Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en WP Shortcodes Plugin — Shortcodes Ultimate para WordPress (CVE-2024-1510)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2024
    Fecha de última actualización: 04/02/2025
    El complemento WP Shortcodes Plugin — Shortcodes Ultimate para WordPress es vulnerable a Cross-Site Scripting Almacenado, a través del código abreviado su_tooltip del complemento en todas las versiones hasta la 7.0.2 incluida, debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos y etiquetas proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en 3D FlipBook – PDF Flipbook WordPress para WordPress (CVE-2024-1081)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 04/02/2025
    El complemento 3D FlipBook – PDF Flipbook WordPress para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la función de marcador del complemento en todas las versiones hasta la 1.15.3 incluida, debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Metagauss RegistrationMagic (CVE-2024-29113)
    Severidad: ALTA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 04/02/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Metagauss RegistrationMagic permite Reflected XSS. Este problema afecta a RegistrationMagic: desde n/a hasta 5.2.5.9.
  • Vulnerabilidad en GamiPress – The #1 gamification plugin to reward points, achievements, badges & ranks en WordPress (CVE-2024-1799)
    Severidad: ALTA
    Fecha de publicación: 20/03/2024
    Fecha de última actualización: 04/02/2025
    El complemento GamiPress – The #1 gamification plugin to reward points, achievements, badges & ranks en WordPress, es vulnerable a la inyección SQL a través del atributo 'achievement_types' del shortcode gamipress_earnings en todas las versiones hasta la 6.8.6 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto hace posible que los atacantes autenticados, con acceso de nivel de colaborador y superior, agreguen consultas SQL adicionales a las consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.
  • Vulnerabilidad en Metagauss EventPrime (CVE-2024-24832)
    Severidad: ALTA
    Fecha de publicación: 23/03/2024
    Fecha de última actualización: 04/02/2025
    Vulnerabilidad de autorización faltante en Metagauss EventPrime. Este problema afecta a EventPrime: desde n/a hasta 3.3.9.
  • Vulnerabilidad en BMLT Meeting Map para WordPress (CVE-2024-13593)
    Severidad: ALTA
    Fecha de publicación: 23/01/2025
    Fecha de última actualización: 04/02/2025
    El complemento BMLT Meeting Map para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 2.6.0 incluida, a través del código corto 'bmlt_meeting_map'. Esto permite que atacantes autenticados, con acceso de nivel de colaborador o superior, incluyan y ejecuten archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en casos en los que se puedan cargar e incluir imágenes y otros tipos de archivos "seguros".
  • Vulnerabilidad en Product Table de WBW para WordPress (CVE-2024-13234)
    Severidad: ALTA
    Fecha de publicación: 23/01/2025
    Fecha de última actualización: 04/02/2025
    El complemento Product Table de WBW para WordPress es vulnerable a la inyección SQL a través del parámetro 'additionalCondition' en todas las versiones hasta la 2.1.2 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que atacantes no autenticados agreguen consultas SQL adicionales a consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.
  • Vulnerabilidad en KWHotel 0.47 (CVE-2023-46401)
    Severidad: CRÍTICA
    Fecha de publicación: 23/01/2025
    Fecha de última actualización: 04/02/2025
    KWHotel 0.47 es vulnerable a la inyección de fórmulas CSV en la función de adición de facturas.