Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Dell EMC SCG Policy Manager (CVE-2022-34441)
    Severidad: ALTA
    Fecha de publicación: 11/01/2023
    Fecha de última actualización: 20/05/2025
    Dell EMC SCG Policy Manager, en las versiones de 5.10 a 5.12, contiene una vulnerabilidad de clave criptográfica codificada. Un atacante con conocimiento de la información confidencial codificada podría explotar esta vulnerabilidad para iniciar sesión en el sistema y obtener privilegios de administrador.
  • Vulnerabilidad en Dell EMC SCG Policy Manager (CVE-2022-34440)
    Severidad: ALTA
    Fecha de publicación: 11/01/2023
    Fecha de última actualización: 20/05/2025
    Dell EMC SCG Policy Manager, en las versiones de 5.10 a 5.12, contiene una vulnerabilidad de clave criptográfica codificada. Un atacante con conocimiento de la información confidencial codificada podría explotar esta vulnerabilidad para iniciar sesión en el sistema y obtener privilegios de administrador.
  • Vulnerabilidad en Dell EMC SCG Policy Manager (CVE-2022-34442)
    Severidad: ALTA
    Fecha de publicación: 18/01/2023
    Fecha de última actualización: 20/05/2025
    Dell EMC SCG Policy Manager, en sus versiones de la 5.10 a la 5.12, contiene una vulnerabilidad de clave criptográfica codificada. Un atacante con conocimiento de la información confidencial codificada podría explotar esta vulnerabilidad para iniciar sesión en el sistema y obtener privilegios de usuario LDAP.
  • Vulnerabilidad en Dell EMC SCG Policy Manager (CVE-2022-34462)
    Severidad: ALTA
    Fecha de publicación: 18/01/2023
    Fecha de última actualización: 20/05/2025
    Todas las versiones de Dell EMC SCG Policy Manager desde la 5.10 a 5.12, contienen una vulnerabilidad de contraseña codificada. Un atacante, con conocimiento de las credenciales codificadas, podría explotar esta vulnerabilidad para iniciar sesión en el sistema y obtener privilegios de administrador.
  • Vulnerabilidad en Dell SCG Policy Manager (CVE-2023-39252)
    Severidad: MEDIA
    Fecha de publicación: 21/09/2023
    Fecha de última actualización: 20/05/2025
    Dell SCG Policy Manager 5.16.00.14 contiene una vulnerabilidad de algoritmo criptográfico roto. Un atacante remoto no autenticado podría explotar esta vulnerabilidad realizando ataques MitM y permitiendo que los atacantes obtengan información sensible.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24900)
    Severidad: MEDIA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 20/05/2025
    Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de autorización incorrecta. Un atacante con pocos privilegios en una red adyacente podría explotar esta vulnerabilidad, lo que provocaría que se agreguen dispositivos no autorizados a las políticas. La explotación puede dar lugar a la divulgación de información y al acceso no autorizado al sistema.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24906)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 20/05/2025
    Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de Cross-Site Scripting almacenado en la página de políticas. Un atacante con altos privilegios de una red adyacente podría explotar esta vulnerabilidad, lo que llevaría al almacenamiento de códigos HTML o JavaScript maliciosos en un almacén de datos de aplicaciones confiables. Cuando un usuario víctima accede al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación web vulnerable. La explotación puede dar lugar a la divulgación de información, el robo de sesiones o la falsificación de solicitudes por parte del cliente.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24903)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 20/05/2025
    Dell Secure Connect Gateway (SCG) Policy Manager, versión 5.10+, contiene un mecanismo débil de recuperación de contraseñas olvidadas. Un atacante con pocos privilegios en una red adyacente podría explotar esta vulnerabilidad, lo que provocaría un acceso no autorizado a la aplicación con privilegios de la cuenta comprometida. El atacante podría recuperar el token de restablecimiento de contraseña sin autorización y luego realizar el cambio de contraseña.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24904)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 20/05/2025
    Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de Cross-Site Scripting Almacenado. Un atacante con altos privilegios de una red adyacente podría explotar esta vulnerabilidad, lo que llevaría al almacenamiento de códigos HTML o JavaScript maliciosos en un almacén de datos de aplicaciones confiables. Cuando un usuario víctima accede al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación web vulnerable. La explotación puede dar lugar a la divulgación de información, el robo de sesiones o la falsificación de solicitudes por parte del cliente.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24905)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 20/05/2025
    Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de Cross-Site Scripting Almacenado. Un atacante con altos privilegios de una red adyacente podría explotar esta vulnerabilidad, lo que llevaría al almacenamiento de códigos HTML o JavaScript maliciosos en un almacén de datos de aplicaciones confiables. Cuando un usuario víctima accede al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación web vulnerable. La explotación puede dar lugar a la divulgación de información, el robo de sesiones o la falsificación de solicitudes por parte del cliente.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2024-24907)
    Severidad: ALTA
    Fecha de publicación: 01/03/2024
    Fecha de última actualización: 20/05/2025
    Dell Secure Connect Gateway (SCG) Policy Manager, todas las versiones, contiene una vulnerabilidad de Cross-Site Scripting almacenado en la página Filtros. Un atacante con altos privilegios de una red adyacente podría explotar esta vulnerabilidad, lo que llevaría al almacenamiento de códigos HTML o JavaScript maliciosos en un almacén de datos de aplicaciones confiables. Cuando un usuario víctima accede al almacén de datos a través de sus navegadores, el navegador web ejecuta el código malicioso en el contexto de la aplicación web vulnerable. La explotación puede dar lugar a la divulgación de información, el robo de sesiones o la falsificación de solicitudes por parte del cliente.
  • Vulnerabilidad en SCG Policy Manager (CVE-2024-37131)
    Severidad: ALTA
    Fecha de publicación: 13/06/2024
    Fecha de última actualización: 20/05/2025
    SCG Policy Manager, todas las versiones, contiene una vulnerabilidad de política de recursos de origen cruzado (CORP) demasiado permisiva. Un atacante remoto no autenticado podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de acciones maliciosas en la aplicación en el contexto del usuario autenticado.
  • Vulnerabilidad en Dell SCG (CVE-2024-29169)
    Severidad: MEDIA
    Fecha de publicación: 13/06/2024
    Fecha de última actualización: 20/05/2025
    Dell SCG, versiones anteriores a 5.22.00.00, contienen una vulnerabilidad de inyección SQL en la interfaz de usuario de SCG para una API REST de auditoría interna. Un atacante autenticado remoto podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de ciertos comandos SQL en la base de datos backend de la aplicación, lo que provocaría un posible acceso no autorizado y modificación de los datos de la aplicación.
  • Vulnerabilidad en If-So Dynamic Content Personalization de WordPress (CVE-2024-5713)
    Severidad: MEDIA
    Fecha de publicación: 13/07/2024
    Fecha de última actualización: 20/05/2025
    El complemento If-So Dynamic Content Personalization de WordPress anterior a 1.8.0.4 no escapa del parámetro $_SERVER['REQUEST_URI'] antes de devolverlo en un atributo, lo que podría generar cross-site scripting reflejado en navegadores web antiguos.
  • Vulnerabilidad en wp-eMember de WordPress (CVE-2024-5715)
    Severidad: ALTA
    Fecha de publicación: 13/07/2024
    Fecha de última actualización: 20/05/2025
    El complemento de WordPress wp-eMember anterior a 10.6.7 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
  • Vulnerabilidad en complemento de WordPress Request a Quote (CVE-2024-6231)
    Severidad: MEDIA
    Fecha de publicación: 23/07/2024
    Fecha de última actualización: 20/05/2025
    El complemento de WordPress Request a Quote anterior a 2.4.1 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en la configuración de múltiples sitios).
  • Vulnerabilidad en Optimizely Configured Commerce (CVE-2025-22383)
    Severidad: MEDIA
    Fecha de publicación: 04/01/2025
    Fecha de última actualización: 20/05/2025
    Se descubrió un problema en Optimizely Configured Commerce antes de la versión 5.2.2408. Existe un problema de validación de entrada de gravedad media en la aplicación Commerce B2B, que afecta la función Contact Us. Esto permite que los visitantes envíen mensajes de correo electrónico que podrían contener marcado HTML sin filtrar en situaciones específicas.
