Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Esri Portal for ArcGIS (CVE-2024-25698)
    Severidad: MEDIA
    Fecha de publicación: 04/04/2024
    Fecha de última actualización: 30/01/2025
    Hay una vulnerabilidad de Cross-Site Scripting reflejada en la aplicación doméstica en Esri Portal para ArcGIS 11.1 y versiones anteriores en Windows y Linux que permite a un atacante remoto y no autenticado crear un enlace manipulado que, al hacer clic, podría ejecutar código JavaScript arbitrario en el navegador de la víctima.
  • Vulnerabilidad en Esri Portal for ArcGIS (CVE-2024-25699)
    Severidad: ALTA
    Fecha de publicación: 04/04/2024
    Fecha de última actualización: 30/01/2025
    Existe un problema de autenticación incorrecta difícil de explotar en la aplicación Inicio de Esri Portal for ArcGIS versiones 10.8.1 a 11.2 en Windows y Linux, y ArcGIS Enterprise 11.1 e inferiores en Kubernetes que, en circunstancias únicas, podría permitir una autenticación remota no autenticada. atacante comprometa la confidencialidad, integridad y disponibilidad del software.
  • Vulnerabilidad en Esri Portal for ArcGIS Experience Builder (CVE-2024-25705)
    Severidad: MEDIA
    Fecha de publicación: 04/04/2024
    Fecha de última actualización: 30/01/2025
    Existe una vulnerabilidad de Cross-site Scripting en Esri Portal for ArcGIS Experience Builder 11.1 y versiones anteriores en Windows y Linux que permite a un atacante remoto no autenticado crear un vínculo manipulado que, al hacer clic en él, podría ejecutar código JavaScript arbitrario en el navegador de la víctima. Los privilegios necesarios para ejecutar este ataque son bajos.
  • Vulnerabilidad en Unlimited Elements For Elementor para WordPress (CVE-2024-3055)
    Severidad: ALTA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento Unlimited Elements For Elementor (widgets, complementos y plantillas gratuitos) para WordPress es vulnerable a la inyección SQL basada en tiempo a través del parámetro 'id' en todas las versiones hasta la 1.5.102 incluida debido a un escape insuficiente en el usuario proporcionado parámetro y falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en Unlimited Elements For Elementor para WordPress (CVE-2024-3547)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento Unlimited Elements For Elementor (widgets, complementos y plantillas gratuitos) para WordPress es vulnerable a Cross-Site Scripting Reflejado a través del parámetro 'google_connect_error' en todas las versiones hasta la 1.5.102 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Unlimited Elements For Elementor para WordPress (CVE-2024-2662)
    Severidad: ALTA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento Unlimited Elements For Elementor (Free Widgets, Addons, Templates) para WordPress es vulnerable a la inyección de comandos en todas las versiones hasta la 1.5.102 incluida. Esto se debe a un filtrado insuficiente de los atributos de la plantilla durante la creación de HTML para widgets personalizados. Esto hace posible que atacantes autenticados, con acceso de nivel de administrador y superior, ejecuten comandos arbitrarios en el servidor.
  • Vulnerabilidad en Envo Extra para WordPress (CVE-2024-4385)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento Envo Extra para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de múltiples parámetros en versiones hasta la 1.8.16 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Unlimited Elements For Elementor para WordPress (CVE-2024-4779)
    Severidad: ALTA
    Fecha de publicación: 23/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento Unlimited Elements For Elementor (widgets, complementos y plantillas gratuitos) para WordPress es vulnerable a la inyección SQL a través del parámetro 'data[post_ids][0]' en todas las versiones hasta la 1.5.107 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en Unlimited Elements For Elementor para WordPress (CVE-2023-6743)
    Severidad: ALTA
    Fecha de publicación: 29/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento Unlimited Elements For Elementor (widgets, complementos y plantillas gratuitos) para WordPress es vulnerable a la ejecución remota de código en todas las versiones hasta la 1.5.89 incluida a través de la función de importación de plantillas. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, ejecuten código en el servidor.
  • Vulnerabilidad en Unlimited Elements For Elementor para WordPress (CVE-2024-3190)
    Severidad: MEDIA
    Fecha de publicación: 30/05/2024
    Fecha de última actualización: 30/01/2025
    El complemento Unlimited Elements For Elementor (widgets, complementos y plantillas gratuitos) para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget de campo de texto del complemento en todas las versiones hasta la 1.5.107 incluida debido a una sanitización de entrada y un escape de salida insuficientes en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Tenga en cuenta que esta vulnerabilidad es diferente porque el problema surge de una plantilla externa. Parece que la versión anterior también puede ser parcheada debido a esto, sin embargo, elegimos 1.5.108 como la versión parcheada ya que es la versión más reciente que contiene el parche conocido.
