Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en WP-Recall – Registration, Profile, Commerce & More para WordPress (CVE-2024-1175)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 24/07/2024
    El complemento WP-Recall – Registration, Profile, Commerce & More para WordPress es vulnerable a la pérdida no autorizada de datos debido a una falta de verificación de capacidad en la función 'delete_paid' en todas las versiones hasta la 16.26.6 incluida. Esto hace posible que atacantes no autenticados eliminen pagos arbitrarios.
  • Vulnerabilidad en Themesflat Addons For Elementor para WordPress (CVE-2024-2922)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 24/07/2024
    El complemento Themesflat Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de etiquetas de widgets en todas las versiones hasta la 2.1.1 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Themesflat Addons para Elementor para WordPress (CVE-2024-4212)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 24/07/2024
    El complemento Themesflat Addons para Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los widgets TF Group Image, TF Nav Menu, TF Posts, TF Woo Product Grid, TF Accordion y TF Image Box en todas las versiones hasta e incluida, 2.1.1 debido a una sanitización insuficiente de las entradas y a la salida de datos que se escapan de los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Qi Addons For Elementor para WordPress (CVE-2024-4364)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 24/07/2024
    El complemento Qi Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los widgets de botones del complemento en todas las versiones hasta la 1.7.2 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Themesflat Addons For Elementor para WordPress (CVE-2024-4458)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/06/2024
    Fecha de última actualización: 24/07/2024
    El complemento Themesflat Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado en varios widgets a través de parámetros de URL en todas las versiones hasta la 2.1.1 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Website Content in Page or Post para WordPress (CVE-2024-2430)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/07/2024
    Fecha de última actualización: 24/07/2024
    El complemento Website Content in Page or Post para WordPress anterior al 2024.04.09 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a una página/publicación donde está incrustado el código corto, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross Site Scripting almacenado.
  • Vulnerabilidad en Watu Quiz para WordPress (CVE-2024-2640)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/07/2024
    Fecha de última actualización: 24/07/2024
    El complemento Watu Quiz para WordPress anterior a 3.4.1.2 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios como autores (si han sido autorizados por los administradores) realizar ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida.
  • Vulnerabilidad en Quotes and Tips by BestWebSoft para WordPress (CVE-2024-3112)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/07/2024
    Fecha de última actualización: 24/07/2024
    El complemento Quotes and Tips by BestWebSoft para WordPress anterior a la 1.45 no valida correctamente los archivos de imagen cargados, lo que permite a usuarios con privilegios elevados, como el administrador, cargar archivos arbitrarios en el servidor incluso cuando no se les debería permitir (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en WP Secure Maintenance para WordPress (CVE-2024-4753)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/07/2024
    Fecha de última actualización: 24/07/2024
    El complemento de WordPress WP Secure Maintenance anterior a 1.7 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en Inline Related Posts para WordPress (CVE-2024-5626)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/07/2024
    Fecha de última actualización: 24/07/2024
    El complemento Inline Related Posts para WordPress anterior a 3.7.0 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross Site Scripting reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.