Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en FooGallery para WordPress (CVE-2024-2471)
    Severidad: MEDIA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 24/02/2025
    El complemento FooGallery para WordPress es vulnerable a cross-site scripting almacenado a través de campos adjuntos de imágenes (como 'Title', 'Alt Text', 'Custom URL', 'Custom Class' y 'Override Type') en todas las versiones hasta , e incluido, 2.4.14 debido a una sanitización de la entrada y a un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso a nivel de autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Best WordPress Gallery Plugin – FooGallery para WordPress (CVE-2024-2081)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 24/02/2025
    El complemento Best WordPress Gallery Plugin – FooGallery para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la acción foogallery_attachment_modal_save en todas las versiones hasta la 2.4.14 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso a nivel de autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Sydney Toolbox para WordPress (CVE-2024-3208)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 24/02/2025
    El complemento Sydney Toolbox para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget de galería filtrable del complemento en todas las versiones hasta la 1.28 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Best WordPress Gallery Plugin – FooGallery para WordPress (CVE-2023-6947)
    Severidad: ALTA
    Fecha de publicación: 10/12/2024
    Fecha de última actualización: 24/02/2025
    El complemento Best WordPress Gallery Plugin – FooGallery para WordPress, es vulnerable a Directory Traversal en todas las versiones hasta la 2.4.26 incluida. Esto permite que atacantes autenticados, con nivel de colaborador o superior, lean el contenido de carpetas arbitrarias en el servidor, que pueden contener información confidencial como la estructura de carpetas.
  • Vulnerabilidad en 07FLYCMS V1.3.9 (CVE-2024-57160)
    Severidad: MEDIA
    Fecha de publicación: 16/01/2025
    Fecha de última actualización: 24/02/2025
    Se descubrió que 07FLYCMS V1.3.9 contenía Cross-Site Request Forgery (CSRF) a través de /erp.07fly.net:80/oa/OaTask/edit.html.
  • Vulnerabilidad en 07FLYCMS V1.3.9 (CVE-2024-57161)
    Severidad: MEDIA
    Fecha de publicación: 16/01/2025
    Fecha de última actualización: 24/02/2025
    Se descubrió que 07FLYCMS V1.3.9 contenía Cross-Site Request Forgery (CSRF) a través de /erp.07fly.net:80/oa/OaWorkReport/edit.html
  • Vulnerabilidad en Site Search 360 para WordPress (CVE-2024-11780)
    Severidad: MEDIA
    Fecha de publicación: 01/02/2025
    Fecha de última actualización: 24/02/2025
    El complemento Site Search 360 para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode 'ss360-resultblock' del complemento en todas las versiones hasta la 2.1.6 y incluida, debido a la falta de entrada desinfección y al escape de salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en WooCommerce Support Ticket System para WordPress (CVE-2024-13775)
    Severidad: MEDIA
    Fecha de publicación: 01/02/2025
    Fecha de última actualización: 24/02/2025
    El complemento WooCommerce Support Ticket System para WordPress es vulnerable al acceso no autorizado y a la pérdida de datos debido a la falta de comprobaciones de capacidad en las funciones 'ajax_delete_message', 'ajax_get_customers_partial_list' y 'ajax_get_admins_list' en todas las versiones hasta la 17.8 y incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, eliminen publicaciones arbitrarias y lean nombres, correos electrónicos y capacidades de todos los usuarios.
  • Vulnerabilidad en Simple Add Pages or Posts para WordPress (CVE-2024-13850)
    Severidad: MEDIA
    Fecha de publicación: 08/02/2025
    Fecha de última actualización: 24/02/2025
    El complemento Simple Add Pages or Posts para WordPress es vulnerable a Cross-Site Scripting Almacenado en todas las versiones hasta la 2.0.0 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de administrador, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multisitio e instalaciones donde se ha deshabilitado unfiltered_html.
  • Vulnerabilidad en DethemeKit For Elementor para WordPress (CVE-2025-0661)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2025
    Fecha de última actualización: 24/02/2025
    El complemento DethemeKit For Elementor para WordPress es vulnerable a la exposición de información en todas las versiones hasta la 2.36 incluida, a través de la función duplicate_post() debido a restricciones insuficientes sobre qué publicaciones se pueden duplicar. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, extraigan datos de publicaciones protegidas con contraseña, privadas, en borrador o programadas a las que no deberían tener acceso duplicando la publicación.
  • Vulnerabilidad en Customer Email Verification for WooCommerce para WordPress (CVE-2024-13525)
    Severidad: MEDIA
    Fecha de publicación: 15/02/2025
    Fecha de última actualización: 24/02/2025
    El complemento Customer Email Verification for WooCommerce para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 2.9.4 incluida a través de un código corto. Esto permite que atacantes autenticados, con acceso de nivel de colaborador o superior, extraigan datos confidenciales, incluidos correos electrónicos y contraseñas cifradas de cualquier usuario.
  • Vulnerabilidad en Easy MLS Listings Import para WordPress (CVE-2024-12525)
    Severidad: MEDIA
    Fecha de publicación: 18/02/2025
    Fecha de última actualización: 24/02/2025
    El complemento Easy MLS Listings Import para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto de 'listas de homéasepasa de homease' en todas las versiones hasta 2.0.1 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos suministrados por el usuario. Esto hace posible a los atacantes autenticados, con acceso a nivel de contribuyente y superior, para inyectar Web scripts en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.