  • Vulnerabilidad en Optimizely Configured Commerce (CVE-2025-22384)
    Severidad: ALTA
    Fecha de publicación: 04/01/2025
    Fecha de última actualización: 20/05/2025
    Se descubrió un problema en Optimizely Configured Commerce antes de la versión 5.2.2408. Existe un problema de gravedad media relacionado con la lógica empresarial en la aplicación Commerce B2B, que permite que los visitantes de la tienda compren productos discontinuados en situaciones específicas en las que las solicitudes se modifican antes de llegar al servidor.
  • Vulnerabilidad en Optimizely Configured Commerce (CVE-2025-22385)
    Severidad: MEDIA
    Fecha de publicación: 04/01/2025
    Fecha de última actualización: 20/05/2025
    Se descubrió un problema en Optimizely Configured Commerce antes de la versión 5.2.2408. En el caso de las cuentas recién creadas, la aplicación Commerce B2B no requiere confirmación por correo electrónico. Este problema de gravedad media permite la creación masiva de cuentas. Esto podría afectar el almacenamiento de la base de datos; además, se pueden crear cuentas de tienda no solicitadas en nombre de los visitantes.
  • Vulnerabilidad en Optimizely Configured Commerce (CVE-2025-22386)
    Severidad: ALTA
    Fecha de publicación: 04/01/2025
    Fecha de última actualización: 20/05/2025
    Se descubrió un problema en Optimizely Configured Commerce antes de la versión 5.2.2408. Existe un problema de sesión de gravedad media en la aplicación Commerce B2B, que afecta la longevidad de las sesiones activas en la tienda. Esto permite que los tokens de sesión vinculados a sesiones cerradas sigan activos y se puedan usar.
  • Vulnerabilidad en Optimizely EPiServer.CMS.Core (CVE-2025-22388)
    Severidad: MEDIA
    Fecha de publicación: 04/01/2025
    Fecha de última actualización: 20/05/2025
    Se descubrió un problema en Optimizely EPiServer.CMS.Core antes de la versión 12.22.0. Existe una vulnerabilidad de cross site scripting almacenado (XSS) de alta gravedad en el CMS, que permite a los actores maliciosos inyectar y ejecutar código JavaScript arbitrario, lo que podría comprometer los datos del usuario, aumentar los privilegios o ejecutar acciones no autorizadas. El problema existe en varias áreas, incluida la edición de contenido, la administración de enlaces y la carga de archivos.
  • Vulnerabilidad en Optimizely EPiServer.CMS.Core (CVE-2025-22389)
    Severidad: ALTA
    Fecha de publicación: 04/01/2025
    Fecha de última actualización: 20/05/2025
    Se descubrió un problema en Optimizely EPiServer.CMS.Core antes de la versión 12.32.0. Existe una vulnerabilidad de gravedad media en el CMS, donde la aplicación no valida correctamente los archivos cargados. Esto permite la carga de tipos de archivos potencialmente maliciosos, incluidos .docm y .html. Cuando los usuarios de la aplicación acceden a estos archivos, estos pueden usarse para ejecutar acciones maliciosas o comprometer los sistemas de los usuarios.
  • Vulnerabilidad en Optimizely EPiServer.CMS.Core (CVE-2025-22390)
    Severidad: ALTA
    Fecha de publicación: 04/01/2025
    Fecha de última actualización: 20/05/2025
    Se descubrió un problema en Optimizely EPiServer.CMS.Core antes de la versión 12.32.0. Existe una vulnerabilidad de gravedad media en el CMS debido a la aplicación insuficiente de los requisitos de complejidad de las contraseñas. La aplicación permite a los usuarios establecer contraseñas con una longitud mínima de 6 caracteres, lo que no es lo suficientemente complejo como para resistir las técnicas de ataque modernas, como la pulverización de contraseñas o el descifrado de contraseñas sin conexión.