  • Vulnerabilidad en Esri Portal for ArcGIS (CVE-2024-8148)
    Severidad: MEDIA
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 30/01/2025
    Existe una vulnerabilidad de redirección no validada en Esri Portal for ArcGIS 10.8.1 - 11.2 que puede permitir que un atacante remoto no autenticado cree una URL que podría redirigir a una víctima a un sitio web arbitrario, simplificando los ataques de phishing.
  • Vulnerabilidad en Esri Portal for ArcGIS (CVE-2024-8149)
    Severidad: MEDIA
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 30/01/2025
    Hay una vulnerabilidad XSS reflejado en Esri Portal for ArcGIS versiones 11.1 y 11.2 que puede permitir que un atacante remoto no autenticado cree un enlace manipulado que, al hacer clic, podría ejecutar código JavaScript arbitrario en el navegador de la víctima.
  • Vulnerabilidad en macOS Ventura, visionOS, tvOS, watchOS, iPadOS, iOS, macOS Sonoma y macOS Sequoia (CVE-2024-54497)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en iPadOS 17.7.4, macOS Ventura 13.7.3, macOS Sonoma 14.7.3, visionOS 2.2, tvOS 18.2, watchOS 11.2, iOS 18.2 y iPadOS 18.2, macOS Sequoia 15.2. El procesamiento de contenido web puede provocar una denegación de servicio.
  • Vulnerabilidad en macOS Sonoma y macOS Sequoia (CVE-2024-54509)
    Severidad: ALTA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de escritura fuera de los límites con una validación de entrada mejorada. Este problema se solucionó en macOS Sonoma 14.7.2, macOS Sequoia 15.2, macOS Sonoma 14.7.3. Es posible que una aplicación pueda provocar una terminación inesperada de sistema o escribir en la memoria del kernel.
  • Vulnerabilidad en watchOS, iOS y iPadOS (CVE-2024-54512)
    Severidad: CRÍTICA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó eliminando las banderas pertinentes. Este problema se solucionó en watchOS 11.2, iOS 18.2 y iPadOS 18.2. Se podía usar un binario sistema para tomar la huella digital de la cuenta Apple de un usuario.
  • Vulnerabilidad en macOS Sonoma y macOS Sequoia (CVE-2024-54516)
    Severidad: BAJA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sonoma 14.7.2 y macOS Sequoia 15.2. Es posible que una aplicación pueda aprobar el inicio de daemon sin el consentimiento del usuario.
  • Vulnerabilidad en macOS Sequoia, watchOS, tvOS, iOS y iPadOS (CVE-2024-54517)
    Severidad: ALTA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con comprobaciones de los límites mejoradas. Este problema se solucionó en macOS Sequoia 15.2, watchOS 11.2, tvOS 18.2, iOS 18.2 y iPadOS 18.2. Es posible que una aplicación pueda dañar la memoria del coprocesador.
  • Vulnerabilidad en macOS Sequoia, watchOS, tvOS, iOS y iPadOS (CVE-2024-54522)
    Severidad: ALTA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con comprobaciones de los límites mejoradas. Este problema se solucionó en macOS Sequoia 15.2, watchOS 11.2, tvOS 18.2, iOS 18.2 y iPadOS 18.2. Es posible que una aplicación pueda dañar la memoria del coprocesador.
  • Vulnerabilidad en macOS Sequoia (CVE-2024-54536)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con una validación mejorada de las variables del entorno. Este problema se solucionó en macOS Sequoia 15.2. Es posible que una aplicación pueda editar las variables NVRAM.
  • Vulnerabilidad en macOS Ventura, visionOS, tvOS, watchOS, iOS, iPadOS, macOS Sonoma y macOS Sequoia (CVE-2024-54541)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Este problema se solucionó mediante con una mejor gestión del estado. Este problema se solucionó en macOS Ventura 13.7.2, visionOS 2.2, tvOS 18.2, watchOS 11.2, iOS 18.2 y iPadOS 18.2, macOS Sonoma 14.7.2 y macOS Sequoia 15.2. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en visionOS, tvOS, Safari, watchOS, iOS, iPadOS y macOS Sequoia (CVE-2024-54543)
    Severidad: ALTA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con una gestión de memoria mejorada. Este problema se solucionó en visionOS 2.2, tvOS 18.2, Safari 18.2, watchOS 11.2, iOS 18.2 y iPadOS 18.2, macOS Sequoia 15.2. El procesamiento malintencionado de contenido web manipulado puede provocar daños en la memoria.
