Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en ownCloud (CVE-2014-2049)
    Severidad: Pendiente de análisis
    Fecha de publicación: 14/03/2014
    Fecha de última actualización: 31/03/2025
    Las políticas de Flash Cross Domain por defecto en ownCloud anterior a 5.0.15 y 6.x anterior a 6.0.2 permite a atacantes remotos acceder a archivos de usuario a través de vectores no especificados.
  • Vulnerabilidad en Sourcecodester php task management system v1.0 (CVE-2024-28556)
    Severidad: CRÍTICA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 31/03/2025
    Vulnerabilidad de inyección SQL en Sourcecodester php task management system v1.0, permite a atacantes remotos ejecutar código arbitrario, escalar privilegios y obtener información confidencial a través de un payload manipulado en admin-manage-user.php.
  • Vulnerabilidad en Sourcecodester php task management system v1.0 (CVE-2024-28557)
    Severidad: CRÍTICA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 31/03/2025
    Vulnerabilidad de inyección SQL en Sourcecodester php task management system v1.0, permite a atacantes remotos ejecutar código arbitrario, escalar privilegios y obtener información confidencial a través de un payload manipulado en update-admin.php.
  • Vulnerabilidad en Firefox (CVE-2024-3853)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 31/03/2025
    Podría producirse un use-after-free si un dominio de JavaScript estaba en proceso de inicialización cuando comenzó una recolección de basura. Esta vulnerabilidad afecta a Firefox < 125.
  • Vulnerabilidad en Firefox (CVE-2024-3855)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 31/03/2025
    En ciertos casos, el JIT optimizó incorrectamente las operaciones de MSubstr, lo que provocó lecturas fuera de los límites. Esta vulnerabilidad afecta a Firefox < 125.
  • Vulnerabilidad en Firefox (CVE-2024-3856)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 31/03/2025
    Podría ocurrir un use-after-free durante la ejecución de WASM si se ejecutó la recolección de basura durante la creación de una matriz. Esta vulnerabilidad afecta a Firefox < 125.
  • Vulnerabilidad en Firefox (CVE-2024-3858)
    Severidad: ALTA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 31/03/2025
    Era posible mutar un objeto JavaScript para que el JIT pudiera fallar mientras lo rastreaba. Esta vulnerabilidad afecta a Firefox < 125.
  • Vulnerabilidad en Firefox (CVE-2024-3860)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 31/03/2025
    Una condición de falta de memoria durante la inicialización del objeto podría dar como resultado una lista de formas vacía. Si el JIT posteriormente rastreara el objeto, éste se estrellaría. Esta vulnerabilidad afecta a Firefox < 125.
  • Vulnerabilidad en Firefox (CVE-2024-3862)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2024
    Fecha de última actualización: 31/03/2025
    El operador de asignación MarkStack, parte del motor JavaScript, podría acceder a la memoria no inicializada si se usara en una autoasignación. Esta vulnerabilidad afecta a Firefox < 125.
  • Vulnerabilidad en WP-PostRatings (CVE-2024-39659)
    Severidad: MEDIA
    Fecha de publicación: 01/08/2024
    Fecha de última actualización: 31/03/2025
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Lester 'GaMerZ' Chan WP-PostRatings permite XSS almacenado. Este problema afecta a WP-PostRatings: desde n/a hasta 1.91.1.
  • Vulnerabilidad en PHPGurukul Old Age Home Management System v1.0 (CVE-2024-40477)
    Severidad: CRÍTICA
    Fecha de publicación: 12/08/2024
    Fecha de última actualización: 31/03/2025
    Una vulnerabilidad de inyección SQL en "/oahms/admin/forgot-password.php" en PHPGurukul Old Age Home Management System v1.0 permite a un atacante ejecutar comandos SQL arbitrarios a través del parámetro "email".
  • Vulnerabilidad en SEO Plugin by Squirrly SEO (CVE-2024-43286)
    Severidad: ALTA
    Fecha de publicación: 18/08/2024
    Fecha de última actualización: 31/03/2025
    Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en el complemento Squirrly SEO de Squirrly SEO. Este problema afecta a SEO Plugin by Squirrly SEO: desde n/a hasta 12.3.19.
