Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en 8theme XStore Core (CVE-2024-33552)
    Severidad: CRÍTICA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 10/04/2025
    Una vulnerabilidad de gestión de privilegios incorrecta en 8theme XStore Core permite la escalada de privilegios. Este problema afecta a XStore Core: desde n/a hasta 5.3.8.
  • Vulnerabilidad en Confluence Data Center and Server (CVE-2024-21683)
    Severidad: ALTA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 10/04/2025
    Esta vulnerabilidad RCE (ejecución remota de código) de alta gravedad se introdujo en la versión 5.2 de Confluence Data Center and Server. Esta vulnerabilidad RCE (ejecución remota de código), con una puntuación CVSS de 8,3, permite a un atacante autenticado ejecutar código arbitrario que tiene un alto impacto en la confidencialidad, un alto impacto en la integridad, un alto impacto en la disponibilidad y no requiere interacción del usuario. Atlassian recomienda que los clientes de Confluence Data Center y Server actualicen a la última versión. Si no puede hacerlo, actualice su instancia a una de las versiones fijas admitidas especificadas. Consulte las notas de la versión https://confluence.atlassian.com/doc/confluence-release-notes-327.html Puede descargar la última versión de Confluence Data Center and Server desde el centro de descargas https://www.atlassian.com /software/confluence/descargar-archivos. Esta vulnerabilidad se encontró internamente.
  • Vulnerabilidad en MileSight DeviceHub (CVE-2024-27776)
    Severidad: CRÍTICA
    Fecha de publicación: 02/06/2024
    Fecha de última actualización: 10/04/2025
    MileSight DeviceHub: CWE-22 La limitación incorrecta de un nombre de ruta a un directorio restringido ("Path Traversal") puede permitir RCE no autenticado
  • Vulnerabilidad en MileSight DeviceHub (CVE-2024-36389)
    Severidad: CRÍTICA
    Fecha de publicación: 02/06/2024
    Fecha de última actualización: 10/04/2025
    MileSight DeviceHub: CWE-330 El uso de valores insuficientemente aleatorios puede permitir la omisión de autenticación
  • Vulnerabilidad en MileSight DeviceHub (CVE-2024-36392)
    Severidad: MEDIA
    Fecha de publicación: 02/06/2024
    Fecha de última actualización: 10/04/2025
    MileSight DeviceHub - CWE-79: Neutralización inadecuada de la entrada durante la generación de páginas web ("cross-site scripting")
  • Vulnerabilidad en code-projects Vehicle Parking Management System 1.0 (CVE-2025-1163)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 10/04/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en code-projects Vehicle Parking Management System 1.0. Esta vulnerabilidad afecta a la función login del componente Authentication. La manipulación del argumento username provoca un desbordamiento del búfer basado en la pila. El ataque debe realizarse de forma local. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en ICS-CERT (CVE-2025-25281)
    Severidad: ALTA
    Fecha de publicación: 13/02/2025
    Fecha de última actualización: 10/04/2025
    Un atacante puede modificar la URL para descubrir información confidencial sobre la red objetivo.
  • Vulnerabilidad en WEGIA (CVE-2025-26605)
    Severidad: CRÍTICA
    Fecha de publicación: 18/02/2025
    Fecha de última actualización: 10/04/2025
    WEGIA es un administrador web de código abierto para instituciones con un enfoque en los usuarios de idiomas portugueses. Se descubrió una vulnerabilidad de inyección SQL en la aplicación WEGIA, `Deletar_cargo.php` endpoint. Esta vulnerabilidad podría permitir que un atacante autorizado ejecute consultas SQL arbitrarias, permitiendo el acceso a información confidencial. Este problema se ha abordado en la versión 3.2.13 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Wireshark (CVE-2025-1492)
    Severidad: ALTA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 10/04/2025
    Los fallos del protocolo Bundle y del disector CBOR en Wireshark 4.4.0 a 4.4.3 y 4.2.0 a 4.2.10 permiten la denegación de servicio a través de la inyección de paquetes o un archivo de captura manipulado.
  • Vulnerabilidad en PHPJabbers Cinema Booking System v1.0 (CVE-2023-51333)
    Severidad: ALTA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 10/04/2025
    PHPJabbers Cinema Booking System v1.0 es afectado por una vulnerabilidad de inyección CSV que permite a un atacante ejecutar código remoto. La vulnerabilidad existe debido a una validación de entrada insuficiente en la sección Idiomas. Etiqueta cualquier campo de parámetros en System Options que se utiliza para construir el archivo CSV.
  • Vulnerabilidad en PHPJabbers Meeting Room Booking System v1.0 (CVE-2023-51336)
    Severidad: ALTA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 10/04/2025
    PHPJabbers Meeting Room Booking System v1.0 es afectado por una vulnerabilidad de inyección CSV que permite a un atacante ejecutar código remoto. La vulnerabilidad existe debido a una validación de entrada insuficiente en la sección Idiomas. Etiqueta cualquier campo de parámetros en System Options que se utiliza para construir el archivo CSV.
  • Vulnerabilidad en PHPJabbers Event Ticketing System v1.0 (CVE-2023-51337)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 10/04/2025
    PHPJabbers Event Ticketing System v1.0 es vulnerable a Cross-Site Scripting (XSS) Reflejado en el parámetro "lid" del índice.
  • Vulnerabilidad en PHPJabbers Meeting Room Booking System v1.0 (CVE-2023-51338)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 10/04/2025
    PHPJabbers Meeting Room Booking System v1.0 es vulnerable a múltiples Cross-Site Scripting (XSS) Almacenado en los parámetros "título, nombre" de la página index.php.
  • Vulnerabilidad en PHPJabbers Cinema Booking System v1.0 (CVE-2023-51335)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 10/04/2025
    PHPJabbers Cinema Booking System v1.0 es vulnerable a múltiples Cross-Site Scripting (XSS) Almacenado en los parámetros "título, nombre".
  • Vulnerabilidad en Informlox NIOS (CVE-2024-36046)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2025
    Fecha de última actualización: 10/04/2025
    Informlox Nios a través de 8.6.4 se ejecuta con más privilegios de los requeridos.