Vulnerabilidad SQLi en Zimbra Collaboration Suite
Fecha 11/02/2025
Importancia 5 - Crítica
Recursos Afectados
Zimbra Collaboration Suite, versiones anteriores a:
9.0.0 Patch 44
10.0.13
10.1.5
Descripción
El investigador byc_404 (Joe Zhou) ha descubierto una vulnerabilidad de tipo SQLi en el endpoint SOAP del Servicio ZimbraSync en Zimbra Collaboration que podría permitir a un atacante acceder a metadatos de los correos.
Solución
Actualizar Zimbra Collaboration Suite a las versiones:
9.0.0 Patch 44
10.0.13
10.1.5
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-sqli-en-zimbra-collaboration-suite
Fecha 11/02/2025
Importancia 5 - Crítica
Recursos Afectados
Zimbra Collaboration Suite, versiones anteriores a:
9.0.0 Patch 44
10.0.13
10.1.5
Descripción
El investigador byc_404 (Joe Zhou) ha descubierto una vulnerabilidad de tipo SQLi en el endpoint SOAP del Servicio ZimbraSync en Zimbra Collaboration que podría permitir a un atacante acceder a metadatos de los correos.
Solución
Actualizar Zimbra Collaboration Suite a las versiones:
9.0.0 Patch 44
10.0.13
10.1.5
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-sqli-en-zimbra-collaboration-suite
www.incibe.es
Vulnerabilidad SQLi en Zimbra Collaboration Suite
El investigador byc_404 (Joe Zhou) ha descubierto una vu
Forwarded from Una al día
Apple Corrige una Vulnerabilidad Zero-Day Activamente Explotada en iOS
https://unaaldia.hispasec.com/2025/02/apple-corrige-una-vulnerabilidad-zero-day-activamente-explotada-en-ios.html?utm_source=rss&utm_medium=rss&utm_campaign=apple-corrige-una-vulnerabilidad-zero-day-activamente-explotada-en-ios
https://unaaldia.hispasec.com/2025/02/apple-corrige-una-vulnerabilidad-zero-day-activamente-explotada-en-ios.html?utm_source=rss&utm_medium=rss&utm_campaign=apple-corrige-una-vulnerabilidad-zero-day-activamente-explotada-en-ios
Una al Día
Apple Corrige una Vulnerabilidad Zero-Day Activamente Explotada en iOS
El 11 de febrero de 2025, Apple lanzó una actualización de emergencia para abordar una vulnerabilidad de tipo zero-day en iOS y iPadOS, identificada como CVE-2025-24200. Este fallo, que afecta el modo de restricción USB, permite a los atacantes desactivar…
Omisión de autenticación en PAN-OS de Palo Alto Networks
Fecha 14/02/2025
Importancia 4 - Alta
Recursos Afectados
PAN-OS 11.2: versiones anteriores a 11.2.4-h4;
PAN-OS 11.1: versiones anteriores a 11.1.6-h1;
PAN-OS 10.2: versiones anteriores a 10.2.13-h3;
PAN-OS 10.1: versiones anteriores a 10.1.14-h9.
Descripción
Palo Alto ha publicado una vulnerabilidad de severidad alta en el software PAN-OS que podría afectar negativamente a su integridad y confidencialidad.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/omision-de-autenticacion-en-pan-os-de-palo-alto-networks
Fecha 14/02/2025
Importancia 4 - Alta
Recursos Afectados
PAN-OS 11.2: versiones anteriores a 11.2.4-h4;
PAN-OS 11.1: versiones anteriores a 11.1.6-h1;
PAN-OS 10.2: versiones anteriores a 10.2.13-h3;
PAN-OS 10.1: versiones anteriores a 10.1.14-h9.
