Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Sentrifugo 3.2 (CVE-2024-29870)
    Severidad: CRÍTICA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de inyección SQL en Sentrifugo 3.2, a través de /sentrifugo/index.php/index/getdepartments/format/html, parámetro 'business_id'./sentrifugo/index.php/index/getdepartments/format/html, parámetro 'business_id'. La explotación de esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente manipulada al servidor y extraer todos los datos del mismo.
  • Vulnerabilidad en Sentrifugo 3.2 (CVE-2024-29871)
    Severidad: CRÍTICA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de inyección SQL en Sentrifugo 3.2, a través de /sentrifugo/index.php/index/getdepartments/sentrifugo/index.php/index/updatecontactnumber, parámetro 'id'. La explotación de esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente manipulada al servidor y extraer todos los datos del mismo.
  • Vulnerabilidad en Sentrifugo 3.2 (CVE-2024-29872)
    Severidad: CRÍTICA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de inyección SQL en Sentrifugo 3.2, a través de /sentrifugo/index.php/empscreening/add, parámetro 'agencyids'. La explotación de esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente manipulada al servidor y extraer todos los datos del mismo.
  • Vulnerabilidad en Sentrifugo 3.2 (CVE-2024-29873)
    Severidad: CRÍTICA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de inyección SQL en Sentrifugo 3.2, a través de /sentrifugo/index.php/reports/businessunits/format/html, parámetro 'bunitname'. La explotación de esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente manipulada al servidor y extraer todos los datos del mismo.
  • Vulnerabilidad en Sentrifugo 3.2 (CVE-2024-29874)
    Severidad: CRÍTICA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de inyección SQL en Sentrifugo 3.2, a través de /sentrifugo/index.php/default/reports/activeuserrptpdf, parámetro 'sort_name'. La explotación de esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente manipulada al servidor y extraer todos los datos del mismo.
  • Vulnerabilidad en Sentrifugo 3.2 (CVE-2024-29875)
    Severidad: CRÍTICA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de inyección SQL en Sentrifugo 3.2, a través de /sentrifugo/index.php/default/reports/exportactiveuserrpt, parámetro 'sort_name'. La explotación de esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente manipulada al servidor y extraer todos los datos del mismo.
  • Vulnerabilidad en Sentrifugo 3.2 (CVE-2024-29876)
    Severidad: CRÍTICA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de inyección SQL en Sentrifugo 3.2, a través de /sentrifugo/index.php/reports/activitylogreport, parámetro 'sortby'. La explotación de esta vulnerabilidad podría permitir a un usuario remoto enviar una consulta especialmente manipulada al servidor y extraer todos los datos del mismo.
  • Vulnerabilidad en Sentrifugo 3.2 (CVE-2024-29877)
    Severidad: ALTA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de Cross-Site Scripting (XSS) en Sentrifugo 3.2, a través de /sentrifugo/index.php/expenses/expensecategories/edit, parámetro 'expense_category_name'. La explotación de esta vulnerabilidad podría permitir que un usuario remoto envíe una URL especialmente manipulada a la víctima y robe sus datos de sesión.
  • Vulnerabilidad en Sentrifugo 3.2 (CVE-2024-29878)
    Severidad: ALTA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de Cross-Site Scripting (XSS) en Sentrifugo 3.2, a través de /sentrifugo/index.php/sitepreference/add, parámetro 'descripción'. La explotación de esta vulnerabilidad podría permitir que un usuario remoto envíe una URL especialmente manipulada a la víctima y robe sus datos de sesión.
  • Vulnerabilidad en Sentrifugo 3.2 (CVE-2024-29879)
    Severidad: ALTA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de Cross-Site Scripting (XSS) en Sentrifugo 3.2, a través de /sentrifugo/index.php/index/getdepartments/format/html, parámetro 'business_id'. La explotación de esta vulnerabilidad podría permitir que un usuario remoto envíe una URL especialmente manipulada a la víctima y robe sus datos de sesión.
  • Vulnerabilidad en ICS-CERT (CVE-2024-25937)
    Severidad: ALTA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 24/01/2025
    Existe una vulnerabilidad de inyección SQL en el script DIAE_tagHandler.ashx.
  • Vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi (CVE-2024-2805)
    Severidad: ALTA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 24/01/2025
    Se encontró una vulnerabilidad en Tenda AC15 15.03.05.18/15.03.20_multi. Ha sido calificada como crítica. La función formSetSpeedWan del archivo /goform/SetSpeedWan es afectada por esta vulnerabilidad. La manipulación del argumento speed_dir provoca un desbordamiento de búfer en la región stack de la memoria. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-257660. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en paddlepaddle/paddle 2.6.0 (CVE-2024-1603)
    Severidad: ALTA
    Fecha de publicación: 23/03/2024
    Fecha de última actualización: 24/01/2025
    paddlepaddle/paddle 2.6.0 permite la lectura de archivos arbitrarios a través de paddle.vision.ops.read_file.
