Arm Mali (CVE-2022-36449)
    Severidad: MEDIA
    Fecha de publicación: 01/09/2022
    Fecha de última actualización: 07/04/2025
    Se ha detectado un problema en el controlador del kernel de la GPU Arm Mali. Un usuario no privilegiado puede realizar operaciones inapropiadas de procesamiento de la GPU para conseguir acceso a la memoria ya liberada, escribir una cantidad limitada fuera de límites del búfer o divulgar detalles de las asignaciones de memoria. Esto afecta a Midgard versiones r4p0 hasta r32p0, Bifrost versiones r0p0 hasta r38p0 y r39p0 anteriores a r38p1, y Valhall versiones r19p0 hasta r38p0 y r39p0 anteriores a r38p1
  • Vulnerabilidad en una familia de productos de Arm (CVE-2022-22706)
    Severidad: ALTA
    Fecha de publicación: 03/03/2022
    Fecha de última actualización: 07/04/2025
    El controlador del kernel de la GPU Arm Mali permite a un usuario sin privilegios conseguir acceso de escritura a páginas de memoria de sólo lectura. Esto afecta a Midgard r26p0 hasta r31p0, Bifrost r0p0 hasta r35p0, y Valhall r19p0 hasta r35p0
  • Vulnerabilidad en Friendica (CVE-2024-26495)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 07/04/2025
    La vulnerabilidad de Cross Site Scripting (XSS) en las versiones de Friendica posteriores a la v.2023.12 permite a un atacante remoto ejecutar código arbitrario y obtener información confidencial a través de las etiquetas BBCode en el contenido de la publicación y en la función de comentarios de la publicación.
  • Vulnerabilidad en WooCommerce Cart Abandonment Recovery de WordPress (CVE-2024-2322)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2024
    Fecha de última actualización: 07/04/2025
    El complemento WooCommerce Cart Abandonment Recovery de WordPress anterior a 1.2.27 no tiene verificación CSRF en sus acciones masivas, lo que podría permitir a los atacantes hacer que los administradores registrados eliminen plantillas de correo electrónico arbitrarias, así como eliminar y cancelar la suscripción de usuarios de pedidos abandonados a través de ataques CSRF.
  • Vulnerabilidad en WP Reset – Most Advanced WordPress Reset Tool de WordPress para WordPress (CVE-2023-6799)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 07/04/2025
    El complemento WP Reset – Most Advanced WordPress Reset Tool de WordPress para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.99 incluida mediante el uso de nombres de instantáneas insuficientemente aleatorios. Esto hace posible que atacantes no autenticados extraigan datos confidenciales, incluidas las copias de seguridad del sitio, mediante la fuerza bruta de los nombres de los archivos de las instantáneas.
  • Vulnerabilidad en Watu Quiz para WordPress (CVE-2024-0872)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 07/04/2025
    El complemento Watu Quiz para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 3.4.1 incluida a través del código corto watu-userinfo. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, extraigan metadatos confidenciales de los usuarios que pueden incluir tokens de sesión y correos electrónicos de los usuarios.
  • Vulnerabilidad en Newsmatic para WordPress (CVE-2024-1587)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 07/04/2025
    El tema Newsmatic para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.3.0 incluida a través de 'newsmatic_filter_posts_load_tab_content'. Esto hace posible que atacantes no autenticados vean borradores de publicaciones y publiquen contenido.
  • Vulnerabilidad en EnvíaloSimple: Email Marketing y Newsletters para WordPress (CVE-2024-2125)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 07/04/2025
    El complemento EnvíaloSimple: Email Marketing y Newsletters para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 2.3 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función gallery_add. Esto hace posible que atacantes no autenticados carguen archivos maliciosos a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en SEOPress – On-site SEO para WordPress (CVE-2024-2165)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 07/04/2025
    El complemento SEOPress – On-site SEO para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro alt de imagen en todas las versiones hasta la 7.5.2.1 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de autor o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Contact Form de BestWebSoft para WordPress (CVE-2024-2200)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 07/04/2025
    El complemento Contact Form de BestWebSoft para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro 'cntctfrm_contact_subject' en todas las versiones hasta la 4.2.8 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en UsersWP – Front-end login form, User Registration, User Profile & Members Directory para WordPress (CVE-2024-2423)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 07/04/2025
    El complemento UsersWP – Front-end login form, User Registration, User Profile & Members Directory para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los códigos cortos del complemento en todas las versiones hasta la 1.2.6 incluida. debido a una sanitización insuficiente de las entradas y a que la salida se escape en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en WooCommerce Customers Manager de WordPress (CVE-2024-0399)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 07/04/2025
    El complemento WooCommerce Customers Manager de WordPress anterior a la versión 29.7 no sanitiza ni escapa adecuadamente un parámetro antes de usarlo en una declaración SQL, lo que genera una inyección de SQL explotable por el rol Suscriptor+.
