Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Invision Community (CVE-2024-30163)
    Severidad: Pendiente de análisis
    Fecha de publicación: 07/06/2024
    Fecha de última actualización: 08/08/2024
    Invision Community antes de 4.7.16 permite la inyección de SQL a través del método apps/nexus/modules/front/store/store.php IPS\nexus\modules\front\store\_store::_categoryView(), donde la entrada del usuario pasaba a través de la solicitud de filtro el parámetro no se sanitiza adecuadamente antes de usarse para ejecutar consultas SQL. Esto puede ser aprovechado por atacantes no autenticados para llevar a cabo ataques de inyección SQL ciega.
  • Vulnerabilidad en Promokit.eu para PrestaShop (CVE-2024-36678)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 08/08/2024
    En el módulo "Configuración del tema" (pk_themesettings) <= 1.8.8 de Promokit.eu para PrestaShop, un invitado puede realizar una inyección SQL. El script ajax.php tiene una llamada SQL sensible que puede ejecutarse con una llamada http trivial y explotarse para falsificar una inyección SQL.
  • Vulnerabilidad en complemento WP Booking Calendar para WordPress (CVE-2024-6930)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 08/08/2024
    El complemento WP Booking Calendar para WordPress es vulnerable a Cross-Site Scripting almacenado a través del atributo 'type' dentro del código abreviado del formulario de reserva del complemento en todas las versiones hasta la 10.2.1 incluida debido a una sanitización de entrada y a un escape de salida insuficientes en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en complemento AMP for WP – Accelerated Mobile Pages para WordPress (CVE-2024-6896)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 08/08/2024
    El complemento AMP for WP – Accelerated Mobile Pages para WordPress es vulnerable a Cross Site Scripting almacenado a través de cargas de archivos SVG en todas las versiones hasta la 1.0.96.1 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
  • Vulnerabilidad en M-Files Hubshare (CVE-2024-6124)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/07/2024
    Fecha de última actualización: 08/08/2024
    XSS reflejado en M-Files Hubshare anterior a la versión 5.0.6.0 permite a un atacante ejecutar código JavaScript arbitrario en el contexto de la sesión del navegador de la víctima
  • Vulnerabilidad en M-Files Hubshare (CVE-2024-6881)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/07/2024
    Fecha de última actualización: 08/08/2024
    XSS almacenado en versiones de M-Files Hubshare anteriores a 5.0.6.0 permite a un atacante autenticado ejecutar JavaScript arbitrario en la sesión del navegador del usuario
  • Vulnerabilidad en SiberianCMS (CVE-2024-41702)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 08/08/2024
    SiberianCMS - CWE-89: Neutralización incorrecta de elementos especiales utilizados en un comando SQL ("Inyección SQL")
  • Vulnerabilidad en itsourcecode Alton Management System 1.0 (CVE-2024-7276)
    Severidad: MEDIA
    Fecha de publicación: 30/07/2024
    Fecha de última actualización: 08/08/2024
    Una vulnerabilidad ha sido encontrada en itsourcecode Alton Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin/member_save.php es afectada por esta vulnerabilidad. La manipulación del argumento last/first conduce a la inyección SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-273145.
  • Vulnerabilidad en itsourcecode Alton Management System 1.0 (CVE-2024-7277)
    Severidad: MEDIA
    Fecha de publicación: 31/07/2024
    Fecha de última actualización: 08/08/2024
    Una vulnerabilidad fue encontrada en itsourcecode Alton Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin/menu.php del componente Add a Menu es afectada por esta vulnerabilidad. La manipulación del argumento image conduce a una carga sin restricciones. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-273146 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en itsourcecode Alton Management System 1.0 (CVE-2024-7278)
    Severidad: MEDIA
    Fecha de publicación: 31/07/2024
    Fecha de última actualización: 08/08/2024
    Se encontró una vulnerabilidad itsourcecode Alton Management System 1.0. Ha sido clasificada como crítica. Esto afecta a una parte desconocida del archivo /admin/team_save.php. La manipulación del argumento team conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-273147.
  • Vulnerabilidad en Dell BSAFE Crypto-C Micro Edition 4.1.5 y Dell BSAFE Micro Edition Suite (CVE-2023-28074)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/07/2024
    Fecha de última actualización: 08/08/2024
    Dell BSAFE Crypto-C Micro Edition 4.1.5 y Dell BSAFE Micro Edition Suite, versiones 4.0 a 4.6.1 y versión 5.0 contienen una vulnerabilidad de sobrelectura de búfer.
  • Vulnerabilidad en Dell Peripheral Manager (CVE-2024-32857)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/07/2024
    Fecha de última actualización: 08/08/2024
    Dell Peripheral Manager, versiones anteriores a 1.7.6, contiene una vulnerabilidad de elemento de ruta de búsqueda no controlada. Un atacante podría explotar esta vulnerabilidad mediante la precarga de una DLL maliciosa o la explotación de enlaces simbólicos, lo que lleva a la ejecución de código arbitrario y la escalada de privilegios.
  • Vulnerabilidad en Dell Peripheral Manager (CVE-2024-37142)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/07/2024
    Fecha de última actualización: 08/08/2024
    Dell Peripheral Manager, versiones anteriores a 1.7.6, contiene una vulnerabilidad de elemento de ruta de búsqueda no controlada. Un atacante podría explotar esta vulnerabilidad mediante la precarga de una DLL maliciosa o la explotación de enlaces simbólicos, lo que lleva a la ejecución de código arbitrario y la escalada de privilegios.