  • Vulnerabilidad en macOS Sequoia (CVE-2024-54549)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Este problema se solucionó con una redacción mejorada de información confidencial. Este problema se solucionó en macOS Sequoia 15.2. Una aplicación puede tener acceso a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2024-54557)
    Severidad: ALTA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de lógica con restricciones mejoradas. Este problema se solucionó en macOS Sonoma 14.7.2, macOS Sequoia 15.2 y macOS Ventura 13.7.2. Un atacante puede obtener acceso a partes protegidas del archivo sistema.
  • Vulnerabilidad en macOS Ventura, macOS Sonoma, visionOS, iOS, iPadOS, macOS Sequoia, watchOS y tvOS (CVE-2025-24086)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con una gestión de memoria mejorada. Este problema se solucionó en iPadOS 17.7.4, macOS Ventura 13.7.3, macOS Sonoma 14.7.3, visionOS 2.3, iOS 18.3 y iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. El procesamiento de una imagen puede provocar una denegación de servicio.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24087)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con comprobaciones de permisos adicionales. Este problema se solucionó en macOS Sequoia 15.3. Una aplicación puede tener acceso a datos de usuario protegidos.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24094)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó una condición ejecución con una validación adicional. Este problema se solucionó en macOS Ventura 13.7.3, macOS Sequoia 15.3 y macOS Sonoma 14.7.3. Es posible que una aplicación pueda acceder a datos confidenciales del usuario.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24096)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Este problema se solucionó mediante con una mejor gestión del estado. Este problema se solucionó en macOS Sequoia 15.3. Una aplicación maliciosa podría tener acceso a archivos arbitrarios.
  • Vulnerabilidad en macOS Ventura, macOS Sequoia y macOS Sonoma (CVE-2025-24100)
    Severidad: BAJA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de lógica mejorando las restricciones. Este problema se solucionó en macOS Ventura 13.7.3, macOS Sequoia 15.3 y macOS Sonoma 14.7.3. Es posible que una aplicación pueda acceder a información sobre los contactos de un usuario.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-24104)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Este problema se solucionó con una gestión mejorada de los enlaces simbólicos. Este problema se solucionó en iPadOS 17.7.4, iOS 18.3 y iPadOS 18.3. Restaurar un archivo de copia de seguridad manipulado malintencionado puede provocar la modificación de archivos sistema protegidos.
  • Vulnerabilidad en macOS Sequoia, tvOS, watchOS, iOS y iPadOS (CVE-2025-24107)
    Severidad: ALTA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de permisos con restricciones adicionales. Este problema se solucionó en macOS Sequoia 15.3, tvOS 18.3, watchOS 11.3, iOS 18.3 y iPadOS 18.3. Una aplicación maliciosa podría obtener privilegios de superusuario.
  • Vulnerabilidad en macOS Sequoia y macOS Sonoma (CVE-2025-24112)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con comprobaciones mejoradas. Este problema se solucionó en macOS Sequoia 15.3 y macOS Sonoma 14.7.3. El análisis de un archivo puede provocar la finalización inesperada de una aplicación.
  • Vulnerabilidad en macOS Sequoia, Safari, iOS, iPadOS y visionOS (CVE-2025-24113)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó con una interfaz de usuario mejorada. Este problema se solucionó en macOS Sequoia 15.3, Safari 18.3, iOS 18.3 y iPadOS 18.3, visionOS 2.3. Visitar un sitio web malicioso puede provocar la suplantación de la interfaz de usuario.
  • Vulnerabilidad en visionOS, iOS, iPadOS, macOS Sequoia, watchOSy tvOS (CVE-2025-24131)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó mejorando la gestión de la memoria. Este problema se solucionó en visionOS 2.3, iOS 18.3 y iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3 y tvOS 18.3. Un atacante en una posición privilegiada podría realizar una denegación de servicio.
  • Vulnerabilidad en macOS Sonoma, macOS Sequoia y macOS Ventura (CVE-2025-24136)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Este problema se solucionó con una validación mejorada de los enlaces simbólicos. Este problema se solucionó en macOS Ventura 13.7.3, macOS Sequoia 15.3 y macOS Sonoma 14.7.3. Una aplicación malintencionada podría crear enlaces simbólicos a regiones protegidas del disco.
  • Vulnerabilidad en macOS Sequoia (CVE-2025-24140)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Este problema se solucionó mediante con una mejor gestión del estado. Este problema se solucionó en macOS Sequoia 15.3. Es posible que los archivos descargados de Internet no tengan aplicada la marca de cuarentena.
