Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en SourceCodester Online Courseware 1.0 (CVE-2024-3423)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2024
    Fecha de última actualización: 31/01/2025
    Se encontró una vulnerabilidad en SourceCodester Online Courseware 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo admin/activateteach.php. La manipulación del selector de argumentos conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259595.
  • Vulnerabilidad en Simple Job Board para WordPress (CVE-2024-1813)
    Severidad: CRÍTICA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El complemento Simple Job Board para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 2.11.0 incluida a través de la deserialización de entradas que no son de confianza en la función job_board_applicant_list_columns_value. Esto hace posible que atacantes no autenticados inyecten un objeto PHP. Si una cadena POP está presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código cuando se vea una solicitud de empleo enviada.
  • Vulnerabilidad en RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login para WordPress (CVE-2024-1991)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El complemento RegistrationMagic – Custom Registration Forms, User Registration, Payment, and User Login para WordPress es vulnerable a una escalada de privilegios debido a una falta de verificación de capacidad en la función update_users_role() en todas las versiones hasta la 5.3.0.0 incluida. Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y superior, escale sus privilegios al de administrador.
  • Vulnerabilidad en Elementor Website Builder – More than Just a Page Builder para WordPress (CVE-2024-2117)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El complemento Elementor Website Builder – More than Just a Page Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget de ruta del complemento en todas las versiones hasta la 3.20.2 incluida debido a una salida insuficiente que se escapa en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en JetWidgets For Elementor para WordPress (CVE-2024-2138)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El complemento JetWidgets For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget Animated Box en todas las versiones hasta la 1.0.15 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE para WordPress (CVE-2024-2226)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El complemento Otter Blocks – Gutenberg Blocks, Page Builder for Gutenberg Editor & FSE para WordPress son vulnerables a Cross-Site Scripting Almacenado a través del parámetro id en el bloque google-map en todas las versiones hasta la 2.6.4 incluida debido a una insuficiencia higienización de insumos y escape de salidas. Esto hace posible que atacantes autenticados con acceso de colaborador y superior inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Cards for Beaver Builder para WordPress (CVE-2024-2305)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El complemento Cards for Beaver Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del enlace BootstrapCard en todas las versiones hasta la 1.1.2 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Link Library para WordPress (CVE-2024-2325)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El complemento Link Library para WordPress es vulnerable a Reflected Cross-Site Scripting a través del parámetro searchll en todas las versiones hasta la 7.6.6 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Avada para WordPress (CVE-2024-2340)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El tema Avada para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 7.11.6 incluida a través del directorio '/wp-content/uploads/fusion-forms/'. Esto hace posible que atacantes no autenticados extraigan datos confidenciales cargados a través de un formulario creado por Avada con un mecanismo de carga de archivos.
  • Vulnerabilidad en Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin para WordPress (CVE-2024-2341)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El complemento Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin para WordPress es vulnerable a la inyección SQL a través del parámetro claves en todas las versiones hasta la 1.6.7.7 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en el consulta SQL existente. Esto hace posible que los atacantes autenticados, con acceso de suscriptor y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin para WordPress (CVE-2024-2342)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El complemento Appointment Booking Calendar — Simply Schedule Appointments Booking Plugin para WordPress es vulnerable a la inyección SQL a través del parámetro customer_id en todas las versiones hasta la 1.6.7.7 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en el consulta SQL existente. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en Avada | Website Builder For WordPress & WooCommerce para WordPress (CVE-2024-2343)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 31/01/2025
    El tema Avada | Website Builder For WordPress & WooCommerce para WordPress es vulnerable a Server-Side Request Forgery en todas las versiones hasta la 7.11.6 incluida a través de la función form_to_url_action. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, realicen solicitudes web a ubicaciones arbitrarias que se originan en la aplicación web y pueden usarse para consultar y modificar información de servicios internos.