  • Vulnerabilidad en oxyno-zeta/s3-proxy (CVE-2025-27088)
    Severidad: ALTA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 20/05/2025
    oxyno-zeta/s3-proxy es un proxy de AWS S3 escrito en Go. En las versiones afectadas, una vulnerabilidad de Cross-site Scripting (XSS) reflejado permite a los atacantes crear URL maliciosas que, cuando se visitan, inyectan secuencias de comandos en la aplicación web. Esto puede provocar secuestros de sesión o ataques de phishing en un dominio de confianza, lo que supone un riesgo moderado para todos los usuarios. Es posible inyectar elementos HTML, incluidas secuencias de comandos, a través de la plantilla de lista de carpetas. La plantilla afectada permite a los usuarios interactuar con la ruta de URL proporcionada por la variable `Request.URL.Path`, que luego se representa directamente en el HTML sin la depuración o el escape adecuados. Los atacantes pueden abusar de esto y manipular una URL maliciosa que contenga HTML o JavaScript inyectado. Cuando los usuarios visitan una URL de este tipo, la secuencia de comandos maliciosa se ejecutará en el contexto del usuario. Este problema se ha solucionado en la versión 4.18.1 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WooCommerce Cart Count Shortcode de WordPress (CVE-2024-10563)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 20/05/2025
    El complemento WooCommerce Cart Count Shortcode de WordPress anterior a la versión 1.1.0 no valida ni escapa algunos de sus atributos de shortcode antes de mostrarlos nuevamente en una página/publicación donde está incrustado el shortcode, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting almacenado.
  • Vulnerabilidad en WP BASE Booking of Appointments, Services and Events para WordPress (CVE-2024-12737)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 20/05/2025
    El complemento WP BASE Booking of Appointments, Services and Events para WordPress anterior a la versión 5.0.0 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en pushBIZ de WordPress (CVE-2024-13629)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 20/05/2025
    El complemento pushBIZ de WordPress hasta la versión 1.0 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
  • Vulnerabilidad en NewsTicker de WordPress (CVE-2024-13630)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 20/05/2025
    El complemento NewsTicker de WordPress hasta la versión 1.0 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en Simple catalogue de WordPress (CVE-2024-13633)
    Severidad: ALTA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 20/05/2025
    El complemento Simple catalogue de WordPress hasta la versión 1.0.2 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en Post Sync de WordPress (CVE-2024-13634)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 20/05/2025
    El complemento Post Sync de WordPress hasta la versión 1.1 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en CalendApp de WordPress (CVE-2024-13669)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 20/05/2025
    El complemento CalendApp de WordPress hasta la versión 1.1 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en R3W InstaFeed de WordPress (CVE-2024-13678)
    Severidad: MEDIA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 20/05/2025
    El complemento R3W InstaFeed de WordPress hasta la versión 1.0 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
  • Vulnerabilidad en Om Stripe de WordPress (CVE-2024-13631)
    Severidad: ALTA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 20/05/2025
    El complemento Om Stripe de WordPress hasta la versión 02.00.00 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en WP Extra Fields de WordPress (CVE-2024-13632)
    Severidad: ALTA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 20/05/2025
    El complemento WP Extra Fields de WordPress hasta la versión 1.0.1 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un error de Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2025-23382)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2025
    Fecha de última actualización: 20/05/2025
    El dispositivo Dell Secure Connect Gateway (SCG) 5.0 - SRS, versión 5.26, contiene una vulnerabilidad de exposición de información confidencial del sistema a una esfera de control no autorizada. Un atacante con privilegios elevados y acceso remoto podría explotar esta vulnerabilidad, lo que provocaría la exposición de información.
  • Vulnerabilidad en Dell Secure Connect Gateway (CVE-2025-26475)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2025
    Fecha de última actualización: 20/05/2025
    Dispositivo Dell Secure Connect Gateway (SCG) 5.0 - SRS, versión(es) 5.26, habilita la configuración Live-Restore que mejora la seguridad al mantener los contenedores en ejecución durante los reinicios del daemon, lo que reduce la exposición a ataques, evita configuraciones incorrectas accidentales y garantiza que los controles de seguridad permanezcan activos.