  • Vulnerabilidad en Fancy Product Designer de WordPress (CVE-2024-0902)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 07/04/2025
    El complemento Fancy Product Designer de WordPress anterior a 6.1.81 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, por ejemplo en configuración multisitio).
  • Vulnerabilidad en TOTOLINK EX200 V4.0.3c.7646_B20201211 (CVE-2024-32326)
    Severidad: MEDIA
    Fecha de publicación: 18/04/2024
    Fecha de última actualización: 07/04/2025
    TOTOLINK EX200 V4.0.3c.7646_B20201211 contiene una vulnerabilidad de Cross Site Scripting (XSS) a través del parámetro clave en la función setWiFiExtenderConfig.
  • Vulnerabilidad en Synology Camera Firmware (CVE-2024-5463)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 07/04/2025
    Se ha encontrado una vulnerabilidad relacionada con la copia del búfer sin verificar el tamaño de la entrada ("Classic Buffer Overflow") en el componente de inicio de sesión. Esto permite a atacantes remotos realizar ataques de denegación de servicio a través de vectores no especificados. Este ataque sólo afecta al servicio de inicio de sesión que se reiniciará automáticamente. Los siguientes modelos con versiones de Synology Camera Firmware anteriores a 1.1.1-0383 pueden verse afectados: BC500 y TC500.
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-41915)
    Severidad: ALTA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 07/04/2025
    Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager podría permitir que un atacante remoto autenticado realice ataques de inyección SQL contra la instancia de ClearPass Policy Manager. Un atacante podría aprovechar esta vulnerabilidad para obtener y modificar información confidencial en la base de datos subyacente, lo que podría comprometer por completo el clúster de ClearPass Policy Manager.
  • Vulnerabilidad en PHPGURUKUL Vehicle Parking Management System v1.13 (CVE-2024-53364)
    Severidad: MEDIA
    Fecha de publicación: 02/12/2024
    Fecha de última actualización: 07/04/2025
    Se encontró una vulnerabilidad de inyección SQL en PHPGURUKUL Vehicle Parking Management System v1.13 en /users/view-detail.php. Esta vulnerabilidad afecta al parámetro viewid, donde la desinfección incorrecta de la entrada permite a los atacantes inyectar consultas SQL maliciosas.
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-53672)
    Severidad: MEDIA
    Fecha de publicación: 03/12/2024
    Fecha de última actualización: 07/04/2025
    Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager permite que usuarios remotos autenticados ejecuten comandos arbitrarios en el host subyacente. Una explotación exitosa podría permitir que un atacante ejecute comandos arbitrarios como un usuario con privilegios inferiores en el sistema operativo subyacente.
  • Vulnerabilidad en ClearPass Policy Manager de HPE Aruba Networking (CVE-2024-51771)
    Severidad: ALTA
    Fecha de publicación: 03/12/2024
    Fecha de última actualización: 07/04/2025
    Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager de HPE Aruba Networking podría permitir que un actor de amenazas remoto autenticado realice un ataque de ejecución de código remoto. Una explotación exitosa podría permitir que el atacante ejecute comandos arbitrarios en el sistema operativo subyacente.
  • Vulnerabilidad en ClearPass Policy Manager (CVE-2024-51772)
    Severidad: MEDIA
    Fecha de publicación: 03/12/2024
    Fecha de última actualización: 07/04/2025
    Una vulnerabilidad de RCE autenticada en la interfaz de administración basada en web de ClearPass Policy Manager permite que usuarios remotos autenticados ejecuten comandos arbitrarios en el host subyacente. Una explotación exitosa podría permitir que un atacante ejecute comandos arbitrarios en el sistema operativo subyacente.
  • Vulnerabilidad en ClearPass Policy Manager de HPE Aruba Networking (CVE-2024-51773)
    Severidad: MEDIA
    Fecha de publicación: 03/12/2024
    Fecha de última actualización: 07/04/2025
    Una vulnerabilidad en la interfaz de administración basada en web de ClearPass Policy Manager de HPE Aruba Networking podría permitir que un atacante remoto autenticado realice un ataque de cross-site scripting (XSS) almacenado. Una explotación exitosa podría permitir que un actor de amenazas realice cualquier acción que el usuario esté autorizado a realizar, incluido el acceso a los datos del usuario y la alteración de la información dentro de los permisos del usuario. Esto podría provocar la modificación, eliminación o robo de datos, incluido el acceso no autorizado a archivos, la eliminación de archivos o el robo de cookies de sesión, que un atacante podría usar para secuestrar la sesión de un usuario.
