Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Patchstack (CVE-2023-25983)
    Severidad: ALTA
    Fecha de publicación: 07/11/2023
    Fecha de última actualización: 11/02/2025
    Neutralización inadecuada de elementos de fórmula en una vulnerabilidad de CSV File en WPOmnia KB Support. Este problema afecta a KB Support: desde n/a hasta 1.5.84.
  • Vulnerabilidad en SCALANCE (CVE-2023-44322)
    Severidad: BAJA
    Fecha de publicación: 14/11/2023
    Fecha de última actualización: 11/02/2025
    Se ha identificado una vulnerabilidad en: SCALANCE XB205-3 (SC, PN) (V < 4.5), SCALANCE XB205-3 (ST, E/IP) (V < 4.5), SCALANCE XB205-3 (ST , E/IP) (V < 4.5), SCALANCE XB205-3 (ST, PN) (V < 4.5), SCALANCE XB205-3LD (SC, E/IP) (V < 4.5 ), SCALANCE XB205-3LD (SC, PN) (V < 4.5), SCALANCE XB208 (E/IP) (V < 4.5), SCALANCE XB208 (PN) (V < 4.5), SCALANCE XB213-3 (SC, E/IP) (V < 4.5), SCALANCE XB213-3 (SC, PN) (V < 4.5), SCALANCE XB213-3 (ST, E/IP) ( V < 4.5), SCALANCE XB213-3 (ST, PN) (V < 4.5), SCALANCE XB213-3LD (SC, E/IP) (V < 4.5), SCALANCE XB213-3LD (SC, PN) (V < 4.5), SCALANCE XB216 (E/IP) (V < 4.5), SCALANCE XB216 (PN) (V < 4.5), SCALANCE XC206-2 (SC ) (V < 4.5), SCALANCE XC206-2 (ST/BFOC) (V < 4.5), SCALANCE XC206-2G PoE (V < 4.5), SCALANCE XC206-2G PoE (54 V DC) (V < 4.5), SCALANCE XC206-2G PoE EEC (54 V DC) (V < 4.5), SCALANCE XC206-2SFP (V < 4.5), SCALANCE XC206-2SFP EEC ( V < 4.5), SCALANCE XC206-2SFP G (V < 4.5), SCALANCE XC206-2SFP G (EIP DEF.) (V < 4.5), SCALANCE XC206-2SFP G EEC (V < 4.5), SCALANCE XC208 (V < 4.5), SCALANCE XC208EEC (V < 4.5), SCALANCE XC208G (V < 4.5), SCALANCE XC208G (EIP def.) (V < 4.5), SCALANCE XC208G EEC (V < 4.5), SCALANCE XC208G PoE (V < 4.5), SCALANCE XC208G PoE (54 V DC) (V < 4.5), SCALANCE XC216 (V < 4.5), SCALANCE XC216-3G PoE (V < 4.5), SCALANCE XC216-3G PoE (54 V DC) (V < 4.5), SCALANCE XC216-4C (V < 4. 5), SCALANCE XC216-4C G (V < 4.5), SCALANCE XC216-4C G (EIP Def.) (V < 4.5), SCALANCE XC216-4C G EEC (V < 4.5) , SCALANCE XC216EEC (V < 4.5), SCALANCE XC224 (V < 4.5), SCALANCE XC224-4C G (V < 4.5), SCALANCE XC224-4C G (EIP Def.) (V < 4.5), SCALANCE XC224-4C G EEC (V < 4.5), SCALANCE XF204 (V < 4.5), SCALANCE XF204 DNA (V < 4.5), SCALANCE XF204-2BA (V < 4.5), SCALANCE XF204-2BA DNA (V < 4.5), SCALANCE XP208 (V < 4.5), SCALANCE XP208 (Ethernet/IP) (V < 4.5), SCALANCE XP208EEC (V < 4.5), SCALANCE XP208PoE EEC (V < 4.5), SCALANCE XP216 (V < 4.5), SCALANCE XP216 (Ethernet/IP) (V < 4.5), SCALANCE XP216EEC (V < 4.5), SCALANCE XP216POE EEC (V < 4.5), SCALANCE XR324WG (24 x FE, AC 230V) (V < 4.5), SCALANCE XR324WG (24 X FE, DC 24V) (V < 4.5), SCALANCE XR326-2C PoE WG (V < 4.5), SCALANCE XR326-2C PoE WG (sin UL) (V < 4.5), SCALANCE XR328-4C WG (24XFE , 4XGE, 24V) (V < 4.5), SCALANCE XR328-4C WG (24xFE, 4xGE,DC24V) (V < 4.5), SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (V < 4.5), SCALANCE XR328-4C WG (24xFE,4xGE,AC230V) (V < 4.5), SCALANCE XR328-4C WG (28xGE, AC 230V) (V < 4.5), SCALANCE XR328- 4C WG (28xGE, DC 24V) (V < 4.5), SIPLUS NET SCALANCE XC206-2 (V < 4.5), SIPLUS NET SCALANCE XC206-2SFP (V < 4.5), SIPLUS NET SCALANCE XC208 (V < 4.5), SIPLUS NET SCALANCE XC216-4C (V < 4.5). Los dispositivos afectados se pueden configurar para enviar correos electrónicos cuando ocurren ciertos eventos en el dispositivo. Cuando se presenta una respuesta no válida del servidor SMTP, el dispositivo genera un error que interrumpe el envío de correo electrónico. Un atacante con acceso a la red puede usar esto para desactivar la notificación a los usuarios cuando ocurren ciertos eventos.
  • Vulnerabilidad en WPOmnia KB Support – WordPress Help Desk and Knowledge Base (CVE-2023-37890)
    Severidad: MEDIA
    Fecha de publicación: 30/11/2023
    Fecha de última actualización: 11/02/2025
    Vulnerabilidad de autorización faltante en WPOmnia KB Support – WordPress Help Desk and Knowledge Base permite Accessing Functionality Not Properly Constrained by ACLs. Los usuarios con un rol tan bajo como suscriptor pueden ver a otros clientes. Este problema afecta a KB Support – WordPress Help Desk and Knowledge Base: desde n/a hasta 1.5.88.
  • Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3348)
