Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en wp-eMember anterior de WordPress (CVE-2024-5744)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2024
    Fecha de última actualización: 16/05/2025
    El complemento wp-eMember anterior de WordPress a 10.6.7 no escapa del parámetro $_SERVER['REQUEST_URI'] antes de devolverlo en un atributo, lo que podría generar cross-site scripting reflejado en navegadores web antiguos.
  • Vulnerabilidad en If-So Dynamic Content Personalization de WordPress (CVE-2024-6070)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2024
    Fecha de última actualización: 16/05/2025
    El complemento If-So Dynamic Content Personalization de WordPress anterior a 1.8.0.4 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo en configuración multisitio)
  • Vulnerabilidad en ArtPlacer Widget de WordPress (CVE-2023-7268)
    Severidad: MEDIA
    Fecha de publicación: 19/07/2024
    Fecha de última actualización: 16/05/2025
    El complemento ArtPlacer Widget de WordPress anterior a 2.21.2 no cuenta con verificación de autorización al eliminar widgets, lo que permite a cualquier usuario autenticado, como el suscriptor, eliminar widgets arbitrarios.
  • Vulnerabilidad en ArtPlacer Widget de WordPress (CVE-2023-7269)
    Severidad: ALTA
    Fecha de publicación: 19/07/2024
    Fecha de última actualización: 16/05/2025
    El complemento ArtPlacer Widget de WordPress anterior a 2.21.2 no tiene verificación CSRF en algunos lugares y le falta desinfección y escape, lo que podría permitir a los atacantes hacer que el administrador registrado agregue payloads XSS almacenado a través de un ataque CSRF.
  • Vulnerabilidad en Bug Library de WordPress (CVE-2024-5604)
    Severidad: MEDIA
    Fecha de publicación: 19/07/2024
    Fecha de última actualización: 16/05/2025
    El complemento Bug Library de WordPress anterior a 2.1.2 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en Hospital Management System Project in ASP.Net MVC 1 (CVE-2024-40502)
    Severidad: CRÍTICA
    Fecha de publicación: 22/07/2024
    Fecha de última actualización: 16/05/2025
    Vulnerabilidad de inyección SQL en Hospital Management System Project in ASP.Net MVC 1 permite a un atacante remoto ejecutar código arbitrario a través de la función btn_login_b_Click de Loginpage.aspx
  • Vulnerabilidad en complemento Page Builder Gutenberg Blocks de WordPress (CVE-2024-4260)
    Severidad: MEDIA
    Fecha de publicación: 23/07/2024
    Fecha de última actualización: 16/05/2025
    El complemento Page Builder Gutenberg Blocks de WordPress anterior a 3.1.12 no impide que los usuarios hagan ping a hosts arbitrarios a través de algunos de sus códigos cortos, lo que podría permitir a usuarios con altos privilegios, como los contribuyentes, realizar ataques SSRF.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42168)
    Severidad: ALTA
    Fecha de publicación: 11/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por una vulnerabilidad de carga de recursos fuera de banda (HTTP). Un atacante puede implementar un servidor web que devuelva contenido malicioso y luego inducir a la aplicación a recuperar y procesar ese contenido.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42169)
    Severidad: ALTA
    Fecha de publicación: 11/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por referencias a objetos directos inseguras. Esto ocurre debido a la falta de controles de acceso, que no verifican si se debe permitir a un usuario acceder a datos específicos.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42170)
    Severidad: MEDIA
    Fecha de publicación: 11/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por una vulnerabilidad de fijación de sesión. Los cibercriminales pueden aprovecharla enviando URL manipuladas con un token de sesión para acceder a la sesión de inicio de sesión de la víctima.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42171)
    Severidad: MEDIA
    Fecha de publicación: 11/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por una vulnerabilidad de fijación de sesión. Los cibercriminales pueden aprovecharla enviando URL manipuladas con un token de sesión para acceder a la sesión de inicio de sesión de la víctima.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42172)
    Severidad: MEDIA
    Fecha de publicación: 11/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por una autenticación fallida. Esto permite a los atacantes comprometer claves, contraseñas y tokens de sesión, lo que puede provocar robo de identidad y control del sistema. Esta vulnerabilidad surge de una configuración deficiente, errores lógicos o errores de software y puede afectar a cualquier aplicación con control de acceso, incluidas bases de datos, infraestructura de red y aplicaciones web.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42173)
    Severidad: MEDIA
    Fecha de publicación: 11/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por una vulnerabilidad de implementación de política de contraseñas incorrecta. Las contraseñas débiles y la falta de políticas de bloqueo de cuentas permiten a los atacantes adivinar o forzar las contraseñas si se conoce el nombre de usuario.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42174)
    Severidad: BAJA
    Fecha de publicación: 11/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por una vulnerabilidad de enumeración de nombres de usuario. Esto permite que un usuario malintencionado realice una enumeración de usuarios de la aplicación y, por lo tanto, compile una lista de nombres de usuario válidos.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42175)
    Severidad: BAJA