  • Vulnerabilidad en LibreNMS (CVE-2024-53457)
    Severidad: MEDIA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 07/04/2025
    Una vulnerabilidad de cross-site scripting (XSS) almacenado en la sección Configuración del dispositivo de LibreNMS v24.9.0 a v24.10.0 permite a los atacantes ejecutar scripts web o HTML arbitrarios a través de un payload manipulado inyectado en el parámetro Nombre para mostrar.
  • Vulnerabilidad en Restaurant & Cafe para Elementor de NicheAddons (CVE-2023-47826)
    Severidad: MEDIA
    Fecha de publicación: 09/12/2024
    Fecha de última actualización: 07/04/2025
    La vulnerabilidad de autorización faltante en el complemento Restaurant & Cafe para Elementor de NicheAddons permite explotar los niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Restaurant & Cafe Addon for Elementor: desde n/a hasta 1.5.3.
  • Vulnerabilidad en Phpgurukul's Beauty Parlour Management System v1.1 (CVE-2024-53480)
    Severidad: CRÍTICA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 07/04/2025
    Phpgurukul's Beauty Parlour Management System v1.1 es vulnerable a la inyección SQL en `login.php` a través del parámetro `emailcont`.
  • Vulnerabilidad en code-projects Online Class and Exam Scheduling System 1.0 (CVE-2024-12490)
    Severidad: MEDIA
    Fecha de publicación: 12/12/2024
    Fecha de última actualización: 07/04/2025
    Se ha encontrado una vulnerabilidad en code-projects Online Class and Exam Scheduling System 1.0. Se ha declarado como crítica. Esta vulnerabilidad afecta al código desconocido del archivo /pages/teacher_save.php. La manipulación del argumento salut conduce a una inyección SQL. El ataque puede iniciarse de forma remota. El exploit se ha hecho público y puede utilizarse. También pueden verse afectados otros parámetros.
  • Vulnerabilidad en PbootCMS 1.4.1 (CVE-2020-19248)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2025
    Fecha de última actualización: 07/04/2025
    Vulnerabilidad de inyección SQL en PbootCMS 1.4.1 al analizar declaraciones if en plantillas, lo que da como resultado la capacidad de un usuario malintencionado de contaminar el contenido de la plantilla mediante la búsqueda de URL de contaminación de páginas, lo que desencadena vulnerabilidades cuando el programa usa declaraciones eval para analizar plantillas.
  • Vulnerabilidad en ITSourcecode Simple ChatBox (CVE-2025-25878)
    Severidad: BAJA
    Fecha de publicación: 21/02/2025
    Fecha de última actualización: 07/04/2025
    Se ha detectado una vulnerabilidad en ITSourcecode Simple ChatBox hasta la versión 1.0. Esta vulnerabilidad afecta al código desconocido del archivo /del.php. El ataque puede utilizar la inyección SQL para obtener datos confidenciales.
  • Vulnerabilidad en HotelDruid (CVE-2025-25749)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 07/04/2025
    Un problema en HotelDruid versión 3.0.7 y anteriores permite a los usuarios establecer contraseñas débiles debido a la falta de aplicación de políticas de fortaleza de contraseñas.
  • Vulnerabilidad en haotian-liu/llava (CVE-2024-9311)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 07/04/2025
    Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en haotian-liu/llava v1.2.0 (LLaVA-1.6) permite a un atacante cargar archivos con contenido malicioso sin autenticación ni interacción del usuario. El archivo cargado se almacena en una ruta predecible, lo que permite al atacante ejecutar código JavaScript arbitrario en el navegador de la víctima al visitar la URL del archivo manipulado. Esto puede provocar el robo de información confidencial, el secuestro de sesión u otras acciones que comprometan la seguridad y la privacidad de la víctima.
  • Vulnerabilidad en berriai/litellm (CVE-2024-9606)
    Severidad: ALTA
    Fecha de publicación: 20/03/2025
    Fecha de última actualización: 07/04/2025
    En berriai/litellm anteriores a la versión 1.44.12, el archivo `litellm/litellm_core_utils/litellm_logging.py` contiene una vulnerabilidad donde el código de enmascaramiento de la clave API solo enmascara los primeros 5 caracteres de la clave. Esto provoca la filtración de casi toda la clave API en los registros, exponiendo una cantidad significativa de la clave secreta. El problema afecta a la versión v1.44.9.