Descripción
Palo Alto ha publicado una vulnerabilidad de severidad alta en el software PAN-OS que podría afectar negativamente a su integridad y confidencialidad.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/omision-de-autenticacion-en-pan-os-de-palo-alto-networks
www.incibe.es
Omisión de autenticación en PAN-OS de Palo Alto Networks
Palo Alto ha publicado una vulnerabilidad de severidad alta en el software PAN-OS que podría afectar n
Múltiples vulnerabilidades en h6web de Grupo Anapi
Fecha 13/02/2025
Importancia 5 - Crítica
Recursos Afectados
Aplicación h6web.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades: una de severidad crítica y otra de severidad media, que afectan a h6web de Grupo Anapi, una aplicación para gestionar cofradías y pagos en línea, las cuales han sido descubierta por Bertrand Lorente Yáñez.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2025-1270: CVSS v3.1: 9.1 | CVSS AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L | CWE-639
CVE-2025-1271: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-h6web-de-grupo-anapi
Fecha 13/02/2025
Importancia 5 - Crítica
Recursos Afectados
Aplicación h6web.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades: una de severidad crítica y otra de severidad media, que afectan a h6web de Grupo Anapi, una aplicación para gestionar cofradías y pagos en línea, las cuales han sido descubierta por Bertrand Lorente Yáñez.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2025-1270: CVSS v3.1: 9.1 | CVSS AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L | CWE-639
CVE-2025-1271: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-h6web-de-grupo-anapi
www.incibe.es
Múltiples vulnerabilidades en h6web de Grupo Anapi
INCIBE ha coordinado la publicación de 2 vulnerabilidades: una de severidad crítica y otra de severida
Múltiples vulnerabilidades en productos de HPE
Fecha 13/02/2025
Importancia 5 - Crítica
Recursos Afectados
Versiones anteriores a la 3.1.13 de los productos:
HPE Unified OSS Console (UOC);
HPE Unified OSS Console Software Series.
Descripción
HPE ha identificado 4 vulnerabilidades, 2 de severidad crítica, una media y otra baja en HPE Unified OSS Console (UOC) y HPE Unified OSS Console Assurance Monitoring (UOCAM), que podrían permitir una ejecución de código remoto (RCE) y una denegación de servicio (DoS).
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-hpe-0
Fecha 13/02/2025
Importancia 5 - Crítica
Recursos Afectados
Versiones anteriores a la 3.1.13 de los productos:
HPE Unified OSS Console (UOC);
HPE Unified OSS Console Software Series.
Descripción
HPE ha identificado 4 vulnerabilidades, 2 de severidad crítica, una media y otra baja en HPE Unified OSS Console (UOC) y HPE Unified OSS Console Assurance Monitoring (UOCAM), que podrían permitir una ejecución de código remoto (RCE) y una denegación de servicio (DoS).
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-hpe-0
www.incibe.es
Múltiples vulnerabilidades en productos de HPE
HPE ha identificado 4 vulnerabilidades, 2 de severidad crítica, una media y otra baja en HPE Unified O
Neutralización inadecuada de elementos especiales en PostgreSQL
Fecha 18/02/2025
Importancia 4 - Alta
Recursos Afectados
Las siguientes versiones de PostgreSQL están afectadas:
13; 14; 15; 16; 17.
Descripción
Stephen Fewer ha reportado a PostgreSQL una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una inyección SQL en ciertos patrones de uso.
Se han identificado varias pruebas de concepto (IoC) y la vulnerabilidad podría estar siendo explotada.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/neutralizacion-inadecuada-de-elementos-especiales-en-postgresql
Fecha 18/02/2025
Importancia 4 - Alta
Recursos Afectados
Las siguientes versiones de PostgreSQL están afectadas:
13; 14; 15; 16; 17.
Descripción
Stephen Fewer ha reportado a PostgreSQL una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una inyección SQL en ciertos patrones de uso.
Se han identificado varias pruebas de concepto (IoC) y la vulnerabilidad podría estar siendo explotada.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/neutralizacion-inadecuada-de-elementos-especiales-en-postgresql
www.incibe.es
Neutralización inadecuada de elementos especiales en PostgreSQL
Stephen Fewer ha reportado a PostgreSQL una vulnerabilidad de severidad alta, cuya explotación podría
Múltiples vulnerabilidades en Moodle
Fecha 18/02/2025
Importancia 5 - Crítica
Recursos Afectados
Versiones anteriores no compatibles y, además:
Versiones 4.5 a 4.5.1,
Versiones 4.4 a 4.4.5,
Versiones 4.3 a 4.3.9,
Versiones 4.1 a 4.1.15.