  • Vulnerabilidad en EnvoThemes Envo's Elementor Templates & Widgets for WooCommerce (CVE-2024-43292)
    Severidad: MEDIA
    Fecha de publicación: 18/08/2024
    Fecha de última actualización: 31/03/2025
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en EnvoThemes Envo's Elementor Templates & Widgets for WooCommerce permiten XSS almacenado. Este problema afecta a lEnvo's Elementor Templates & Widgets for WooCommerce: desde n/a hasta 1.4. 16.
  • Vulnerabilidad en Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder para WordPress (CVE-2024-7054)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 31/03/2025
    El complemento Popup Maker – Boost Sales, Conversions, Optins, Subscribers with the Ultimate WP Popups Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro ‘close_text’ en todas las versiones hasta la 1.19.0 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Cisco Identity Services Engine (CVE-2024-20417)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2024
    Fecha de última actualización: 31/03/2025
    Múltiples vulnerabilidades en la API REST de Cisco Identity Services Engine (ISE) podrían permitir que un atacante remoto autenticado realice ataques de inyección SQL ciegos. Estas vulnerabilidades se deben a una validación insuficiente de la entrada proporcionada por el usuario en las llamadas a la API REST. Un atacante podría aprovechar estas vulnerabilidades enviando datos manipulados a un dispositivo afectado. Un exploit exitoso podría permitir al atacante ver o modificar datos en el dispositivo afectado.
  • Vulnerabilidad en Cisco Identity Services Engine (CVE-2024-20466)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2024
    Fecha de última actualización: 31/03/2025
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) podría permitir que un atacante remoto autenticado obtenga información confidencial de un dispositivo afectado. Esta vulnerabilidad se debe a la aplicación inadecuada de niveles de privilegios administrativos para datos confidenciales de alto valor. Un atacante con privilegios de administrador de solo lectura para la interfaz de administración basada en web en un dispositivo afectado podría aprovechar esta vulnerabilidad navegando a una página que contenga datos confidenciales. Un exploit exitoso podría permitir al atacante recopilar información confidencial sobre la configuración del sistema.
  • Vulnerabilidad en Cisco Identity Services Engine (CVE-2024-20486)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2024
    Fecha de última actualización: 31/03/2025
    Una vulnerabilidad en la interfaz de administración basada en web de Cisco Identity Services Engine (ISE) podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de cross-site request forgery (CSRF) y realice acciones arbitrarias en un dispositivo afectado. Esta vulnerabilidad se debe a protecciones CSRF insuficientes para la interfaz de administración basada en web de un dispositivo afectado. Un atacante podría aprovechar esta vulnerabilidad persuadiendo a un usuario de la interfaz para que siga un enlace manipulado. Un exploit exitoso podría permitir al atacante realizar acciones arbitrarias en el dispositivo afectado con los privilegios del usuario objetivo.
  • Vulnerabilidad en DedeCMS V5.7.115 (CVE-2024-42636)
    Severidad: ALTA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 31/03/2025
    DedeCMS V5.7.115 tiene una vulnerabilidad de ejecución de comandos a través de file_manage_view.php?fmdo=newfile&activepath.
  • Vulnerabilidad en CodeAstro MembershipM-PHP (CVE-2024-45528)
    Severidad: MEDIA
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 31/03/2025
    CodeAstro MembershipM-PHP (también conocido como Sistema de gestión de membresía en PHP) 1.0 permite XSS almacenado con el nombre completo en add_members.php.
  • Vulnerabilidad en Dedecms V5.7.115 (CVE-2024-46373)
    Severidad: ALTA
    Fecha de publicación: 18/09/2024
    Fecha de última actualización: 31/03/2025
    Dedecms V5.7.115 contiene una vulnerabilidad de ejecución de código arbitrario a través de carga de archivos en el backend.