  • Vulnerabilidad en iOS y iPadOS (CVE-2025-24141)
    Severidad: BAJA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de autenticación con con una mejor gestión del estado. Este problema se solucionó en iOS 18.3 y iPadOS 18.3. Un atacante con acceso físico a un dispositivo desbloqueado podría acceder a Fotos mientras la aplicación está bloqueada.
  • Vulnerabilidad en macOS Sequoia, Safari, iOS, iPadOS y visionOS (CVE-2025-24143)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    El problema se solucionó mejorando las restricciones de acceso al archivo sistema. Este problema se solucionó en macOS Sequoia 15.3, Safari 18.3, iOS 18.3 y iPadOS 18.3, visionOS 2.3. Una página web malintencionada manipulado puede tomar la huella digital del usuario.
  • Vulnerabilidad en macOS Sequoia, iOS y iPadOS (CVE-2025-24145)
    Severidad: BAJA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de privacidad con una mejor redacción de datos privados para las entradas de registro. Este problema se solucionó en macOS Sequoia 15.3, iOS 18.3 y iPadOS 18.3. Es posible que una aplicación pueda ver el número de teléfono de un contacto en los registros de sistema.
  • Vulnerabilidad en macOS Sequoia, Safari, iOS y iPadOS (CVE-2025-24150)
    Severidad: ALTA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 30/01/2025
    Se solucionó un problema de privacidad mejorando la gestión de archivos. Este problema se solucionó en macOS Sequoia 15.3, Safari 18.3, iOS 18.3 y iPadOS 18.3. Copiar una URL desde Web Inspector puede provocar la inyección de comandos.
  • Vulnerabilidad en Eventer para WordPress (CVE-2024-11135)
    Severidad: ALTA
    Fecha de publicación: 28/01/2025
    Fecha de última actualización: 30/01/2025
    El complemento Eventer para WordPress es vulnerable a la inyección SQL a través del parámetro 'event' en la función 'eventer_get_attendees' en todas las versiones hasta la 3.9.8 y incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.
  • Vulnerabilidad en ThemeREX Addons para WordPress (CVE-2024-13448)
    Severidad: CRÍTICA
    Fecha de publicación: 28/01/2025
    Fecha de última actualización: 30/01/2025
    El complemento ThemeREX Addons para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función 'trx_addons_uploads_save_data' en todas las versiones hasta la 2.32.3 y incluida. Esto hace posible que atacantes no autenticados carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
  • Vulnerabilidad en WS Form LITE – Drag & Drop Contact Form Builder for WordPress para WordPress (CVE-2024-13509)
    Severidad: ALTA
    Fecha de publicación: 28/01/2025
    Fecha de última actualización: 30/01/2025
    El complemento WS Form LITE – Drag & Drop Contact Form Builder for WordPress para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro url en todas las versiones hasta la 1.10.13 y incluida, debido a un escape de entrada desinfección y de salida insuficiente. Esto permite que atacantes no autenticados inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. NOTA: Esta vulnerabilidad se solucionó parcialmente en la versión 1.10.13 y se solucionó por completo en la versión 1.10.14.
  • Vulnerabilidad en MailUp Auto Subscription para WordPress (CVE-2024-13521)
    Severidad: MEDIA
    Fecha de publicación: 28/01/2025
    Fecha de última actualización: 30/01/2025
    El complemento MailUp Auto Subscription para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.1.0 y incluida. Esto se debe a una validación de nonce incorrecta o faltante en la función mas_options. Esto hace posible que atacantes no autenticados actualicen configuraciones e inyecten contenido web malicioso scripts a través de una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en ElementsKit Pro para WordPress (CVE-2025-0321)
    Severidad: MEDIA
    Fecha de publicación: 28/01/2025
    Fecha de última actualización: 30/01/2025
    El complemento ElementsKit Pro para WordPress es vulnerable a Cross-Site Scripting Almacenado basado en DOM a través del parámetro ‘url’ en todas las versiones hasta la incluida 3.7.8 debido a un escape de entrada desinfección y salida insuficiente. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Philantro – Donations and Donor Management para WordPress (CVE-2024-13527)
    Severidad: MEDIA
    Fecha de publicación: 28/01/2025
    Fecha de última actualización: 30/01/2025
    El complemento Philantro – Donations and Donor Management para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los códigos cortos del complemento como 'donate' en todas las versiones hasta incluida, 5.3 debido a la falta de entrada desinfección y la salida que se escapa en los atributos proporcionados por el usuario. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en las páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.