Descripción
Moodle ha publicado correcciones para 10 vulnerabilidades, 4 de ellas críticas. Su explotación podría permitir inyección SQL; Cross-Site Spriting reflejado y almacenado; y lectura arbitraria de archivos, entre otros.
Dichas vulnerabilidades fueron reportadas por los investigadores: Lars Bonczek, Hect0r, nightbloodz y vicevirus.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-6
Fecha 18/02/2025
Importancia 5 - Crítica
Recursos Afectados
Versiones anteriores no compatibles y, además:
Versiones 4.5 a 4.5.1,
Versiones 4.4 a 4.4.5,
Versiones 4.3 a 4.3.9,
Versiones 4.1 a 4.1.15.
Descripción
Moodle ha publicado correcciones para 10 vulnerabilidades, 4 de ellas críticas. Su explotación podría permitir inyección SQL; Cross-Site Spriting reflejado y almacenado; y lectura arbitraria de archivos, entre otros.
Dichas vulnerabilidades fueron reportadas por los investigadores: Lars Bonczek, Hect0r, nightbloodz y vicevirus.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-6
www.incibe.es
Múltiples vulnerabilidades en Moodle
Moodle ha publicado correcciones para 10 vulnerabilidades, 4 de ellas críticas.
Ejecución remota de código en Apache Ignite
Fecha 17/02/2025
Importancia 5 - Crítica
Recursos Afectados
Apache Ignite: versiones comprendidas entre la 2.6.0 y anteriores a la 2.17.0.
Descripción
Apache ha reportado una vulnerabilidad de severidad crítica cuya explotación podría permitir a un atacante llevar a cabo una ejecución remota de código en el lado del servidor.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-apache-ignite
Fecha 17/02/2025
Importancia 5 - Crítica
Recursos Afectados
Apache Ignite: versiones comprendidas entre la 2.6.0 y anteriores a la 2.17.0.
Descripción
Apache ha reportado una vulnerabilidad de severidad crítica cuya explotación podría permitir a un atacante llevar a cabo una ejecución remota de código en el lado del servidor.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-apache-ignite
www.incibe.es
Ejecución remota de código en Apache Ignite
Apache ha reportado una vulnerabilidad de severidad crítica cuya explotación podría permitir a un atac
Ejecución de código remoto en MITRE Caldera
Fecha 25/02/2025
Importancia 5 - Crítica
Recursos Afectados
MITRE Caldera:
Todas las versiones hasta la 4.2.0 y 5.0.0 inclusive.
Las versiones de desarrollo (rama master) anteriores al commit 35bc06e.
Descripción
Dawid Kulikowski ha identificado una vulnerabilidad de severidad crítica que podría permitir a un atacarte una ejecución remota de código.
Solución
Se recomienda actualizar a la versión más actual.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-de-codigo-remoto-en-mitre-caldera
Fecha 25/02/2025
Importancia 5 - Crítica
Recursos Afectados
MITRE Caldera:
Todas las versiones hasta la 4.2.0 y 5.0.0 inclusive.
Las versiones de desarrollo (rama master) anteriores al commit 35bc06e.
Descripción
Dawid Kulikowski ha identificado una vulnerabilidad de severidad crítica que podría permitir a un atacarte una ejecución remota de código.
Solución
Se recomienda actualizar a la versión más actual.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-de-codigo-remoto-en-mitre-caldera
www.incibe.es
Ejecución de código remoto en MITRE Caldera
Dawid Kulikowski ha identificado una vulnerabilidad de severidad crítica que podría permitir a un atac
Múltiples vulnerabilidades en Mattermost server
Fecha 25/02/2025
Importancia 5 - Crítica
Recursos Afectados
Las siguientes versiones de Mattermost que tengan tableros ( boards) habilitado:
desde la versión 10.4.x hasta la 10.4.1, incluida;
desde la versión 9.11.x hasta la 9.11.7, incluida;
desde la versión 10.3.x hasta la 10.3.2, incluida;
desde la versión 10.2.x hasta la 10.2.2, incluida.