  • Vulnerabilidad en Leantime v3.2.1 (CVE-2025-28254)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    La vulnerabilidad de Cross Site Scripting en Leantime v3.2.1 y anteriores permite que un atacante autenticado ejecute código arbitrario y obtenga información confidencial a través del campo de nombre en processMentions().
  • Vulnerabilidad en TOTOLINK A3002R V4.0.0-B20230531.1404 (CVE-2025-25579)
    Severidad: CRÍTICA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    TOTOLINK A3002R V4.0.0-B20230531.1404 es vulnerable a la inyección de comandos en /bin/boa a través de bandstr.
  • Vulnerabilidad en Sourcecodester Online Exam System 1.0 (CVE-2025-28087)
    Severidad: CRÍTICA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    Sourcecodester Online Exam System 1.0 es vulnerable a la inyección SQL a través de dash.php.
  • Vulnerabilidad en maccms10 v2025.1000.4047 (CVE-2025-28089)
    Severidad: CRÍTICA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    maccms10 v2025.1000.4047 es vulnerable a Server-Side Request Forgery (SSRF) a través de la función de tarea programada.
  • Vulnerabilidad en maccms10 v2025.1000.4047 (CVE-2025-28090)
    Severidad: CRÍTICA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    maccms10 v2025.1000.4047 es vulnerable a Server-Side Request Forgery (SSRF) en la función de interfaz personalizada de colección.
  • Vulnerabilidad en maccms10 v2025.1000.4047 (CVE-2025-28091)
    Severidad: CRÍTICA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    maccms10 v2025.1000.4047 tiene una vulnerabilidad de Server-Side Request Forgery (SSRF) a través de agregar artículo.
  • Vulnerabilidad en ShopXO v6.4.0 (CVE-2025-28092)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    ShopXO v6.4.0 es vulnerable a Server-Side Request Forgery (SSRF) a través de la función de carga de imágenes.
  • Vulnerabilidad en ShopXO v6.4.0 (CVE-2025-28093)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    ShopXO v6.4.0 es vulnerable a Server-Side Request Forgery (SSRF) en la configuración de correo electrónico.
  • Vulnerabilidad en shopxo v6.4.0 (CVE-2025-28094)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    shopxo v6.4.0 tiene una vulnerabilidad ssrf/xss en varios lugares.
  • Vulnerabilidad en OneNav 1.1.0 (CVE-2025-28096)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    OneNav 1.1.0 es vulnerable a Server-Side Request Forgery (SSRF) en encabezados personalizados.
  • Vulnerabilidad en OneNav 1.1.0 (CVE-2025-28097)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2025
    Fecha de última actualización: 07/04/2025
    OneNav 1.1.0 es vulnerable a Cross Site Scripting (XSS) en encabezados personalizados.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-2989)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se encontró una vulnerabilidad en Tenda FH1202 1.2.0.14(408). Se ha declarado crítica. Esta vulnerabilidad afecta al código desconocido del archivo /goform/AdvSetWrl del componente Interfaz de Administración Web. La manipulación genera controles de acceso inadecuados. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-2990)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se encontró una vulnerabilidad en Tenda FH1202 1.2.0.14(408). Se ha clasificado como crítica. Este problema afecta a un procesamiento desconocido del archivo /goform/AdvSetWrlGstset del componente Interfaz de Administración Web. La manipulación genera controles de acceso inadecuados. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-2991)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se ha detectado una vulnerabilidad crítica en Tenda FH1202 1.2.0.14(408). Se ve afectada una función desconocida del archivo /goform/AdvSetWrlmacfilter del componente Interfaz de Administración Web. La manipulación genera controles de acceso inadecuados. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-2992)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se encontró una vulnerabilidad clasificada como crítica en Tenda FH1202 1.2.0.14(408). Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /goform/AdvSetWrlsafeset del componente Interfaz de Administración Web. La manipulación genera controles de acceso inadecuados. El ataque puede ejecutarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Tenda FH1202 1.2.0.14(408) (CVE-2025-2994)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se encontró una vulnerabilidad clasificada como crítica en Tenda FH1202 1.2.0.14(408). Esta afecta a una parte desconocida del archivo /goform/qossetting del componente Interfaz de Administración Web. La manipulación genera controles de acceso inadecuados. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Online Eyewear Shop 1.0 (CVE-2025-3018)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se encontró una vulnerabilidad clasificada como crítica en SourceCodester Online Eyewear Shop 1.0. La vulnerabilidad afecta a una función desconocida del archivo /classes/Users.php?f=delete. La manipulación del ID del argumento provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en visionOS, iOS y iPadOS (CVE-2025-24095)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó con comprobaciones de derechos adicionales. Este problema está corregido en visionOS 2.4, iOS 18.4 y iPadOS 18.4. Es posible que una aplicación pueda omitir las preferencias de privacidad.
