Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Apache Tomcat (CVE-2016-6816)
    Severidad: MEDIA
    Fecha de publicación: 20/03/2017
    Fecha de última actualización: 08/12/2023
    El código en Apache Tomcat 9.0.0.M1 a 9.0.0.M11, 8.5.0 a 8.5.6, 8.0.0.RC1 a 8.0.38, 7.0.0 a 7.0.72 y 6.0.0 a 6.0.47 que analizó la línea de solicitud HTTP permitió caracteres no válidos. Esto podría ser explotado, junto con un proxy que también permitió los caracteres no válidos, pero con una interpretación diferente, para inyectar datos en la respuesta HTTP. Mediante la manipulación de la respuesta HTTP, el atacante podría envenenar una caché web, realizar un ataque XSS y/u obtener información sensible de otras solicitudes que no sean las suyas.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49373)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contenía Cross-Site Request Forgery (CSRF) a través de /admin/slide/delete.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49374)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/slide/update.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49375)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/friend_link/update.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49376)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/tag/delete.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49377)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/tag/update.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49378)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/form/save.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49379)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través del componente /admin/friend_link/save.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49380)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/friend_link/delete.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49381)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/div/update.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49382)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/div/delete.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49383)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/tag/save.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49395)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/category/update.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49396)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/category/save.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49397)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/category/updateStatus.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49398)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/category/delete.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49446)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/nav/save.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49447)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/nav/update.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49448)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de admin/nav/delete.
  • Vulnerabilidad en JFinalCMS v5.0.0 (CVE-2023-49372)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió que JFinalCMS v5.0.0 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/slide/save.
  • Vulnerabilidad en Artifex Ghostscript (CVE-2023-46751)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/12/2023
    Fecha de última actualización: 09/12/2023
    Se descubrió un problema en la función gdev_prn_open_printer_seekable() en Artifex Ghostscript hasta la versión 10.02.0 que permite a atacantes remotos bloquear la aplicación mediante un puntero colgante.
  • Vulnerabilidad en MyPresta.eu para PrestaShop (CVE-2023-46353)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/12/2023
    Fecha de última actualización: 09/12/2023
    En el módulo "Product Tag Icons Pro" (ticones) anterior a 1.8.4 de MyPresta.eu para PrestaShop, un invitado puede realizar una inyección SQL. El método TiconProduct::getTiconByProductAndTicon() tiene llamadas SQL sensibles que pueden ejecutarse con una llamada http trivial y explotarse para falsificar una inyección SQL.
  • Vulnerabilidad en MyPrestaModules para PrestaShop (CVE-2023-46354)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/12/2023
    Fecha de última actualización: 09/12/2023
    En el módulo "Orders (CSV, Excel) Export PRO" (ordersexport) < 5.2.0 de MyPrestaModules para PrestaShop, un invitado puede descargar información personal sin restricciones. Debido a la falta de control de permisos, un invitado puede acceder a las exportaciones desde el módulo, lo que puede provocar una filtración de información personal de las tablas ps_customer/ps_address, como nombre/apellido/correo electrónico/número de teléfono/dirección postal completa.
  • Vulnerabilidad en mlflow/mlflow de GitHub (CVE-2023-6568)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Cross-Site-Scripting (XSS) Reflejadas en el repositorio de GitHub mlflow/mlflow antes de 2.9.0.
  • Vulnerabilidad en Shuttle Booking Software 2.0 (CVE-2023-48172)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Vulnerabilidad de Cross Site Scripting (XSS) en Shuttle Booking Software 2.0 permite a un atacante remoto inyectar JavaScript a través del nombre, descripción, título o parámetro de dirección en index.php.
  • Vulnerabilidad en GaatiTrack Courier Management System 1.0 (CVE-2023-48206)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Vulnerabilidad de Cross Site Scripting (XSS) en GaatiTrack Courier Management System 1.0 permite a un atacante remoto inyectar JavaScript a través del parámetro de página en login.php o header.php.
  • Vulnerabilidad en Availability Booking Calendar 5.0 (CVE-2023-48208)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Vulnerabilidad de Cross-Site-Scripting en Availability Booking Calendar 5.0 permite a un atacante inyectar JavaScript a través del parámetro nombre, plugin_sms_api_key, plugin_sms_country_code, uuid, título o nombre de país en index.php.
  • Vulnerabilidad en GaatiTrack Courier Management System 1.0 (CVE-2023-48823)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Un problema de inyección de Blind SQL en ajax.php en GaatiTrack Courier Management System 1.0 permite que un atacante no autenticado inyecte un payload a través del parámetro de correo electrónico durante el inicio de sesión.
