Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Brainstorm Force Ultimate Addons para Beaver Builder (CVE-2023-51401)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 13/05/2025
    La limitación incorrecta de un nombre de ruta a una vulnerabilidad de directorio restringido ("Path Traversal") en Brainstorm Force Ultimate Addons para Beaver Builder permite el path traversal relativo. Este problema afecta a Ultimate Addons para Beaver Builder: desde n/a hasta 1.35.13.
  • Vulnerabilidad en WPMU DEV Defender Security (CVE-2024-25595)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 13/05/2025
    La vulnerabilidad de omisión de autenticación mediante suplantación de identidad en WPMU DEV Defender Security permite la omisión de funcionalidad. Este problema afecta a Defender Security: desde n/a hasta 4.4.1.
  • Vulnerabilidad en Rocketsoft Rocket LMS 1.9 (CVE-2024-34241)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 13/05/2025
    Una vulnerabilidad de Cross Site Scripting (XSS) en Rocketsoft Rocket LMS 1.9 permite a un administrador almacenar un payload de JavaScript utilizando la interfaz web de administración al crear nuevos cursos y notificaciones de nuevos cursos.
  • Vulnerabilidad en LuckyWP Table of Contents de WordPress (CVE-2024-2218)
    Severidad: MEDIA
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 13/05/2025
    El complemento LuckyWP Table of Contents de WordPress hasta la versión 2.1.4 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio)
  • Vulnerabilidad en Pray For Me de WordPress (CVE-2024-3965)
    Severidad: MEDIA
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 13/05/2025
    El complemento Pray For Me de WordPress hasta la versión 1.0.4 no tiene activada la verificación CSRF al actualizar su configuración, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los cambie mediante un ataque CSRF.
  • Vulnerabilidad en AZAN Plugin de WordPress (CVE-2024-3993)
    Severidad: MEDIA
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 13/05/2025
    El complemento AZAN Plugin de WordPress hasta la versión 0.6 no tiene verificación CSRF en algunos lugares y le falta sanitización y escape, lo que podría permitir a los atacantes hacer que el administrador registrado agregue payloads XSS almacenado a través de un ataque CSRF.
  • Vulnerabilidad en SVGator de WordPress (CVE-2024-4271)
    Severidad: MEDIA
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 13/05/2025
    El complemento SVGator de WordPress hasta la versión 1.2.6 no sanitiza el contenido del archivo SVG, lo que permite a los usuarios con al menos el rol de autor de SVG con JavaScript malicioso realizar ataques XSS almacenado.
  • Vulnerabilidad en WP Prayer II de WordPress (CVE-2024-4480)
    Severidad: MEDIA
    Fecha de publicación: 14/06/2024
    Fecha de última actualización: 13/05/2025
    El complemento WP Prayer II de WordPress hasta la versión 2.4.7 no tiene activada la verificación CSRF al actualizar su configuración de correo electrónico, lo que podría permitir a los atacantes hacer que un administrador que haya iniciado sesión los cambie mediante un ataque CSRF.
  • Vulnerabilidad en Popup Builder de WordPress (CVE-2024-3236)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2024
    Fecha de última actualización: 13/05/2025
    El complemento Popup Builder de WordPress anterior a 1.1.33 no sanitiza ni escapa a algunos de sus campos de notificación, lo que podría permitir a usuarios como colaborador y superiores realizar ataques de Cross-Site Scripting Almacenado.
  • Vulnerabilidad en Post Grid Gutenberg Blocks and WordPress Blog Plugin de WordPress (CVE-2024-4305)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2024
    Fecha de última actualización: 13/05/2025
    El complemento Post Grid Gutenberg Blocks and WordPress Blog Plugin de WordPress anterior a 4.1.0 no valida ni escapa algunas de sus opciones de bloqueo antes de devolverlas a una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior para realizar ataques de Cross-Site Scripting Almacenado