  • Vulnerabilidad en Safari, visionOS, iOS, iPadOS y macOS Sequoia (CVE-2025-24192)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema con la importación de scripts mejorando el aislamiento. Este problema está corregido en Safari 18.4, visionOS 2.4, iOS 18.4, iPadOS 18.4 y macOS Sequoia 15.4. Visitar un sitio web puede filtrar datos confidenciales.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-24193)
    Severidad: BAJA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la autenticación. Este problema se solucionó en iOS 18.4 y iPadOS 18.4. Un atacante con una conexión USB-C a un dispositivo desbloqueado podría acceder a las fotos mediante programación.
  • Vulnerabilidad en visionOS, iOS, iPadOS, tvOS y macOS Sequoia (CVE-2025-24194)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en visionOS 2.4, iOS 18.4 y iPadOS 18.4, tvOS 18.4 y macOS Sequoia 15.4. El procesamiento de contenido web malintencionado puede provocar la divulgación de memoria del proceso.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24195)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un desbordamiento de enteros mejorando la validación de entrada. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que un usuario pueda elevar privilegios.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-24196)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de confusión de tipos mejorando la gestión de memoria. Este problema se solucionó en macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Un atacante con privilegios de usuario podría leer la memoria del kernel.
  • Vulnerabilidad en macOS Ventura, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-24198)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó restringiendo las opciones disponibles en un dispositivo bloqueado. Este problema se solucionó en macOS Ventura 13.7.5, iOS 18.4 y iPadOS 18.4, iPadOS 17.7.6, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Un atacante con acceso físico podría usar Siri para acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24199)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de formato no controlado con una validación de entrada mejorada. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría causar una denegación de servicio.
  • Vulnerabilidad en macOS Sequoia, iOS y iPadOS (CVE-2025-24202)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de registro mejorando la redacción de datos. Este problema se solucionó en iOS 18.4, iPadOS 18.4 y macOS Sequoia 15.4. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia, iPadOS y macOS Ventura (CVE-2025-24203)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Ventura 13.7.5, iPadOS 17.7.6, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en iPadOS, iOS, macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24205)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de autorización mejorando la gestión del estado. Este problema se solucionó en macOS Ventura 13.7.5, iOS 18.4 y iPadOS 18.4, iPadOS 17.7.6, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24207)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación pueda habilitar funciones de almacenamiento de iCloud sin el consentimiento del usuario.
  • Vulnerabilidad en Safari, iOS y iPadOS (CVE-2025-24208)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en Safari 18.4, iOS 18.4 y iPadOS 18.4. Cargar un iframe malicioso puede provocar un ataque de cross-site scripting.
  • Vulnerabilidad en tvOS, Safari, iOS, iPadOS y macOS Sequoia (CVE-2025-24209)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de desbordamiento de búfer mejorando la gestión de memoria. Este problema se solucionó en tvOS 18.4, Safari 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, y macOS Sequoia 15.4. El procesamiento de contenido web malintencionado puede provocar un bloqueo inesperado del proceso.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-24210)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un error lógico mejorando la gestión de errores. Este problema se solucionó en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. El análisis de una imagen puede provocar la divulgación de información del usuario.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-24211)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la gestión de la memoria. Este problema se solucionó en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Procesar un archivo de vídeo manipulado con fines maliciosos puede provocar el cierre inesperado de la aplicación o la corrupción de la memoria del proceso.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-24212)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando las comprobaciones. Este problema está corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación pueda salir de su zona de pruebas.
  • Vulnerabilidad en tvOS, Safari, iPadOS, iOS y macOS Sequoia (CVE-2025-24213)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la gestión de los flotantes. Este problema está corregido en tvOS 18.4, Safari 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, y macOS Sequoia 15.4. Un problema de confusión de tipos podía provocar daños en la memoria.
  • Vulnerabilidad en visionOS, iOS, iPadOS, tvOS y macOS Sequoia (CVE-2025-24214)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de privacidad al no registrar el contenido de los campos de texto. Este problema se solucionó en visionOS 2.4, iOS 18.4, iPadOS 18.4, tvOS 18.4 y macOS Sequoia 15.4. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en iPadOS, macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24215)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Ventura 13.7.5, iPadOS 17.7.6, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación maliciosa podría acceder a información privada.