    Severidad: ALTA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 11/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 y clasificada como crítica. Una función desconocida del archivo booking/index.php es afectada por esta vulnerabilidad. La manipulación del argumento log_email/log_pword conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259452.
  • Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3349)
    Severidad: ALTA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 11/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 y clasificada como crítica. Una función desconocida del archivo admin/login.php es afectada por esta vulnerabilidad. La manipulación del argumento email conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259453.
  • Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3350)
    Severidad: ALTA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 11/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 y clasificada como crítica. Una función desconocida del archivo admin/mod_room/index.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259454 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3351)
    Severidad: ALTA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 11/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo admin/mod_roomtype/index.php. La manipulación del argumento id conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259455.
  • Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3352)
    Severidad: ALTA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 11/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo admin/mod_comments/index.php. La manipulación del argumento id conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259456.
  • Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3354)
    Severidad: ALTA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 11/02/2025
    Se encontró una vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo admin/mod_users/index.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259458 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3355)
    Severidad: ALTA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 11/02/2025
    Se encontró una vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0. Ha sido declarada crítica. Una funcionalidad desconocida del archivo admin/mod_users/controller.php?action=add es afectada por esta vulnerabilidad. La manipulación del nombre del argumento conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259459.
  • Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3356)
    Severidad: ALTA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 11/02/2025
    Se encontró una vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0. Ha sido calificada como crítica. Una función desconocida del archivo admin/mod_settings/controller.php?action=add es afectada por esta vulnerabilidad. La manipulación del tipo de argumento conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259460.
  • Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3357)
    Severidad: BAJA
    Fecha de publicación: 05/04/2024
    Fecha de última actualización: 11/02/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 y se ha clasificado como problemática. Esto afecta a una parte desconocida del archivo admin/mod_reports/index.php. La manipulación del final del argumento conduce a cross-site scripting. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259461.
  • Vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 (CVE-2024-3358)
    Severidad: BAJA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 11/02/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Aplaya Beach Resort Online Reservation System 1.0 y se ha clasificado como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo /index.php. La manipulación del argumento conduce a cross-site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259462 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Human Resource Information System 1.0 (CVE-2024-3414)
    Severidad: BAJA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 11/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Human Resource Information System 1.0 y clasificada como problemática. Este problema afecta un procesamiento desconocido del archivo Superadmin_Dashboard/process/addcorporate_process.php. La manipulación del argumento nombre_corporativo conduce a cross-site scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259583.