  • Vulnerabilidad en Codezips Internal Marks Calculation 1.0 (CVE-2024-9037)
    Severidad: MEDIA
    Fecha de publicación: 20/09/2024
    Fecha de última actualización: 31/03/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en Codezips Internal Marks Calculation 1.0. Se ve afectada una función desconocida del archivo index.php. La manipulación del argumento tid provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse.
  • Vulnerabilidad en PHPGurukul Dairy Farm Shop Management System v1.1 (CVE-2024-46241)
    Severidad: MEDIA
    Fecha de publicación: 23/09/2024
    Fecha de última actualización: 31/03/2025
    PHPGurukul Dairy Farm Shop Management System v1.1 es vulnerable a cross-site scripting (XSS) a través del parámetro pname en add_product.php y edit_product.php.
  • Vulnerabilidad en CodeAstro Membership Management System 1.0 (CVE-2024-46470)
    Severidad: MEDIA
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 31/03/2025
    La vulnerabilidad de cross site scripting en CodeAstro Membership Management System 1.0 permite a los atacantes ejecutar JavaScript malicioso a través del campo membership_type en el componente edit-type.php.
  • Vulnerabilidad en CodeAstro Membership Management System 1.0 (CVE-2024-46471)
    Severidad: ALTA
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 31/03/2025
    El listado de directorios en la carpeta /uploads/ en CodeAstro Membership Management System 1.0 expone la estructura y el contenido de los directorios, revelando potencialmente información confidencial.
  • Vulnerabilidad en CodeAstro Membership Management System 1.0 (CVE-2024-46472)
    Severidad: ALTA
    Fecha de publicación: 27/09/2024
    Fecha de última actualización: 31/03/2025
    CodeAstro Membership Management System 1.0 es vulnerable a la inyección SQL a través del parámetro 'email' en la página de inicio de sesión.
  • Vulnerabilidad en Firefox y Thunderbird (CVE-2024-9403)
    Severidad: ALTA
    Fecha de publicación: 01/10/2024
    Fecha de última actualización: 31/03/2025
    Errores de seguridad de memoria presentes en Firefox 130. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de ellos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox < 131 y Thunderbird < 131.
  • Vulnerabilidad en Firefox (CVE-2024-9936)
    Severidad: MEDIA
    Fecha de publicación: 14/10/2024
    Fecha de última actualización: 31/03/2025
    Al manipular la caché del nodo de selección, un atacante podría haber provocado un comportamiento inesperado, lo que podría derivar en un bloqueo explotable. Esta vulnerabilidad afecta a Firefox < 131.0.3.
  • Vulnerabilidad en Phpgurukul User Registration & Login and User Management System 3.2 (CVE-2024-48278)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 31/03/2025
    Phpgurukul User Registration & Login and User Management System 3.2 es vulnerable a Cross Site Request Forgery (CSRF) a través de /edit-profile.php.
  • Vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3.2 (CVE-2024-48279)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 31/03/2025
    Se encontró una vulnerabilidad de inyección HTML en /search-result.php de PHPGurukul User Registration & Login and User Management System 3.2. Esta vulnerabilidad permite a atacantes remotos ejecutar código HTML arbitrario a través del parámetro searchkey en una solicitud HTTP POST.
  • Vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3.2 (CVE-2024-48280)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 31/03/2025
    Se encontró una vulnerabilidad de inyección SQL en /search-result.php de PHPGurukul User Registration & Login and User Management System 3.2, que permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro fromdate en una solicitud HTTP POST.
  • Vulnerabilidad en PHPGurukul User Registration & Login and User Management System 3.2 (CVE-2024-48282)
    Severidad: ALTA
    Fecha de publicación: 15/10/2024
    Fecha de última actualización: 31/03/2025
    Se encontró una vulnerabilidad de inyección SQL en /password-recovery.php de PHPGurukul User Registration & Login and User Management System 3.2, que permite a atacantes remotos ejecutar comandos SQL arbitrarios para obtener acceso no autorizado a la base de datos a través del parámetro femail en una solicitud HTTP POST.