  • Vulnerabilidad en visionOS, tvOS, iOS, iPadOS, macOS Sequoia y Safari (CVE-2025-24216)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en visionOS 2.4, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y Safari 18.4. El procesamiento de contenido web malintencionado puede provocar un bloqueo inesperado de Safari.
  • Vulnerabilidad en iOS, iPadOS, tvOS y macOS Sequoia (CVE-2025-24217)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la redacción de información confidencial. Este problema está corregido en iOS 18.4, iPadOS 18.4, tvOS 18.4 y macOS Sequoia 15.4. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24218)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de privacidad mejorando la redacción de datos privados en las entradas del registro. Este problema se solucionó en macOS Sequoia 15.4. Una aplicación podría acceder a la información de los contactos de un usuario.
  • Vulnerabilidad en visionOS, iOS y iPadOS (CVE-2025-24221)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la restricción de acceso a datos. Este problema se solucionó en visionOS 2.4, iOS 18.4, iPadOS 18.4 y iPadOS 17.7.6. Es posible acceder a datos confidenciales del llavero desde una copia de seguridad de iOS.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24228)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de desbordamiento de búfer mejorando la gestión de memoria. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría ejecutar código arbitrario con privilegios de kernel.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24229)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema lógico mejorando las comprobaciones. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación en un entorno aislado podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24235)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de inicialización de memoria mejorando su gestión. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Un atacante remoto podría provocar la finalización inesperada de la aplicación o la corrupción del montón.
  • Vulnerabilidad en macOS Ventura, tvOS, iPadOS, iOS, macOS Sequoia y macOS Sonoma (CVE-2025-24244)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Procesar una fuente maliciosa puede provocar la divulgación de la memoria del proceso.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24246)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de inyección mejorando la validación. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24247)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de confusión de tipos mejorando las comprobaciones. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Un atacante podría provocar el cierre inesperado de la aplicación.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24249)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de permisos con restricciones de la sandbox adicionales.. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría comprobar la existencia de una ruta arbitraria en el sistema de archivos.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24250)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando las restricciones de acceso. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación maliciosa que actúe como proxy HTTPS podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24253)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la gestión de enlaces simbólicos. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos protegidos del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24254)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la validación de enlaces simbólicos. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que un usuario pueda elevar privilegios.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24255)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de acceso a archivos mejorando la validación de entrada. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación pueda salir de su zona de pruebas.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24256)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando las comprobaciones de los límites. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría revelar memoria del kernel.
  • Vulnerabilidad en visionOS, iOS, iPadOS y macOS Sequoia (CVE-2025-24257)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de escritura fuera de los límites mejorando la validación de entrada. Este problema se solucionó en visionOS 2.4, iOS 18.4, iPadOS 18.4 y macOS Sequoia 15.4. Una aplicación podría provocar la finalización inesperada del sistema o escribir en la memoria del kernel.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24259)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó con comprobaciones de derechos adicionales. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación pueda recuperar marcadores de Safari sin una comprobación de derechos.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24260)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Un atacante con privilegios podría realizar una denegación de servicio.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24261)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24272)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría modificar partes protegidas del sistema de archivos.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24273)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de escritura fuera de los límites mejorando la comprobación de los límites. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría provocar la finalización inesperada del sistema o dañar la memoria del kernel.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24276)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó eliminando el código vulnerable. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación maliciosa podría acceder a información privada.
  • Vulnerabilidad en visionOS, iOS, iPadOS y macOS Sequoia (CVE-2025-24283)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de registro mejorando la redacción de datos. Este problema se solucionó en visionOS 2.4, iOS 18.4, iPadOS 18.4 y macOS Sequoia 15.4. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30424)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de registro mejorando la redacción de datos. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Eliminar una conversación en Mensajes puede exponer la información de contacto del usuario en el registro del sistema.
  • Vulnerabilidad en tvOS, Safari, iPadOS, iOS y macOS Sequoia (CVE-2025-30425)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la gestión del estado. Está corregido en tvOS 18.4, Safari 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, y macOS Sequoia 15.4. Un sitio web malicioso podría rastrear a los usuarios en el modo de navegación privada de Safari.
  • Vulnerabilidad en visionOS, tvOS, iPadOS, iOS y macOS Sequoia (CVE-2025-30426)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó con comprobaciones adicionales de derechos. Este problema está corregido en visionOS 2.4, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, y macOS Sequoia 15.4. Una aplicación puede enumerar las aplicaciones instaladas de un usuario.