  • Vulnerabilidad en SourceCodester Human Resource Information System 1.0 (CVE-2024-3415)
    Severidad: BAJA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 11/02/2025
    Se encontró una vulnerabilidad en SourceCodester Human Resource Information System 1.0. Ha sido clasificada como problemática. Una función desconocida del archivo Superadmin_Dashboard/process/addbranches_process.php es afectada por esta vulnerabilidad. La manipulación del argumento nombre_ramas conduce a cross-site scripting. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259584.
  • Vulnerabilidad en POSIMYTH The Plus Addons para Elementor Page Builder Lite (CVE-2024-53823)
    Severidad: MEDIA
    Fecha de publicación: 06/12/2024
    Fecha de última actualización: 11/02/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en POSIMYTH The Plus Addons para Elementor Page Builder Lite permite XSS basado en DOM. Este problema afecta a The Plus Addons para Elementor Page Builder Lite: desde n/a hasta 5.6.14.
  • Vulnerabilidad en WP Crowdfunding para WordPress (CVE-2024-11910)
    Severidad: MEDIA
    Fecha de publicación: 13/12/2024
    Fecha de última actualización: 11/02/2025
    El complemento WP Crowdfunding para WordPress es vulnerable a Cross-Site Scripting almacenado a través del bloque wp-crowdfunding/search en todas las versiones hasta la 2.1.12 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador o superior, inyecten web scripts arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en WP Crowdfunding para WordPress (CVE-2024-11911)
    Severidad: MEDIA
    Fecha de publicación: 13/12/2024
    Fecha de última actualización: 11/02/2025
    El complemento WP Crowdfunding para WordPress es vulnerable a la instalación no autorizada de complementos debido a una verificación de capacidad faltante en la acción de la función install_woocommerce_plugin() en todas las versiones hasta la 2.1.12 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, instalen WooCommerce. Esto tiene un impacto limitado en la mayoría de los sitios porque WooCommerce es un requisito.
  • Vulnerabilidad en Themeum WP Crowdfunding (CVE-2023-41870)
    Severidad: MEDIA
    Fecha de publicación: 13/12/2024
    Fecha de última actualización: 11/02/2025
    La vulnerabilidad de autorización faltante en Themeum WP Crowdfunding permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a WP Crowdfunding: desde n/a hasta 2.1.5.
  • Vulnerabilidad en SourceCodester Task Reminder System 1.0 (CVE-2025-0464)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 11/02/2025
    Se encontró una vulnerabilidad en SourceCodester Task Reminder System 1.0. Se la ha declarado problemática. Esta vulnerabilidad afecta a una funcionalidad desconocida del componente Maintenance Section. La manipulación del argumento System Name conduce a Cross Site Scripting. El ataque se puede lanzar de forma remota. El exploit se ha revelado al público y puede utilizarse.
  • Vulnerabilidad en Photoshop Desktop (CVE-2025-21122)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 11/02/2025
    Las versiones 25.12, 26.1 y anteriores de Photoshop Desktop se ven afectadas por una vulnerabilidad de desbordamiento de enteros (Wrap o Wraparound) que podría provocar la ejecución de código arbitrario en el contexto del usuario actual. Para explotar este problema es necesaria la interacción del usuario, ya que la víctima debe abrir un archivo malicioso.
  • Vulnerabilidad en Photoshop Desktop (CVE-2025-21127)
    Severidad: ALTA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 11/02/2025
    Las versiones 25.12, 26.1 y anteriores de Photoshop Desktop se ven afectadas por una vulnerabilidad del elemento uncontrolled search path que podría provocar la ejecución de código arbitrario. Un atacante podría manipular la variable de entorno de la ruta de búsqueda para que apunte a una librería maliciosa, lo que provocaría la ejecución de código arbitrario cuando se carga la aplicación. La explotación de este problema requiere la interacción del usuario, ya que la víctima debe ejecutar la aplicación vulnerable.