Descripción
Mattermost ha publicado información de 2 vulnerabilidades críticas que podrían permitir a usuarios y atacantes leer archivos arbitrarios del sistema.
Solución
Actualizar a la última versión disponible.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-mattermost-server
Fecha 25/02/2025
Importancia 5 - Crítica
Recursos Afectados
Las siguientes versiones de Mattermost que tengan tableros ( boards) habilitado:
desde la versión 10.4.x hasta la 10.4.1, incluida;
desde la versión 9.11.x hasta la 9.11.7, incluida;
desde la versión 10.3.x hasta la 10.3.2, incluida;
desde la versión 10.2.x hasta la 10.2.2, incluida.
Descripción
Mattermost ha publicado información de 2 vulnerabilidades críticas que podrían permitir a usuarios y atacantes leer archivos arbitrarios del sistema.
Solución
Actualizar a la última versión disponible.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-mattermost-server
www.incibe.es
Múltiples vulnerabilidades en Mattermost server
Mattermost ha publicado información de 2 vulnerabilidades críticas que podrían permitir a usuarios y a
Múltiples vulnerabilidades en NonStop CLIM de HPE
Fecha 26/02/2025
Importancia 5 - Crítica
Recursos Afectados
NonStop CLIM.
Para ver las versiones afectadas se recomienda visitar el aviso oficial enlazado en referencias.
Descripción
HPE ha publicado varias vulnerabilidades de entre ellas una crítica que afecta a OpenSSH en sus productos y podría permitir ejecución remota de código.
Solución
Aplicar las actualizaciones indicadas por el fabricante.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-nonstop-clim-de-hpe
Fecha 26/02/2025
Importancia 5 - Crítica
Recursos Afectados
NonStop CLIM.
Para ver las versiones afectadas se recomienda visitar el aviso oficial enlazado en referencias.
Descripción
HPE ha publicado varias vulnerabilidades de entre ellas una crítica que afecta a OpenSSH en sus productos y podría permitir ejecución remota de código.
Solución
Aplicar las actualizaciones indicadas por el fabricante.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-nonstop-clim-de-hpe
www.incibe.es
Múltiples vulnerabilidades en NonStop CLIM de HPE
HPE ha publicado varias vulnerabilidades de entre ellas una crítica que afecta a OpenSSH en sus produc
Múltiples vulnerabilidades en OpenCart
Fecha 27/02/2025
Importancia 3 - Media
Recursos Afectados
OpenCart, versiones anteriores a 4.1.0.
Descripción
INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media, que afectan a OpenCart, una plataforma de eCommerce de código abierto, las cuales han sido descubiertas por Gonzalo Aguilar García (6h4ack).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2025-1746: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
CVE-2025-1747 a CVE-2025-1749: CVSS v3.1: 4.7 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N | CWE-79
Solución
La vulnerabilidad ha sido solucionada por el equipo de OpenCart en la versión 4.1.0.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-opencart
Fecha 27/02/2025
Importancia 3 - Media
Recursos Afectados
OpenCart, versiones anteriores a 4.1.0.
Descripción
INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media, que afectan a OpenCart, una plataforma de eCommerce de código abierto, las cuales han sido descubiertas por Gonzalo Aguilar García (6h4ack).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2025-1746: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
CVE-2025-1747 a CVE-2025-1749: CVSS v3.1: 4.7 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N | CWE-79
Solución
La vulnerabilidad ha sido solucionada por el equipo de OpenCart en la versión 4.1.0.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-opencart
www.incibe.es
Múltiples vulnerabilidades en OpenCart
INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media, que afectan a OpenCart,
Denegación de servicio en Nexus Switches de Cisco
Fecha 27/02/2025
Importancia 4 - Alta
Recursos Afectados
La vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del software Cisco NX-OS, independientemente de la configuración del dispositivo:
Nexus 3100 Series Switches;
Nexus 3200 Series Switches;
Nexus 3400 Series Switches;
Nexus 3600 Series Switches;
Nexus 9200 Series Switches en modo NX-OS independiente;
Nexus 9300 Series Switches en modo NX-OS independiente;
Nexus 9400 Series Switches en modo NX-OS independiente.