  • Vulnerabilidad en visionOS, tvOS, iPadOS, iOS, macOS Sequoia y Safari (CVE-2025-30427)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de use-after-free mediante una mejor gestión de memoria. Este problema se solucionó en visionOS 2.4, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y Safari 18.4. El procesamiento de contenido web malintencionado puede provocar un bloqueo inesperado de Safari.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-30428)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la gestión del estado. Este problema se solucionó en iOS 18.4, iPadOS 18.4 y iPadOS 17.7.6. Las fotos del Álbum de Fotos Ocultas se pueden ver sin autenticación.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iPadOS, iOS, macOS Sequoia y macOS Sonoma (CVE-2025-30429)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de gestión de rutas mejorando la validación. Este problema se solucionó en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación pueda salir de su entorno de pruebas.
  • Vulnerabilidad en visionOS, iOS, iPadOS y macOS Sequoia (CVE-2025-30430)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la gestión del estado. Este problema se solucionó en visionOS 2.4, iOS 18.4, iPadOS 18.4 y macOS Sequoia 15.4. El autocompletado de contraseñas puede completar las contraseñas después de un error de autenticación.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iPadOS, iOS y macOS Sonoma (CVE-2025-30432)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema lógico mejorando la gestión del estado. Este problema se solucionó en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, y macOS Sonoma 14.7.5. Una aplicación maliciosa podría intentar introducir el código de acceso en un dispositivo bloqueado, lo que causaría retrasos cada vez mayores después de cuatro intentos fallidos.
  • Vulnerabilidad en visionOS, macOS Ventura, iOS, iPadOS, macOS Sequoia y macOS Sonoma (CVE-2025-30433)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando las restricciones de acceso. Este problema está corregido en visionOS 2.4, macOS Ventura 13.7.5, iOS 18.4 y iPadOS 18.4, iPadOS 17.7.6, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Un acceso directo podría acceder a archivos que normalmente no son accesibles desde la app Accesos directos.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-30434)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando la depuración de entrada. Este problema está corregido en iOS 18.4 y iPadOS 18.4. Procesar un archivo malintencionado puede provocar un ataque de cross site scripting.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iOS, macOS Sequoia y macOS Sonoma (CVE-2025-30438)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando las restricciones de acceso. Este problema está corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación maliciosa podría ignorar la notificación del sistema en la pantalla de bloqueo que indica el inicio de una grabación.
  • Vulnerabilidad en visionOS, iOS, iPadOS y macOS Sequoia (CVE-2025-30439)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema se solucionó en visionOS 2.4, iOS 18.4 y iPadOS 18.4, y macOS Sequoia 15.4. Un atacante con acceso físico a un dispositivo bloqueado podría acceder a información confidencial del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30443)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de privacidad eliminando el código vulnerable. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30444)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó una condición de ejecución mejorando el bloqueo. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Montar un recurso compartido de red SMB manipulado con fines maliciosos puede provocar la interrupción del sistema.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30446)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación maliciosa con privilegios de root podría modificar el contenido de los archivos del sistema.
  • Vulnerabilidad en visionOS, macOS Ventura, tvOS, iPadOS, iOS, macOS Sequoia y macOS Sonoma (CVE-2025-30447)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se resolvió depurando el registro. Este problema está corregido en visionOS 2.4, macOS Ventura 13.7.5, tvOS 18.4, iPadOS 17.7.6, iOS 18.4 y iPadOS 18.4, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30449)
    Severidad: ALTA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Es posible que una aplicación obtenga privilegios de root.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-30450)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Este problema se solucionó mejorando la validación de enlaces simbólicos. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación podría acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-30452)
    Severidad: CRÍTICA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Ventura 13.7.5, macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Se solucionó un problema de validación de entrada.
  • Vulnerabilidad en macOS Sonoma, iOS, iPadOS, macOS Sequoia y tvOS (CVE-2025-30454)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    Se solucionó un problema de gestión de rutas mejorando la validación. Este problema se solucionó en macOS Sonoma 14.7.5, iOS 18.4 y iPadOS 18.4, tvOS 18.4 y macOS Sequoia 15.4. Una aplicación maliciosa podría acceder a información privada.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-30455)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en macOS Sequoia 15.4 y macOS Sonoma 14.7.5. Una aplicación maliciosa podría acceder a información privada.