  • Vulnerabilidad en BoidCMS 2.0.1 (CVE-2023-48824)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    BoidCMS 2.0.1 es vulnerable a problemas de Múltiple Coss-Site Scripting (XSS) Almacenado a través del parámetro título, subtítulo, pie de página o palabras clave en una acción página=crear.
  • Vulnerabilidad en Availability Booking Calendar 5.0 (CVE-2023-48825)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Availability Booking Calendar 5.0 es vulnerable a múltiples problemas de inyección de HTML a través de la clave API de SMS o el código de país predeterminado.
  • Vulnerabilidad en Time Slots Booking Calendar 4.0 (CVE-2023-48826)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Time Slots Booking Calendar 4.0 es vulnerable a la inyección de CSV a través del campo de ID único de la Lista de reservas.
  • Vulnerabilidad en Time Slots Booking Calendar 4.0 (CVE-2023-48827)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Time Slots Booking Calendar 4.0 es vulnerable a múltiples problemas de inyección de HTML a través del nombre, plugin_sms_api_key, plugin_sms_country_code, calendar_id, título, nombre de país o parámetro customer_name.
  • Vulnerabilidad en Time Slots Booking Calendar 4.0 (CVE-2023-48828)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Time Slots Booking Calendar 4.0 es vulnerable a problemas de Múltiple Coss-Site Scripting (XSS) Almacenado a través del nombre, plugin_sms_api_key, plugin_sms_country_code, calendar_id, título, nombre de país o parámetro customer_name.
  • Vulnerabilidad en Shuttle Booking Software 2.0 (CVE-2023-48830)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Shuttle Booking Software 2.0 es vulnerable a la inyección CSV en la sección Idiomas a través de una exportación.
  • Vulnerabilidad en Availability Booking Calendar 5.0 (CVE-2023-48831)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    La falta de limitación de velocidad en pjActionAJaxSend en Availability Booking Calendar 5.0 permite a los atacantes provocar el agotamiento de los recursos.
  • Vulnerabilidad en Time Slots Booking Calendar 4.0 (CVE-2023-48833)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    La falta de limitación de velocidad en pjActionAJaxSend en Time Slots Booking Calendar 4.0 permite a los atacantes provocar el agotamiento de los recursos.
  • Vulnerabilidad en Car Rental v3.0 (CVE-2023-48834)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    La falta de limitación de velocidad en pjActionAjaxSend en Car Rental v3.0 permite a los atacantes provocar el agotamiento de los recursos.
  • Vulnerabilidad en Car Rental Script v3.0 (CVE-2023-48835)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Car Rental Script v3.0 es vulnerable a la inyección CSV a través de una acción Idioma > Etiquetas > Exportar.
  • Vulnerabilidad en Car Rental Script 3.0 (CVE-2023-48836)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Car Rental Script 3.0 es vulnerable a problemas de Múltiple Coss-Site Scripting (XSS) a través del parámetro nombre, plugin_sms_api_key, plugin_sms_country_code, calendar_id, título, nombre del país o nombre del cliente.
  • Vulnerabilidad en Car Rental Script 3.0 (CVE-2023-48837)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Car Rental Script 3.0 es vulnerable a múltiples problemas de inyección de HTML a través de una clave API de SMS o un código de país predeterminado.
  • Vulnerabilidad en Appointment Scheduler 3.0 (CVE-2023-48838)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Appointment Scheduler 3.0 es vulnerable a múltiples problemas de inyección de HTML a través de la clave API de SMS o el código de país predeterminado.
  • Vulnerabilidad en Appointment Scheduler 3.0 (CVE-2023-48839)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Appointment Scheduler 3.0 es vulnerable a problemas de Múltiple Coss-Site Scripting (XSS) Almacenado a través del nombre, plugin_sms_api_key, plugin_sms_country_code, calendar_id, título, nombre de país o parámetro customer_name.
  • Vulnerabilidad en Appointment Scheduler 3.0 (CVE-2023-48840)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    La falta de limitación de velocidad en pjActionAjaxSend en Appointment Scheduler 3.0 permite a los atacantes provocar el agotamiento de los recursos.
  • Vulnerabilidad en Appointment Scheduler 3.0 (CVE-2023-48841)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/12/2023
    Fecha de última actualización: 09/12/2023
    Appointment Scheduler 3.0 es vulnerable a la inyección CSV a través de una acción Idioma > Etiquetas > Exportar.