Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Jan-Peter Lambeck y 3UU Shariff Wrapper (CVE-2024-29109)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 09/05/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Jan-Peter Lambeck y 3UU Shariff Wrapper permite almacenar XSS. Este problema afecta a Shariff Wrapper: desde n/a hasta 4.6.10.
  • Vulnerabilidad en Shariff Wrapper para WordPress (CVE-2023-6500)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 09/05/2025
    El complemento Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado 'shariff' del complemento en todas las versiones hasta la 4.6.9 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en atributos proporcionados por el usuario como "color secundario" y 'color principal'. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Shariff Wrapper para WordPress (CVE-2024-0966)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 09/05/2025
    El complemento Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado 'shariff' del complemento en todas las versiones hasta la 4.6.9 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en atributos proporcionados por el usuario como 'info_text'. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada y haga clic en el icono de información.
  • Vulnerabilidad en Shariff Wrapper para WordPress (CVE-2024-1450)
    Severidad: MEDIA
    Fecha de publicación: 21/03/2024
    Fecha de última actualización: 09/05/2025
    El complemento Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado 'shariff' del complemento en todas las versiones hasta la 4.6.10 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en atributos proporcionados por el usuario como "alinear" . Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Post Grid, Form Maker, Popup Maker, WooCommerce Blocks, Post Blocks, Post Carousel de WordPress (CVE-2024-0881)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 09/05/2025
    El complemento Post Grid, Form Maker, Popup Maker, WooCommerce Blocks, Post Blocks, Post Carousel de WordPress anterior a 2.2.76 no impide que se muestren publicaciones protegidas con contraseña como resultado de algunas acciones AJAX no autenticadas, lo que permite a usuarios no autenticados leer dichas publicaciones.
  • Vulnerabilidad en WP User Profile Avatar de WordPress (CVE-2023-6067)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 09/05/2025
    El complemento WP User Profile Avatar de WordPress hasta 1.0.1 no valida ni escapa algunos de sus atributos de shortcode antes de devolverlos a una página/publicación donde está incrustado el shortcode, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting Almacenado.
  • Vulnerabilidad en EasyEvent WordPress (CVE-2024-3628)
    Severidad: BAJA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 09/05/2025
    El complemento EasyEvent WordPress hasta la versión 1.0.0 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, realizar ataques de cross site scripting incluso cuando unfiltered_html no está permitido.
  • Vulnerabilidad en Shariff Wrapper para WordPress (CVE-2024-2695)
    Severidad: MEDIA
    Fecha de publicación: 15/06/2024
    Fecha de última actualización: 09/05/2025
    El complemento Shariff Wrapper para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado 'shariff' del complemento en todas las versiones hasta la 4.6.13 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en atributos proporcionados por el usuario como "borderradius" y 'marca de tiempo'. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en EOL GeoVision (CVE-2024-6047)
    Severidad: CRÍTICA
    Fecha de publicación: 17/06/2024
    Fecha de última actualización: 09/05/2025
    Ciertos dispositivos EOL GeoVision no filtran adecuadamente la entrada del usuario para la funcionalidad específica. Los atacantes remotos no autenticados pueden aprovechar esta vulnerabilidad para inyectar y ejecutar comandos arbitrarios del sistema en el dispositivo.
  • Vulnerabilidad en Shariff Wrapper para WordPress (CVE-2024-4098)
    Severidad: CRÍTICA
    Fecha de publicación: 20/06/2024
    Fecha de última actualización: 09/05/2025
    El complemento Shariff Wrapper para WordPress es vulnerable a la inclusión de archivos locales en versiones hasta la 4.6.13 incluida a través de la función shariff3uu_fetch_sharecounts. Esto permite a atacantes no autenticados incluir y ejecutar archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en los casos en que se puedan cargar e incluir imágenes y otros tipos de archivos "seguros".
  • Vulnerabilidad en Centreon Web (CVE-2024-32501)
    Severidad: CRÍTICA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 09/05/2025
    Existe una vulnerabilidad de inyección SQL en la funcionalidad updateServiceHost en Centreon Web 24.04.x anterior a 24.04.3, 23.10.x anterior a 23.10.13, 23.04.x anterior a 23.04.19 y 22.10.x anterior a 22.10.23.
  • Vulnerabilidad en Centreon Web (CVE-2024-33852)
    Severidad: CRÍTICA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 09/05/2025
    Existe una vulnerabilidad de inyección SQL en el componente Tiempo de inactividad en Centreon Web 24.04.x anterior a 24.04.3, 23.10.x anterior a 23.10.13, 23.04.x anterior a 23.04.19 y 22.10.x anterior a 22.10.23.
  • Vulnerabilidad en Centreon Web (CVE-2024-33853)
    Severidad: CRÍTICA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 09/05/2025
    Existe una vulnerabilidad de inyección SQL en el componente Timeperiod en Centreon Web 24.04.x anterior a 24.04.3, 23.10.x anterior a 23.10.13, 23.04.x anterior a 23.04.19 y 22.10.x anterior a 22.10.23.
  • Vulnerabilidad en Centreon Web (CVE-2024-33854)
    Severidad: CRÍTICA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 09/05/2025
    Existe una vulnerabilidad de inyección SQL en el componente Graph Template en Centreon Web 24.04.x anterior a 24.04.3, 23.10.x anterior a 23.10.13, 23.04.x anterior a 23.04.19 y 22.10.x anterior a 22.10.23.
  • Vulnerabilidad en Centreon Web (CVE-2024-39841)
    Severidad: ALTA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 09/05/2025
    Existe una vulnerabilidad de inyección SQL en la funcionalidad de configuración del servicio en Centreon Web 24.04.x anterior a 24.04.3, 23.10.x anterior a 23.10.13, 23.04.x anterior a 23.04.19 y 22.10.x anterior a 22.10.23.
  • Vulnerabilidad en YesWiki (CVE-2024-51478)
    Severidad: CRÍTICA
    Fecha de publicación: 31/10/2024
    Fecha de última actualización: 09/05/2025
    YesWiki es un sistema wiki escrito en PHP. Antes de la versión 4.4.5, el uso de un algoritmo criptográfico débil y una sal codificada de forma rígida para codificar la clave de restablecimiento de contraseña permite recuperarla y usarla para restablecer la contraseña de cualquier cuenta. Este problema se solucionó en la versión 4.4.5.
  • Vulnerabilidad en D-LINK DI-8400 v16.07.26A1 (CVE-2024-52739)
    Severidad: ALTA
    Fecha de publicación: 20/11/2024
    Fecha de última actualización: 09/05/2025
    Se descubrió que D-LINK DI-8400 v16.07.26A1 contenía múltiples vulnerabilidades de ejecución remota de comandos (RCE) en la función msp_info_htm a través de los parámetros flag y cmd.