  • Vulnerabilidad en Safari, iOS, iPadOS y macOS Sequoia (CVE-2025-31192)
    Severidad: MEDIA
    Fecha de publicación: 31/03/2025
    Fecha de última actualización: 07/04/2025
    El problema se solucionó mejorando las comprobaciones. Este problema está corregido en Safari 18.4, iOS 18.4, iPadOS 18.4 y macOS Sequoia 15.4. Un sitio web podría acceder a la información del sensor sin el consentimiento del usuario.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2025-3028)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 07/04/2025
    La ejecución de código JavaScript al transformar un documento con XSLTProcessor podría provocar un use-after-free. Esta vulnerabilidad afecta a Firefox < 137, Firefox ESR < 115.22, Firefox ESR < 128.9, Thunderbird < 137 y Thunderbird < 128.9.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2025-3029)
    Severidad: ALTA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 07/04/2025
    Una URL manipulada que contiene caracteres Unicode específicos podría haber ocultado el verdadero origen de la página, lo que podría dar lugar a un ataque de suplantación de identidad. Esta vulnerabilidad afecta a Firefox < 137, Firefox ESR < 128.9, Thunderbird < 137 y Thunderbird < 128.9.
  • Vulnerabilidad en Firefox, Firefox ESR y Thunderbird (CVE-2025-3030)
    Severidad: ALTA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 07/04/2025
    Errores de seguridad de memoria presentes en Firefox 136, Thunderbird 136, Firefox ESR 128.8 y Thunderbird 128.8. Algunos de estos errores mostraron evidencia de corrupción de memoria y presumimos que, con suficiente esfuerzo, algunos de ellos podrían haberse explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox < 137, Firefox ESR < 128.9, Thunderbird < 137 y Thunderbird < 128.9.
  • Vulnerabilidad en Firefox y Thunderbird (CVE-2025-3031)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 07/04/2025
    Un atacante podría leer 32 bits de valores vertidos en la pila en una función compilada JIT. Esta vulnerabilidad afecta a Firefox (versión anterior a la 137) y Thunderbird (versión anterior a la 137).
  • Vulnerabilidad en Firefox y Thunderbird (CVE-2025-3032)
    Severidad: ALTA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 07/04/2025
    La filtración de descriptores de archivos del servidor de bifurcación a los procesos de contenido web podría permitir ataques de escalada de privilegios. Esta vulnerabilidad afecta a Firefox (versión anterior a la 137) y Thunderbird (versión anterior a la 137).
  • Vulnerabilidad en Firefox y Thunderbird (CVE-2025-3033)
    Severidad: ALTA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 07/04/2025
    Tras seleccionar un acceso directo malicioso de Windows `.url` desde el sistema de archivos local, podría cargarse un archivo inesperado. *Este error solo afecta a Firefox en Windows. Otros sistemas operativos no se ven afectados.* Esta vulnerabilidad afecta a Firefox (versión anterior a la 137) y Thunderbird (versión anterior a la 137).
  • Vulnerabilidad en Firefox y Thunderbird (CVE-2025-3034)
    Severidad: ALTA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 07/04/2025
    Errores de seguridad de memoria presentes en Firefox 136 y Thunderbird 136. Algunos de estos errores mostraron evidencia de corrupción de memoria y presumimos que, con el esfuerzo suficiente, algunos de ellos podrían haberse explotado para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox 137 y Thunderbird 137.
  • Vulnerabilidad en Google Chrome (CVE-2025-3066)
    Severidad: ALTA
    Fecha de publicación: 02/04/2025
    Fecha de última actualización: 07/04/2025
    El use-after-free en las navegaciones de Google Chrome anteriores a la versión 135.0.7049.52 permitía a un atacante remoto explotar la corrupción del montón mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
  • Vulnerabilidad en Google Chrome (CVE-2025-3068)
    Severidad: ALTA
    Fecha de publicación: 02/04/2025
    Fecha de última actualización: 07/04/2025
    Una implementación incorrecta de Intents en Google Chrome para Android anterior a la versión 135.0.7049.52 permitió que un atacante remoto escalara privilegios mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
  • Vulnerabilidad en Google Chrome (CVE-2025-3069)
    Severidad: ALTA
    Fecha de publicación: 02/04/2025
    Fecha de última actualización: 07/04/2025
    Una implementación incorrecta en las extensiones de Google Chrome anteriores a la versión 135.0.7049.52 permitía a un atacante remoto escalar privilegios mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)
  • Vulnerabilidad en Google Chrome (CVE-2025-3070)
    Severidad: MEDIA
    Fecha de publicación: 02/04/2025
    Fecha de última actualización: 07/04/2025
    La validación insuficiente de entradas no confiables en las extensiones de Google Chrome anteriores a la versión 135.0.7049.52 permitió que un atacante remoto escalara privilegios mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Media)