Para obtener información sobre qué versiones de software de Cisco son vulnerables, se recomienda consultar la sección Fixed Software del aviso del fabricante en las referencias.
Descripción
Cisco ha publicado una vulnerabilidad de severidad alta en Nexus 3000 y 9000 Series Switches que podría permitir a un atacante reiniciar el dispositivo inesperadamente, lo que daría lugar a una condición de denegación de servicio (DoS).
Solución
Cisco ha publicado actualizaciones para estos productos, que corrigen este problema.
Si existe algún problema al instalar las actualizaciones, se puede consultar el apartado de Workarounds del aviso oficial enlazado en referencias.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/denegacion-de-servicio-en-nexus-switches-de-cisco
Fecha 27/02/2025
Importancia 4 - Alta
Recursos Afectados
La vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del software Cisco NX-OS, independientemente de la configuración del dispositivo:
Nexus 3100 Series Switches;
Nexus 3200 Series Switches;
Nexus 3400 Series Switches;
Nexus 3600 Series Switches;
Nexus 9200 Series Switches en modo NX-OS independiente;
Nexus 9300 Series Switches en modo NX-OS independiente;
Nexus 9400 Series Switches en modo NX-OS independiente.
Para obtener información sobre qué versiones de software de Cisco son vulnerables, se recomienda consultar la sección Fixed Software del aviso del fabricante en las referencias.
Descripción
Cisco ha publicado una vulnerabilidad de severidad alta en Nexus 3000 y 9000 Series Switches que podría permitir a un atacante reiniciar el dispositivo inesperadamente, lo que daría lugar a una condición de denegación de servicio (DoS).
Solución
Cisco ha publicado actualizaciones para estos productos, que corrigen este problema.
Si existe algún problema al instalar las actualizaciones, se puede consultar el apartado de Workarounds del aviso oficial enlazado en referencias.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/denegacion-de-servicio-en-nexus-switches-de-cisco
www.incibe.es
Denegación de servicio en Nexus Switches de Cisco
Cisco ha publicado una vulnerabilidad de severidad alta en Nexus 3000 y 9000 Series Switches que podrí
Microsoft fixes Outlook drag-and-drop broken by Windows updates
Microsoft has fixed a known issue that broke email and calendar drag-and-drop in classic Outlook after installing recent updates on Windows 24H2 systems.
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-drag-and-drop-broken-by-windows-updates/
Microsoft has fixed a known issue that broke email and calendar drag-and-drop in classic Outlook after installing recent updates on Windows 24H2 systems.
https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-drag-and-drop-broken-by-windows-updates/
BleepingComputer
Microsoft fixes Outlook drag-and-drop broken by Windows updates
Microsoft has fixed a known issue that broke email and calendar drag-and-drop in classic Outlook after installing recent updates on Windows 24H2 systems.
SysAdmin 24x7 pinned «SysAdmin 24x7 Noticias y alertas de seguridad informática. Enlace de invitación: https://www.tg-me.com/sysadmin24x7 Acceso web: https://www.tg-me.com/s/sysadmin24x7»
VMSA-2025-0004: VMware ESXi, Workstation, and Fusion updates address multiple vulnerabilities (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
Advisory ID: VMSA-2025-0004
Severity: Critical
CVSSv3 Range: 7.1-9.3
Synopsis: VMware ESXi, Workstation, and Fusion updates address multiple vulnerabilities (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
Issue date: 2025-03-04
CVE(s): CVE-2025-22224, CVE-2025-22225, CVE-2025-22226
Impacted Products
VMware ESXi
VMware Workstation Pro / Player (Workstation)
VMware Fusion
VMware Cloud Foundation
VMware Telco Cloud Platform
Introduction
Multiple vulnerabilities in VMware ESXi, Workstation, and Fusion were privately reported to VMware. Updates are available to remediate these vulnerabilities in affected VMware products.