  • Vulnerabilidad en Tutor LMS para WordPress (CVE-2024-4223)
    Severidad: CRÍTICA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 24/01/2025
    El complemento Tutor LMS para WordPress es vulnerable al acceso no autorizado a datos, modificación de datos, pérdida de datos debido a una falta de verificación de capacidad en múltiples funciones en todas las versiones hasta la 2.7.0 inclusive. Esto hace posible que atacantes no autenticados agreguen, modifiquen o eliminen datos.
  • Vulnerabilidad en Dell VxRail (CVE-2025-21102)
    Severidad: ALTA
    Fecha de publicación: 08/01/2025
    Fecha de última actualización: 24/01/2025
    Dell VxRail, versiones 7.0.000 a 7.0.532, contiene una vulnerabilidad de almacenamiento de contraseñas en texto plano. Un atacante con privilegios elevados y acceso local podría aprovechar esta vulnerabilidad, lo que provocaría la exposición de información.
  • Vulnerabilidad en Dell VxRail (CVE-2025-21111)
    Severidad: ALTA
    Fecha de publicación: 08/01/2025
    Fecha de última actualización: 24/01/2025
    Dell VxRail, versiones 8.0.000 a 8.0.311, contiene una vulnerabilidad de almacenamiento de contraseñas en texto plano. Un atacante con privilegios elevados y acceso local podría aprovechar esta vulnerabilidad, lo que provocaría la exposición de información.
  • Vulnerabilidad en Windows Digital Media (CVE-2025-21232)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de elevación de privilegios en Windows Digital Media
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21233)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows PrintWorkflowUserSvc (CVE-2025-21234)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de elevación de privilegios en Windows PrintWorkflowUserSvc
  • Vulnerabilidad en Windows PrintWorkflowUserSvc (CVE-2025-21235)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de elevación de privilegios en Windows PrintWorkflowUserSvc
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21236)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21237)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21238)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21239)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21240)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21241)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Kerberos en Windows (CVE-2025-21242)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de divulgación de información de Kerberos en Windows
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21243)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21244)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21245)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21246)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21248)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Digital Media (CVE-2025-21249)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de elevación de privilegios en Windows Digital Media
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21250)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Microsoft Message Queuing (MSMQ) (CVE-2025-21251)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de denegación de servicio de Microsoft Message Queuing (MSMQ)
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21252)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Microsoft Message Queuing (MSMQ) (CVE-2025-21285)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de denegación de servicio de Microsoft Message Queuing (MSMQ)
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21286)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Installer (CVE-2025-21287)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de elevación de privilegios en Windows Installer
  • Vulnerabilidad en Windows COM Server (CVE-2025-21288)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de divulgación de información de Windows COM Server
  • Vulnerabilidad en Microsoft Message Queuing (MSMQ) (CVE-2025-21289)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de denegación de servicio de Microsoft Message Queuing (MSMQ)
  • Vulnerabilidad en Microsoft Message Queuing (MSMQ) (CVE-2025-21290)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de denegación de servicio de Microsoft Message Queuing (MSMQ)
  • Vulnerabilidad en Windows Direct Show (CVE-2025-21291)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Direct Show
  • Vulnerabilidad en Windows Search Service (CVE-2025-21292)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de elevación de privilegios en Windows Search Service
  • Vulnerabilidad en Active Directory Domain Services (CVE-2025-21293)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de elevación de privilegios en Active Directory Domain Services
  • Vulnerabilidad en Microsoft Digest (CVE-2025-21294)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en la autenticación de Microsoft Digest
  • Vulnerabilidad en SPNEGO Extended Negotiation (NEGOEX) (CVE-2025-21295)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código del mecanismo de seguridad de SPNEGO Extended Negotiation (NEGOEX)
  • Vulnerabilidad en BranchCache (CVE-2025-21296)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en BranchCache
  • Vulnerabilidad en Windows Remote Desktop Services (CVE-2025-21297)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Remote Desktop Services
  • Vulnerabilidad en Windows OLE (CVE-2025-21298)
    Severidad: CRÍTICA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows OLE
  • Vulnerabilidad en Kerberos de Windows (CVE-2025-21299)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de omisión de la función de seguridad Kerberos de Windows
  • Vulnerabilidad en upnphost.dll en Windows (CVE-2025-21300)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de denegación de servicio upnphost.dll en Windows
