Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en MP3 Audio Player – Music Player, Podcast Player & Radio by Sonaar para WordPress (CVE-2024-5664)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/07/2024
    Fecha de última actualización: 30/07/2024
    El complemento MP3 Audio Player – Music Player, Podcast Player & Radio by Sonaar para WordPress es vulnerable a Cross Site Scripting almacenado a través del atributo 'id' dentro del código corto sonaar_audioplayer del complemento en todas las versiones hasta la 5.5 incluida debido a una sanitización de entrada y escape de salida insuficientes en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en complemento LiteSpeed Cache para WordPress (CVE-2024-3246)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 30/07/2024
    El complemento LiteSpeed Cache para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 6.2.0.1 incluida. Esto se debe a una validación nonce faltante o incorrecta. Esto hace posible que atacantes no autenticados actualicen la configuración del token e inyecten JavaScript malicioso a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en OpenStack Nova (CVE-2024-40767)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 30/07/2024
    En OpenStack Nova anterior a 27.4.1, 28 anterior a 28.2.1 y 29 anterior a 29.1.1, al proporcionar una imagen sin formato que en realidad es una imagen QCOW2 manipulada con una ruta de archivo de respaldo o una imagen plana VMDK con una ruta de archivo descriptiva, se El usuario autenticado puede convencer a los sistemas para que devuelvan una copia del contenido del archivo al que se hace referencia desde el servidor, lo que resulta en un acceso no autorizado a datos potencialmente confidenciales. Todas las implementaciones de Nova se ven afectadas. NOTA: este problema existe debido a una solución incompleta para CVE-2022-47951 y CVE-2024-32498.
  • Vulnerabilidad en Archer Platform 6.8 (CVE-2024-41705)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/07/2024
    Fecha de última actualización: 30/07/2024
    Se descubrió un problema de XSS almacenado en Archer Platform 6.8 antes del 2024.06. Un usuario malicioso de Archer autenticado remotamente podría explotar esto para almacenar código HTML o JavaScript malicioso en un almacén de datos de aplicaciones confiable. Cuando los usuarios víctimas acceden al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación vulnerable. 6.14.P4 (6.14.0.4) y 6.13 P4 (6.13.0.4) también son versiones fijas. Esta vulnerabilidad es similar, pero no idéntica, a CVE-2023-30639.
  • Vulnerabilidad en Archer Platform 6 (CVE-2024-41706)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/07/2024
    Fecha de última actualización: 30/07/2024
    Se descubrió un problema de XSS almacenado en Archer Platform 6 antes de la versión 2024.06. Un usuario malicioso de Archer autenticado remotamente podría explotar esto para almacenar código HTML o JavaScript malicioso en un almacén de datos de aplicaciones confiable. Cuando los usuarios víctimas acceden al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación vulnerable. 6.14 P4 (6.14.0.4) también es una versión corregida.
  • Vulnerabilidad en Archer Platform 6 (CVE-2024-41707)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/07/2024
    Fecha de última actualización: 30/07/2024
    Se descubrió un problema en Archer Platform 6 antes del 2024.06. Los usuarios autenticados pueden lograr la inyección de contenido HTML. Un usuario malicioso de Archer autenticado remotamente podría explotar esto para almacenar código HTML malicioso en un almacén de datos de aplicaciones confiable. Cuando los usuarios víctimas acceden al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación vulnerable.