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
Advisory ID: VMSA-2025-0004
Severity: Critical
CVSSv3 Range: 7.1-9.3
Synopsis: VMware ESXi, Workstation, and Fusion updates address multiple vulnerabilities (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226)
Issue date: 2025-03-04
CVE(s): CVE-2025-22224, CVE-2025-22225, CVE-2025-22226
Impacted Products
VMware ESXi
VMware Workstation Pro / Player (Workstation)
VMware Fusion
VMware Cloud Foundation
VMware Telco Cloud Platform
Introduction
Multiple vulnerabilities in VMware ESXi, Workstation, and Fusion were privately reported to VMware. Updates are available to remediate these vulnerabilities in affected VMware products.
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390
Aviso de seguridad de Zyxel acerca de vulnerabilidades encontradas en sus dispositivos WiFi, fibra ONT y DSL/Ethernet CPE
Fecha 11/03/2025
Importancia 4 - Alta
Recursos Afectados
DSL/ETHERNET CPE:
Modelos desde la serie DX3300-T0 hasta la serie DX4510-B1;
Modelo DM4200-B0;
Modelo EE6510-10;
Modelos desde la serie EX3300-T0 hasta la serie EX7710-B0;
Modelos desde la serie EMG3525-T50B hasta la serie EMG5723-T50K;
Modelos desde la serie VMG3625-T50B hasta la serie VMG8825-T50K.
Fibra ONT:
AX7501-B0, AX7501-B1: V5.17(ABPC5.3)C0 y versiones anteriores;
PX3321-T1: V5.44(ACJB.1.1)C0, V5.44(ACHK.0.3)C0 y versiones anteriores;
PX5301-T0: V5.44(ACKB.0.1)C0 y versiones anteriores.
Wi-Fi extender:
WX3100-T0: V5.50(ABVL.4.5)C0 y versiones anteriores;
WX3401-B0, WX3401-B1: V5.17(ABVE.2.6)C0 y versiones anteriores;
WX5600-T0: V5.70(ACEB.3.3)C0 y versiones anteriores;
Wx5610-B0: V5.18(ACGJ.0.1)C0 y versiones anteriores.
Para comprobar si tu modelo es uno de los afectados puedes consultar el aviso oficial enlazado en referencias.
Descripción
Zyxel informa que se han detectado 3 vulnerabilidades de severidad alta en varios de sus productos WiFi, fibra ONT y DSL/Ethernet CPE y recomienda a sus usuarios que instalen la opción óptima recomendada.
https://www.incibe.es/empresas/avisos/aviso-de-seguridad-zyxel-acerca-de-vulnerabilidades-encontradas-en-sus-dispositivos
Fecha 11/03/2025
Importancia 4 - Alta
Recursos Afectados
DSL/ETHERNET CPE:
Modelos desde la serie DX3300-T0 hasta la serie DX4510-B1;
Modelo DM4200-B0;
Modelo EE6510-10;
Modelos desde la serie EX3300-T0 hasta la serie EX7710-B0;
Modelos desde la serie EMG3525-T50B hasta la serie EMG5723-T50K;
Modelos desde la serie VMG3625-T50B hasta la serie VMG8825-T50K.
Fibra ONT:
AX7501-B0, AX7501-B1: V5.17(ABPC5.3)C0 y versiones anteriores;
PX3321-T1: V5.44(ACJB.1.1)C0, V5.44(ACHK.0.3)C0 y versiones anteriores;
PX5301-T0: V5.44(ACKB.0.1)C0 y versiones anteriores.
Wi-Fi extender:
WX3100-T0: V5.50(ABVL.4.5)C0 y versiones anteriores;
WX3401-B0, WX3401-B1: V5.17(ABVE.2.6)C0 y versiones anteriores;
WX5600-T0: V5.70(ACEB.3.3)C0 y versiones anteriores;
Wx5610-B0: V5.18(ACGJ.0.1)C0 y versiones anteriores.