  • Vulnerabilidad en Windows Geolocation Service (CVE-2025-21301)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de divulgación de información de Windows Geolocation Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21302)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21303)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Microsoft DWM Core Library (CVE-2025-21304)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de elevación de privilegios en Microsoft DWM Core Library
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21305)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Telephony Service (CVE-2025-21306)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Telephony Service
  • Vulnerabilidad en Windows Reliable Multicast Transport Driver (RMCAST) (CVE-2025-21307)
    Severidad: CRÍTICA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Reliable Multicast Transport Driver (RMCAST)
  • Vulnerabilidad en Windows Themes (CVE-2025-21308)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de suplantación de Windows Themes
  • Vulnerabilidad en Windows Remote Desktop Services (CVE-2025-21309)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de ejecución remota de código en Windows Remote Desktop Services
  • Vulnerabilidad en Windows Digital Media (CVE-2025-21310)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de elevación de privilegios en Windows Digital Media
  • Vulnerabilidad en Windows NTLM V1 (CVE-2025-21311)
    Severidad: CRÍTICA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de elevación de privilegios en Windows NTLM V1
  • Vulnerabilidad en Windows Smart Card Reader (CVE-2025-21312)
    Severidad: BAJA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 24/01/2025
    Vulnerabilidad de divulgación de información de Windows Smart Card Reader
  • Vulnerabilidad en XML para Google Merchant Center para WordPress (CVE-2024-13406)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 24/01/2025
    El complemento XML para Google Merchant Center para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'feed_id' en todas las versiones hasta la 3.0.11 y incluida, debido a un escape de entrada desinfección y salida insuficiente. Esto permite que atacantes no autenticados inyecten scripts web arbitraria en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Themify Builder para WordPress (CVE-2024-13319)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 24/01/2025
    El complemento Themify Builder para WordPress es vulnerable a Cross-Site Scripting Reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta incluida, 7.6.5. Esto hace posible que atacantes no autenticados inyecten scripts web arbitraria en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en AI Power: Complete AI Pack para WordPress (CVE-2025-0428)
    Severidad: ALTA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 24/01/2025
    El complemento "AI Power: Complete AI Pack" para WordPress es vulnerable a la inyección de objetos PHP en versiones hasta la 1.8.96 y incluida, mediante la deserialización de la entrada no confiable de la variable $form['post_content'] a través de la función wpaicg_export_prompts. Esto permite a atacantes autenticados, con privilegios administrativos, inyectar un objeto PHP. No hay ninguna cadena POP presente en el complemento vulnerable. Si hay una cadena POP presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código.
  • Vulnerabilidad en AI Power: Complete AI Pack para WordPress (CVE-2025-0429)
    Severidad: ALTA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 24/01/2025
    El complemento "AI Power: Complete AI Pack" para WordPress es vulnerable a la inyección de objetos PHP en versiones hasta la 1.8.96 y incluida, mediante la deserialización de una entrada no confiable de la variable $form['post_content'] a través de la función wpaicg_export_ai_forms(). Esto permite a atacantes autenticados, con privilegios administrativos, inyectar un objeto PHP. No hay ninguna cadena POP presente en el complemento vulnerable. Si hay una cadena POP presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código.
  • Vulnerabilidad en WP Hotel Booking para WordPress (CVE-2024-13447)
    Severidad: MEDIA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 24/01/2025
    El complemento WP Hotel Booking para WordPress es vulnerable al acceso no autorizado a los datos debido a una verificación de capacidad faltante en la acción AJAX hotel_booking_load_order_user en todas las versiones hasta la 2.1.6 y incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, recuperen una lista de correos electrónicos de usuarios registrados.
  • Vulnerabilidad en GamiPress – Gamification plugin to reward points, achievements, badges & ranks en WordPress (CVE-2024-13495)
    Severidad: ALTA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 24/01/2025
    El complemento GamiPress – Gamification plugin to reward points, achievements, badges & ranks en WordPress es vulnerable a la ejecución de códigos cortos arbitrarios a través de la función gamipress_ajax_get_logs() en todas las versiones hasta la 7.2.1 y incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios.
  • Vulnerabilidad en GamiPress – Gamification plugin to reward points, achievements, badges & ranks en WordPress (CVE-2024-13496)
    Severidad: ALTA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 24/01/2025
    El complemento GamiPress – Gamification plugin to reward points, achievements, badges & ranks en WordPress es vulnerable a la inyección SQL basada en tiempo a través del parámetro ‘orderby’ en todas las versiones hasta incluida, 7.2.1 debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.
  • Vulnerabilidad en GamiPress – Gamification plugin to reward points, achievements, badges & ranks en WordPress (CVE-2024-13499)
    Severidad: ALTA
    Fecha de publicación: 22/01/2025
    Fecha de última actualización: 24/01/2025
    El complemento GamiPress – Gamification plugin to reward points, achievements, badges & ranks en WordPress es vulnerable a la ejecución de códigos cortos arbitrarios a través de la función gamipress_do_shortcode() en todas las versiones hasta incluida, 7.2.1. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios.