Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Microsoft MSHTML (CVE-2021-40444)
    Severidad: MEDIA
    Fecha de publicación: 15/09/2021
    Fecha de última actualización: 29/07/2024
    Una Vulnerabilidad de Ejecución de Código Remota de Microsoft MSHTML
  • Vulnerabilidad en nuxt/nuxt de GitHub (CVE-2023-3224)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/06/2023
    Fecha de última actualización: 29/07/2024
    Inyección de código en el repositorio de GitHub nuxt/nuxt anterior a 3.5.3.
  • Vulnerabilidad en Microsoft Enhanced Cryptographic Provider (CVE-2021-31199)
    Severidad: MEDIA
    Fecha de publicación: 08/06/2021
    Fecha de última actualización: 29/07/2024
    Una vulnerabilidad de Escalada de Privilegios en Microsoft Enhanced Cryptographic Provider. Este ID de CVE es diferente de CVE-2021-31201
  • Vulnerabilidad en Microsoft Enhanced Cryptographic Provider (CVE-2021-31201)
    Severidad: MEDIA
    Fecha de publicación: 08/06/2021
    Fecha de última actualización: 29/07/2024
    Una vulnerabilidad de Escalada de Privilegios en Microsoft Enhanced Cryptographic Provider. Este ID de CVE es diferente de CVE-2021-31199
  • Vulnerabilidad en Windows Kernel (CVE-2021-31955)
    Severidad: BAJA
    Fecha de publicación: 08/06/2021
    Fecha de última actualización: 29/07/2024
    Una vulnerabilidad de Divulgación de Información en Windows Kernel
  • Vulnerabilidad en Microsoft DWM Core Library (CVE-2021-33739)
    Severidad: MEDIA
    Fecha de publicación: 08/06/2021
    Fecha de última actualización: 29/07/2024
    Una vulnerabilidad de Escalada de Privilegios en Microsoft DWM Core Library
  • Vulnerabilidad en Windows Common Log File System Driver de Microsoft (CVE-2021-36955)
    Severidad: MEDIA
    Fecha de publicación: 15/09/2021
    Fecha de última actualización: 29/07/2024
    Una Vulnerabilidad de Elevación de Privilegios de Windows Common Log File System Driver. Este CVE ID es diferente de CVE-2021-36963, CVE-2021-38633
  • Vulnerabilidad en Win32k de Microsoft (CVE-2021-28310)
    Severidad: MEDIA
    Fecha de publicación: 13/04/2021
    Fecha de última actualización: 29/07/2024
    Vulnerabilidad de elevación de privilegios de Win32k. Este ID de CVE es diferente de CVE-2021-27072
  • Vulnerabilidad en Windows Print Spooler (CVE-2021-1675)
    Severidad: ALTA
    Fecha de publicación: 08/06/2021
    Fecha de última actualización: 29/07/2024
    Una vulnerabilidad de Escalada de Privilegios de Windows Print Spooler
  • Vulnerabilidad en Windows NTFS (CVE-2021-31956)
    Severidad: ALTA
    Fecha de publicación: 08/06/2021
    Fecha de última actualización: 29/07/2024
    Una vulnerabilidad de Escalada de Privilegios en Windows NTFS
  • Vulnerabilidad en Windows MSHTML Platform de Microsoft (CVE-2021-33742)
    Severidad: MEDIA
    Fecha de publicación: 08/06/2021
    Fecha de última actualización: 29/07/2024
    Una vulnerabilidad de Ejecución de Código Remota en Windows MSHTML Platform
  • Vulnerabilidad en Acrobat Reader DC (CVE-2021-28550)
    Severidad: MEDIA
    Fecha de publicación: 02/09/2021
    Fecha de última actualización: 29/07/2024
    Acrobat Reader DC versiones 2021.001.20150 (y anteriores), versiones 2020.001.30020 (y anteriores) y versiones 2017.011.30194 (y anteriores), están afectadas por una vulnerabilidad de Uso de Memoria Previamente Liberada. Un atacante no autenticado podría aprovechar esta vulnerabilidad para lograr una ejecución de código arbitrario en el contexto del usuario actual. Es requerida una interacción del usuario para explotar este problema, ya que la víctima debe abrir un archivo malicioso
  • Vulnerabilidad en Tenda Ac19 (CVE-2023-38823)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/11/2023
    Fecha de última actualización: 29/07/2024
    Vulnerabilidad de desbordamiento del búfer en Tenda Ac19 v.1.0, AC18, AC9 v.1.0, AC6 v.2.0 y v.1.0 permite a un atacante remoto ejecutar código arbitrario a través de la función formSetCfm en bin/httpd.
  • Vulnerabilidad en Red Hat en Libtiff (CVE-2023-6277)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/11/2023
    Fecha de última actualización: 29/07/2024
    Se encontró un error de falta de memoria en libtiff. Pasar un archivo tiff manipulado a la API TIFFOpen() puede permitir que un atacante remoto provoque una denegación de servicio a través de una entrada artesanal con un tamaño inferior a 379 KB.
  • Vulnerabilidad en ProfileGrid (CVE-2023-52117)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/06/2024
    Fecha de última actualización: 29/07/2024
    Vulnerabilidad de autorización faltante en Metagauss ProfileGrid. Este problema afecta a ProfileGrid: desde n/a hasta 5.6.6.
  • Vulnerabilidad en Pray For Me de WordPress (CVE-2024-3966)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 29/07/2024
    El complemento Pray For Me de WordPress hasta la versión 1.0.4 no sanitiza ni escapa a algunos parámetros, lo que podría permitir a visitantes no autenticados realizar ataques de Cross-site scripting que se activan cuando un administrador visita las solicitudes de oración en el administrador de WP.
  • Vulnerabilidad en Similarity WordPress (CVE-2024-3971)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 29/07/2024
    El complemento Similarity WordPress hasta la versión 3.0 no tiene activada la verificación CSRF al restablecer su configuración, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los restablezca mediante un ataque CSRF.
  • Vulnerabilidad en Similarity WordPress (CVE-2024-3972)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 29/07/2024
    El complemento Similarity WordPress hasta la versión 3.0 no tiene verificación CSRF en algunos lugares y le falta sanitización y escape, lo que podría permitir a los atacantes hacer que el administrador que haya iniciado sesión agregue payloads XSS almacenado a través de un ataque CSRF.
  • Vulnerabilidad en WordPress Jitsi Shortcode de WordPress (CVE-2024-3977)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 29/07/2024
    El complemento WordPress Jitsi Shortcode de WordPress hasta la versión 0.1 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en WordPress Jitsi Shortcode de WordPress (CVE-2024-3978)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 29/07/2024
    El complemento WordPress Jitsi Shortcode de WordPress hasta la versión 0.1 no valida ni escapa algunos de sus atributos de shortcode antes de devolverlos a una página/publicación donde está incrustado el shortcode, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting Almacenado.
  • Vulnerabilidad en Social Pixel WordPress (CVE-2024-4005)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 29/07/2024
    El complemento Social Pixel WordPress hasta la versión 2.1 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en SVGMagic de WordPress (CVE-2024-4270)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 29/07/2024
    El complemento SVGMagic de WordPress hasta la versión 1.1 no sanitiza el contenido del archivo SVG, lo que permite a los usuarios con al menos el rol de autor de SVG con JavaScript malicioso realizar ataques XSS almacenado.
  • Vulnerabilidad en FormLift para Infusionsoft Web Forms (CVE-2024-38773)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/07/2024
    Fecha de última actualización: 29/07/2024
    Vulnerabilidad de neutralización incorrecta de elementos especiales usados en comando SQL ('inyección SQL') en Adrian Tobey FormLift para Infusionsoft Web Forms permite la inyección ciega de SQL. Este problema afecta a FormLift para Infusionsoft Web Forms: desde n/a hasta 7.5.17.
  • Vulnerabilidad en UiPress lite (CVE-2024-38788)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/07/2024
    Fecha de última actualización: 29/07/2024
    Vulnerabilidad de neutralización incorrecta de elementos especiales usados en de comando SQL ("Inyección SQL") en B?i Admin 2020 UiPress lite permite la inyección SQL. Este problema afecta a UiPress lite: desde n/a hasta 3.4.06.
  • Vulnerabilidad en complemento WP EasyPay – Square para WordPress (CVE-2024-5861)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 29/07/2024
    El complemento WP EasyPay – Square para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función wpep_square_disconnect() en todas las versiones hasta la 4.2.3 incluida. Esto hace posible que atacantes no autenticados desconecten el cuadrado.
  • Vulnerabilidad en complemento WP ULike para WordPress (CVE-2024-6094)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 29/07/2024
    El complemento WP ULike WordPress anterior a 4.7.1 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en complemento Funnel Builder for WordPress by FunnelKit – Customize WooCommerce Checkout Pages, Create Sales Funnels, Order Bumps & One Click Upsells para WordPress (CVE-2024-6836)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 29/07/2024
    El complemento Funnel Builder for WordPress by FunnelKit – Customize WooCommerce Checkout Pages, Create Sales Funnels, Order Bumps & One Click Upsells para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en múltiples funciones en todas las versiones hasta e incluyendo 3.4.6. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, actualicen múltiples configuraciones, incluidas plantillas, diseños, pagos y otras configuraciones de complementos.