Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Hide Dashboard Notifications para WordPress (CVE-2024-1955)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 17/07/2024
    El complemento Hide Dashboard Notifications para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función 'warning_notices_settings' en todas las versiones hasta la 1.3 incluida. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, modifiquen la configuración del complemento.
  • Vulnerabilidad en WP Child Theme Generator para WordPress (CVE-2024-3610)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 17/07/2024
    El complemento WP Child Theme Generator para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función wctg_easy_child_theme() en todas las versiones hasta la 1.1.1 incluida. Esto hace posible que atacantes no autenticados creen un tema secundario en blanco y lo activen para que el sitio aparezca en pantalla blanca.
  • Vulnerabilidad en The Plus Addons para Elementor Page Builder para WordPress (CVE-2024-5344)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 17/07/2024
    El complemento The Plus Addons para Elementor Page Builder para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del atributo 'forgoturl' dentro del widget de inicio de sesión y registro de WP del complemento en todas las versiones hasta la 5.5.6 incluida debido a una sanitización de entrada insuficiente y la salida se escapa. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en DOP Shortcodes WordPress (CVE-2024-4377)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 17/07/2024
    El complemento DOP Shortcodes WordPress hasta la versión 1.2 no valida ni escapa algunos de sus atributos de shortcode antes de devolverlos a una página/publicación donde está incrustado el shortcode, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting Almacenado.
  • Vulnerabilidad en CB de WordPress (CVE-2024-4381)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 17/07/2024
    El complemento CB (heredado) de WordPress hasta la versión 0.9.4.18 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio)
  • Vulnerabilidad en CB de WordPress (CVE-2024-4382)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 17/07/2024
    El complemento CB (heredado) de WordPress hasta la versión 0.9.4.18 no tiene comprobaciones CSRF en algunas acciones masivas, lo que podría permitir a los atacantes hacer que los administradores que han iniciado sesión realicen acciones no deseadas, como eliminar códigos, plazos y reservas a través de ataques CSRF.
  • Vulnerabilidad en CSSable Countdown WordPress (CVE-2024-4384)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 17/07/2024
    El complemento CSSable Countdown WordPress hasta la versión 1.5 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en WP Logs Book WordPress (CVE-2024-4474)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 17/07/2024
    El complemento WP Logs Book WordPress hasta la versión 1.0.1 no tiene activada la verificación CSRF al actualizar su configuración, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los cambie mediante un ataque CSRF.
  • Vulnerabilidad en WP Logs Book WordPress (CVE-2024-4475)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/06/2024
    Fecha de última actualización: 17/07/2024
    El complemento WP Logs Book WordPress hasta la versión 1.0.1 no tiene verificación CSRF al borrar los registros, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión borre los registros mediante un ataque CSRF.