Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en kernel de Linux (CVE-2023-6535)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/02/2024
    Fecha de última actualización: 12/06/2024
    Se encontró una falla en el controlador NVMe del kernel de Linux. Este problema puede permitir que un actor malicioso no autenticado envíe un conjunto de paquetes TCP manipulados cuando usa NVMe sobre TCP, lo que lleva al controlador NVMe a una desreferencia del puntero NULL en el controlador NVMe, lo que provoca pánico en el kernel y una denegación de servicio.
  • Vulnerabilidad en kernel de Linux (CVE-2023-6536)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/02/2024
    Fecha de última actualización: 12/06/2024
    Se encontró una falla en el controlador NVMe del kernel de Linux. Este problema puede permitir que un actor malicioso no autenticado envíe un conjunto de paquetes TCP manipulados cuando usa NVMe sobre TCP, lo que lleva al controlador NVMe a una desreferencia del puntero NULL en el controlador NVMe, lo que provoca pánico en el kernel y una denegación de servicio.
  • Vulnerabilidad en Envoy (CVE-2024-34362)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 12/06/2024
    Envoy es un proxy de servicio y borde de código abierto, nativo de la nube. Hay un use-after-free en `HttpConnectionManager` (HCM) con `EnvoyQuicServerStream` que puede bloquear Envoy. Un atacante puede explotar esta vulnerabilidad enviando una solicitud sin `FIN`, luego un framework `RESET_STREAM` y luego, después de recibir la respuesta, cerrando la conexión.
  • Vulnerabilidad en WS Form LITE para WordPress (CVE-2023-5424)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/06/2024
    Fecha de última actualización: 12/06/2024
    El complemento WS Form LITE para WordPress es vulnerable a la inyección CSV en versiones hasta la 1.9.217 incluida. Esto permite a atacantes no autenticados incrustar entradas que no son de confianza en archivos CSV exportados, lo que puede provocar la ejecución de código cuando estos archivos se descargan y abren en un sistema local con una configuración vulnerable.
  • Vulnerabilidad en reputeinfosystems ARForms (CVE-2024-32705)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en reputeinfosystems ARForms. Este problema afecta a ARForms: desde n/a hasta 6.4.
  • Vulnerabilidad en AutoWriter AI Post Generator | AutoWriter (CVE-2024-32713)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en AutoWriter AI Post Generator | AutoWriter. Este problema afecta al AI Post Generator | AutoWriter: desde n/a hasta 3.3.
  • Vulnerabilidad en Metagauss EventPrime (CVE-2024-31275)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en Metagauss EventPrime. Este problema afecta a EventPrime: desde n/a hasta 3.3.4.
  • Vulnerabilidad en WPFactory Products, Order & Customers Export for WooCommerce (CVE-2024-31276)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en WPFactory Products, Order & Customers Export for WooCommerce. Este problema afecta la exportación de productos, pedidos y clientes de WPFactory para WooCommerce: desde n/a hasta 2.0.8.
  • Vulnerabilidad en zorem Advanced Local Pickup for WooCommerce (CVE-2024-31283)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en zorem Advanced Local Pickup for WooCommerce. Este problema afecta a la recogida local avanzada para WooCommerce: desde n/a hasta 1.6.2.
  • Vulnerabilidad en WPDeveloper EmbedPress (CVE-2024-31284)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en WPDeveloper EmbedPress. Este problema afecta a EmbedPress: desde n/a hasta 3.9.8.
  • Vulnerabilidad en MultiVendorX WC Marketplace (CVE-2024-31304)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en MultiVendorX WC Marketplace. Este problema afecta a WC Marketplace: desde n/a hasta 4.1.3.
  • Vulnerabilidad en Websupporter Filter Custom Fields & Taxonomies Light (CVE-2024-32081)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en Websupporter Filter Custom Fields & Taxonomies Light. Este problema afecta al filtro de campos personalizados y taxonomías Light: desde n/a hasta 1.05.
  • Vulnerabilidad en AdFoxly AdFoxly – Ad Manager, AdSense Ads & Ads.Txt (CVE-2024-34802)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en AdFoxly AdFoxly – Ad Manager, AdSense Ads & Ads.Txt. Este problema afecta a AdFoxly – Ad Manager, AdSense Ads & Ads.Txt: desde n/a hasta 1.8.5.
  • Vulnerabilidad en SoftLab Upload Fields for WPForms (CVE-2024-35661)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en SoftLab Upload Fields for WPForms. Este problema afecta los campos de carga para WPForms: desde n/a hasta 1.0.2.
  • Vulnerabilidad en Andreas Sofantzis Simple COD Fees for WooCommerce (CVE-2024-35662)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en Andreas Sofantzis Simple COD Fees for WooCommerce. Este problema afecta las tarifas COD simples para WooCommerce: desde n/a hasta 2.0.2.
  • Vulnerabilidad en OPMC WooCommerce Dropshipping (CVE-2024-35748)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    Vulnerabilidad de autorización faltante en OPMC WooCommerce Dropshipping. Este problema afecta a WooCommerce Dropshipping: desde n/a hasta 5.0.4.
  • Vulnerabilidad en Authlib (CVE-2024-37568)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    La versión Authlib anterior a 1.3.1 tiene confusión de algoritmo con claves públicas asimétricas. A menos que se especifique un algoritmo en una llamada jwt.decode, se permite la verificación HMAC con cualquier clave pública asimétrica. (Esto es similar a CVE-2022-29217 y CVE-2024-33663).
  • Vulnerabilidad en PHP (CVE-2024-5458)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 12/06/2024
    En las versiones de PHP 8.1.* anteriores a 8.1.29, 8.2.* anteriores a 8.2.20, 8.3.* anteriores a 8.3.8, debido a un error de lógica de código, funciones de filtrado como filter_var al validar URL (FILTER_VALIDATE_URL) para ciertos tipos de URL la función dará como resultado que la información de usuario no válida (nombre de usuario + contraseña parte de las URL) se trate como información de usuario válida. Esto puede hacer que el código posterior acepte URL no válidas como válidas y las analice incorrectamente.