  • Vulnerabilidad en PHPGurukul Teachers Record Management System v2.1 (CVE-2024-48744)
    Severidad: MEDIA
    Fecha de publicación: 16/10/2024
    Fecha de última actualización: 31/03/2025
    Se encontró una vulnerabilidad de cross-site scripting (XSS) reflejado en /trms/listed-teachers.php en PHPGurukul Teachers Record Management System v2.1, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro de solicitud POST "searchinput".
  • Vulnerabilidad en PHPGurukul Hospital Management System 4.0 (CVE-2024-46238)
    Severidad: MEDIA
    Fecha de publicación: 21/10/2024
    Fecha de última actualización: 31/03/2025
    Existen múltiples vulnerabilidades de Cross Site Scripting (XSS) en PHPGurukul Hospital Management System 4.0 a través del parámetro docname en /admin/add-doctor.php y /admin/edit-doctor.php
  • Vulnerabilidad en PHPGurukul Hospital Management System 4.0 (CVE-2024-46239)
    Severidad: MEDIA
    Fecha de publicación: 21/10/2024
    Fecha de última actualización: 31/03/2025
    Existen múltiples vulnerabilidades de Cross Site Scripting en PHPGurukul Hospital Management System 4.0 a través del parámetro docname en /doctor/edit-profile.php y el parámetro adminremark en /admin/query-details.php.
  • Vulnerabilidad en CodeAstro Membership Management System v1.0 (CVE-2024-46236)
    Severidad: MEDIA
    Fecha de publicación: 21/10/2024
    Fecha de última actualización: 31/03/2025
    CodeAstro Membership Management System v1.0 es vulnerable a Cross Site Scripting (XSS) a través del parámetro de dirección en add_members.php y edit_member.php.
  • Vulnerabilidad en CodeAstro Membership Management System v1.0 (CVE-2024-48709)
    Severidad: MEDIA
    Fecha de publicación: 21/10/2024
    Fecha de última actualización: 31/03/2025
    CodeAstro Membership Management System v1.0 es vulnerable a Cross Site Scripting (XSS) a través del parámetro membershipType en edit_type.php
  • Vulnerabilidad en smp7, wp.Insider Simple Membership (CVE-2024-49682)
    Severidad: MEDIA
    Fecha de publicación: 24/10/2024
    Fecha de última actualización: 31/03/2025
    Vulnerabilidad de redirección de URL a un sitio no confiable ('Redirección abierta') en smp7, wp.Insider Simple Membership permite phishing. Este problema afecta a Simple Membership: desde n/a hasta 4.5.3.
  • Vulnerabilidad en PHPGurukul Doctor Appointment Management System v.1.0 (CVE-2024-48807)
    Severidad: MEDIA
    Fecha de publicación: 30/10/2024
    Fecha de última actualización: 31/03/2025
    La vulnerabilidad de Cross Site Scripting en PHPGurukul Doctor Appointment Management System v.1.0 permite a un atacante local ejecutar código arbitrario a través del parámetro de búsqueda.
  • Vulnerabilidad en Phpgurukul Teachers Record Management System v2.1 (CVE-2024-51063)
    Severidad: CRÍTICA
    Fecha de publicación: 31/10/2024
    Fecha de última actualización: 31/03/2025
    Phpgurukul Teachers Record Management System v2.1 es vulnerable a la inyección SQL en add-teacher.php a través del parámetro mobile number o email.
  • Vulnerabilidad en Phpgurukul Teachers Record Management System v2.1 (CVE-2024-51064)
    Severidad: CRÍTICA
    Fecha de publicación: 31/10/2024
    Fecha de última actualización: 31/03/2025
    Phpgurukul Teachers Record Management System v2.1 es vulnerable a la inyección SQL a través del parámetro tid en admin/queries.php.