Para comprobar si tu modelo es uno de los afectados puedes consultar el aviso oficial enlazado en referencias.
Descripción
Zyxel informa que se han detectado 3 vulnerabilidades de severidad alta en varios de sus productos WiFi, fibra ONT y DSL/Ethernet CPE y recomienda a sus usuarios que instalen la opción óptima recomendada.
https://www.incibe.es/empresas/avisos/aviso-de-seguridad-zyxel-acerca-de-vulnerabilidades-encontradas-en-sus-dispositivos
www.incibe.es
Aviso de seguridad de Zyxel acerca de vulnerabilidades encontradas en sus dispositivos WiFi, fibra ONT y DSL/Ethernet CPE
Zyxel informa que se han detectado 3 vulnerabilidades de severidad alta en varios de sus productos WiF
Actualización de seguridad de SAP de marzo de 2025
Fecha 11/03/2025
Importancia 4 - Alta
Descripción
SAP ha publicado su boletín mensual en el que se incluyen 21 vulnerabilidades: 3 de severidad alta, 14 medias y 4 bajas. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante, no autenticado, inyectar código malicioso desde fuentes remotas u obtener niveles de acceso más altos de los que debería
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-marzo-de-2025
Fecha 11/03/2025
Importancia 4 - Alta
Descripción
SAP ha publicado su boletín mensual en el que se incluyen 21 vulnerabilidades: 3 de severidad alta, 14 medias y 4 bajas. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante, no autenticado, inyectar código malicioso desde fuentes remotas u obtener niveles de acceso más altos de los que debería
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-marzo-de-2025
www.incibe.es
Actualización de seguridad de SAP de marzo de 2025
SAP ha publicado su boletín mensual en el que se incluyen 21 vulnerabilidades: 3 de severidad alta, 14
Múltiples vulnerabilidades en plugins de Moodle de Innovación y Cualificación
Fecha 11/03/2025
Importancia 5 - Crítica
Recursos Afectados
Los siguientes plugins de Moodle están afectados:
plugin IcProgreso;
plugin local administración ajax.php.
Descripción
INCIBE ha coordinado la publicación de 4 vulnerabilidades: 2 de severidad crítica y 2 de severidad media, que afectan a los plugins de Moodle administración e IcProgreso de Innovación y Cualificación. Las vulnerabilidades han sido descubiertas por Julen Garrido Estevez.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2025-2199 y CVE-2025-2200: CVSS v4.0: 9.3 | CVSS /AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
CVE-2025-2201 y CVE-2025-2202: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-863
Solución
Innovación y Cualificación ha lanzado una nueva versión que corrige las vulnerabilidades detectadas en los plugins afectados. Se ha procedido a la implantación de la misma en todas las instalaciones del software afectado, completándose el proceso en diciembre del 2024.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-plugins-de-moodle-de-innovacion-y-cualificacion
Fecha 11/03/2025
Importancia 5 - Crítica
Recursos Afectados
Los siguientes plugins de Moodle están afectados:
plugin IcProgreso;
plugin local administración ajax.php.
Descripción
INCIBE ha coordinado la publicación de 4 vulnerabilidades: 2 de severidad crítica y 2 de severidad media, que afectan a los plugins de Moodle administración e IcProgreso de Innovación y Cualificación. Las vulnerabilidades han sido descubiertas por Julen Garrido Estevez.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2025-2199 y CVE-2025-2200: CVSS v4.0: 9.3 | CVSS /AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89
CVE-2025-2201 y CVE-2025-2202: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-863
Solución
Innovación y Cualificación ha lanzado una nueva versión que corrige las vulnerabilidades detectadas en los plugins afectados. Se ha procedido a la implantación de la misma en todas las instalaciones del software afectado, completándose el proceso en diciembre del 2024.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-plugins-de-moodle-de-innovacion-y-cualificacion
www.incibe.es
Múltiples vulnerabilidades en plugins de Moodle de Innovación y Cualificación
INCIBE ha coordinado la publicación de 4 vulnerabilidades: 2 de severidad crítica y 2 de severidad med