    Fecha de publicación: 11/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectada por una vulnerabilidad de validación de entrada débil. La aplicación acepta caracteres especiales y no hay validación de longitud. Esto puede generar vulnerabilidades de seguridad como inyección SQL, XSS y desbordamiento de búfer.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42179)
    Severidad: BAJA
    Fecha de publicación: 12/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por una vulnerabilidad de divulgación de información confidencial. El encabezado de respuesta HTTP expone la API Microsoft-HTTP?2.0 como el nombre y la versión del servidor.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42180)
    Severidad: BAJA
    Fecha de publicación: 12/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectada por una vulnerabilidad de carga de archivos maliciosos. La aplicación acepta cargas de archivos no válidas, incluidos tipos de contenido incorrectos, extensiones dobles, bytes nulos y caracteres especiales, lo que permite a los atacantes cargar y ejecutar archivos maliciosos.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42181)
    Severidad: BAJA
    Fecha de publicación: 12/01/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectada por una vulnerabilidad de transmisión de información confidencial en texto plano. La aplicación transmite datos confidenciales o críticos para la seguridad en texto plano en un canal de comunicación que puede ser interceptado por actores no autorizados.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42176)
    Severidad: BAJA
    Fecha de publicación: 19/03/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por una vulnerabilidad de inicio de sesión simultáneo. Esta vulnerabilidad se produce cuando se permiten sesiones activas simultáneas con una sola credencial, lo que permite a un atacante acceder a la cuenta o información confidencial de un usuario.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42177)
    Severidad: BAJA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por el protocolo SSL?TLS, afectado por las vulnerabilidades BREACH y LUCKY13. Los atacantes pueden explotar esta vulnerabilidad para interceptar y descifrar datos, robar información confidencial o inyectar código malicioso en el sistema.
  • Vulnerabilidad en HCL MyXalytics (CVE-2024-42178)
    Severidad: BAJA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 16/05/2025
    HCL MyXalytics se ve afectado por una vulnerabilidad de acceso a URL fallida. Usuarios no autenticados podrían obtener acceso no autorizado a información potencialmente confidencial, lo que crea un riesgo de uso indebido, manipulación o distribución no autorizada.
  • Vulnerabilidad en Campcodes Sales and Inventory System 1.0 (CVE-2025-4503)
    Severidad: MEDIA
    Fecha de publicación: 10/05/2025
    Fecha de última actualización: 16/05/2025
    Se encontró una vulnerabilidad en Campcodes Sales and Inventory System 1.0, clasificada como crítica. Este problema afecta a un procesamiento desconocido del archivo /pages/customer_update.php. La manipulación del ID del argumento provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en SourceCodester Online College Library System 1.0 (CVE-2025-4504)
    Severidad: MEDIA
    Fecha de publicación: 10/05/2025
    Fecha de última actualización: 16/05/2025
    Se encontró una vulnerabilidad en SourceCodester Online College Library System 1.0. Se ha clasificado como crítica. Se ve afectada una función desconocida del archivo /index.php. La manipulación del argumento "Category" provoca una inyección SQL. Es posible ejecutar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en PHPGurukul Apartment Visitors Management System 1.0 (CVE-2025-4505)
    Severidad: MEDIA
    Fecha de publicación: 10/05/2025
    Fecha de última actualización: 16/05/2025
    Se encontró una vulnerabilidad en PHPGurukul Apartment Visitors Management System 1.0. Se ha declarado crítica. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /category.php. La manipulación del argumento categoryname provoca una inyección SQL. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-30397)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/05/2025
    El acceso a un recurso mediante un tipo incompatible ('confusión de tipos') en Microsoft Scripting Engine permite que un atacante no autorizado ejecute código a través de una red.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-30400)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/05/2025
    Use After Free en Windows DWM permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-32701)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/05/2025
    Use After Free en el controlador del sistema de archivos de registro común de Windows permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-32706)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/05/2025
    La validación de entrada incorrecta en el controlador del sistema de archivos de registro común de Windows permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Microsoft Corporation (CVE-2025-32709)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/05/2025
    Use After Free del controlador de funciones auxiliares de Windows para WinSock permite que un atacante autorizado eleve privilegios localmente.
  • Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2023-31358)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/05/2025
    Una vulnerabilidad de secuestro de DLL en la API de administración de AMD podría permitir que un atacante logre una escalada de privilegios, lo que potencialmente resultaría en la ejecución de código arbitrario.
  • Vulnerabilidad en Advanced Micro Devices Inc. (CVE-2023-31359)
    Severidad: ALTA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 16/05/2025
    Los permisos predeterminados incorrectos en la API de administración de AMD podrían permitir que un atacante logre una escalada de privilegios, lo que podría resultar en la ejecución de código arbitrario.