  • Vulnerabilidad en Phpgurukul Beauty Parlour Management System v1.1 (CVE-2024-51065)
    Severidad: CRÍTICA
    Fecha de publicación: 31/10/2024
    Fecha de última actualización: 31/03/2025
    Phpgurukul Beauty Parlour Management System v1.1 es vulnerable a la inyección SQL en admin/index.php a través del parámetro username.
  • Vulnerabilidad en NicheAddons Charity Addon for Elementor (CVE-2024-51938)
    Severidad: MEDIA
    Fecha de publicación: 19/11/2024
    Fecha de última actualización: 31/03/2025
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en NicheAddons Charity Addon for Elementor permite XSS basado en DOM. Este problema afecta al complemento Charity para Elementor: desde n/a hasta 1.3.2.
  • Vulnerabilidad en SEO de WordPress de Squirrly SEO Plugin (CVE-2024-10515)
    Severidad: BAJA
    Fecha de publicación: 20/11/2024
    Fecha de última actualización: 31/03/2025
    En el proceso de prueba del complemento SEO de WordPress de Squirrly SEO Plugin anterior a la versión 12.3.21, se encontró una vulnerabilidad que permite implementar XSS almacenado en nombre del editor mediante la incorporación de un script malicioso, lo que implica una puerta trasera de apropiación de cuentas.
  • Vulnerabilidad en Anuj Kumar's Client Management System Version 1.2 (CVE-2024-51209)
    Severidad: MEDIA
    Fecha de publicación: 20/11/2024
    Fecha de última actualización: 31/03/2025
    Las vulnerabilidades de cross site scripting (XSS) en Anuj Kumar's Client Management System Version 1.2 permiten a atacantes locales inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro del campo de entrada de búsqueda en la página de facturas de búsqueda de administrador y en la página de facturas de búsqueda de cliente.
  • Vulnerabilidad en Media Library Assistant para WordPress (CVE-2024-11974)
    Severidad: MEDIA
    Fecha de publicación: 04/01/2025
    Fecha de última actualización: 31/03/2025
    El complemento Media Library Assistant para WordPress es vulnerable a ataques de cross site scripting reflejado a través de los parámetros 'smc_settings_tab', 'unattachfixit-action' y 'woofixit-action' en todas las versiones hasta la 3.23 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes no autenticados inyecten web scripts arbitrarios en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
  • Vulnerabilidad en Suricata (CVE-2024-55605)
    Severidad: ALTA
    Fecha de publicación: 06/01/2025
    Fecha de última actualización: 31/03/2025
    Suricata es un sistema de detección de intrusiones, un sistema de prevención de intrusiones y un motor de monitoreo de seguridad de red. Antes de la versión 7.0.8, un búfer de entrada grande en to_lowercase, to_uppercase, strip_whitespace, compress_whitespace, dotprefix, header_lowercase, strip_pseudo_headers, url_decode o la transformación xor puede generar un desbordamiento de pila que haga que Suricata se bloquee. El problema se ha solucionado en Suricata 7.0.8.
  • Vulnerabilidad en Suricata (CVE-2024-55626)
    Severidad: BAJA
    Fecha de publicación: 06/01/2025
    Fecha de última actualización: 31/03/2025
    Suricata es un sistema de detección de intrusiones, un sistema de prevención de intrusiones y un motor de monitoreo de seguridad de red. Antes de la versión 7.0.8, un archivo de filtro BPF grande proporcionado a Suricata al inicio puede provocar un desbordamiento de búfer al iniciar Suricata. El problema se ha solucionado en Suricata 7.0.8.
  • Vulnerabilidad en Suricata (CVE-2024-55627)
    Severidad: MEDIA
    Fecha de publicación: 06/01/2025
    Fecha de última actualización: 31/03/2025
    Suricata es un sistema de detección de intrusiones, un sistema de prevención de intrusiones y un motor de monitoreo de seguridad de red. Antes de la versión 7.0.8, un flujo TCP especialmente manipulado puede provocar un desbordamiento de búfer muy grande mientras se llena con ceros durante la inicialización con memset debido a un desbordamiento de enteros sin signo. El problema se ha solucionado en Suricata 7.0.8.