Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Productos TP-LINK (CVE-2023-31188)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2023
    Fecha de última actualización: 27/09/2024
    Múltiples productos TP-LINK permiten que un atacante autenticado adyacente a la red ejecute comandos arbitrarios del sistema operativo. Los productos/versiones afectados son los siguientes: versiones de firmware de Archer C50 anteriores a 'Archer C50(JP)_V3_230505', versiones de firmware de Archer C55 anteriores a 'Archer C55(JP)_V1_230506' y versiones de firmware de Archer C20 anteriores a 'Archer C20(JP) )_V1_230616'.
  • Vulnerabilidad en Productos TP-LINK (CVE-2023-40357)
    Severidad: Pendiente de análisis
    Fecha de publicación: 06/09/2023
    Fecha de última actualización: 27/09/2024
    Múltiples productos TP-LINK permiten que un atacante autenticado adyacente a la red ejecute comandos arbitrarios del sistema operativo. Los productos/versiones afectados son los siguientes: Versiones de firmware de Archer AX50 anteriores a 'Archer AX50(JP)_V1_230529', Versiones de firmware de Archer A10 anteriores a 'Archer A10(JP)_V2_230504', Versiones de firmware de Archer AX10 anteriores a 'Archer AX10(JP) _V1.2_230508' y versiones de firmware de Archer AX11000 anteriores a 'Archer AX11000(JP)_V1_230523'.
  • Vulnerabilidad en Simple Headline Rotator para WordPress (CVE-2024-7860)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento Simple Headline Rotator para WordPress hasta la versión 1.0 no tiene verificación CSRF en algunos lugares y le falta saneamiento y escape, lo que podría permitir a los atacantes hacer que el administrador que haya iniciado sesión agregue payloads XSS almacenado a través de un ataque CSRF.
  • Vulnerabilidad en Misiek Paypal para WordPress (CVE-2024-7861)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento Misiek Paypal para WordPress hasta la versión 1.1.20090324 no tiene verificación CSRF en algunos lugares y le falta desinfección y escape, lo que podría permitir a los atacantes hacer que el administrador que haya iniciado sesión agregue payloads XSS almacenado a través de un ataque CSRF.
  • Vulnerabilidad en MM-Breaking News para WordPress (CVE-2024-8054)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento MM-Breaking News para WordPress hasta la versión 0.7.9 no tiene verificación CSRF en algunos lugares y le falta saneamiento y escape, lo que podría permitir a los atacantes hacer que el administrador que haya iniciado sesión agregue payloads XSS almacenado a través de un ataque CSRF.
  • Vulnerabilidad en MM-Breaking News de WordPress (CVE-2024-8056)
    Severidad: Pendiente de análisis
    Fecha de publicación: 12/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento MM-Breaking News de WordPress hasta la versión 0.7.9 no escapa al parámetro $_SERVER['REQUEST_URI'] antes de mostrarlo nuevamente en un atributo, lo que podría generar cross site scripting reflejado en navegadores web antiguos.
  • Vulnerabilidad en NinjaTeam Header Footer Custom Code para WordPress (CVE-2024-6493)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento NinjaTeam Header Footer Custom Code para WordPress anterior a la versión 1.2 no desinfecta ni escapa de algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de Cross-site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en NinjaTeam Header Footer Custom Code para WordPress (CVE-2024-6617)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento NinjaTeam Header Footer Custom Code para WordPress anterior a la versión 1.2 no desinfecta ni escapa de algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados, como el administrador, realicen ataques de Cross-site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en Floating Notification Bar, Sticky Menu on Scroll, Announcement Banner, and Sticky Header for Any de WordPress (CVE-2024-7133)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento Floating Notification Bar, Sticky Menu on Scroll, Announcement Banner, and Sticky Header for Any de WordPress anterior a 2.7.3 no validan ni escapan algunas de sus configuraciones antes de mostrarlas nuevamente en la página, lo que podría permitir que los usuarios con un rol alto realicen ataques de Cross-site Scripting almacenado.
  • Vulnerabilidad en Favicon Generator (CLOSED) de WordPress (CVE-2024-7863)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento Favicon Generator (CLOSED) de WordPress anterior a la versión 2.1 no valida los archivos que se van a cargar y no tiene comprobaciones CSRF, lo que podría permitir a los atacantes hacer que el administrador que haya iniciado sesión cargue archivos arbitrarios, como PHP, en el servidor.
  • Vulnerabilidad en Favicon Generator (CLOSED) de WordPress (CVE-2024-7864)
    Severidad: Pendiente de análisis
    Fecha de publicación: 13/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento Favicon Generator (CLOSED) de WordPress anterior a la versión 2.1 no tiene CSRF ni validación de ruta en la función output_sub_admin_page_0(), lo que permite a los atacantes hacer que los administradores que hayan iniciado sesión eliminen archivos arbitrarios en el servidor.
  • Vulnerabilidad en Visual Sound de WordPress (CVE-2024-8047)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento Visual Sound (antiguo) de WordPress hasta la versión 1.06 no tiene la verificación CSRF activada al actualizar sus configuraciones, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión las cambie mediante un ataque CSRF.