Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en WP SEO Structured Data Schema para WordPress (CVE-2025-4127)
    Severidad: MEDIA
    Fecha de publicación: 08/05/2025
    Fecha de última actualización: 04/06/2025
    El complemento WP SEO Structured Data Schema para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro "Rango de precios" en todas las versiones hasta la 2.7.11 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios que se ejecutan cada vez que un administrador accede a la página de configuración del complemento.
  • Vulnerabilidad en tagDiv Composer para WordPress (CVE-2025-2806)
    Severidad: MEDIA
    Fecha de publicación: 08/05/2025
    Fecha de última actualización: 04/06/2025
    El complemento tagDiv Composer para WordPress, utilizado por el tema Newspaper, es vulnerable a ataques Cross-Site Scripting Reflejado a través del parámetro 'data' en todas las versiones hasta la 5.3 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar al usuario para que realice una acción, como hacer clic en un enlace.
  • Vulnerabilidad en EX-Forms – Ultimate Form Builder – Contact forms and much more para WordPress (CVE-2025-3468)
    Severidad: MEDIA
    Fecha de publicación: 08/05/2025
    Fecha de última actualización: 04/06/2025
    El complemento NEX-Forms – Ultimate Form Builder – Contact forms and much more para WordPress es vulnerable a cross site scripting almacenado a través de los parámetros clean_html y form_fields en todas las versiones hasta la 8.9.1 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de nivel personalizado, inyectar secuencias de comandos web arbitrarias en páginas que se ejecutarán al acceder un usuario a una página inyectada.
  • Vulnerabilidad en Contest Gallery para WordPress (CVE-2025-3862)
    Severidad: MEDIA
    Fecha de publicación: 08/05/2025
    Fecha de última actualización: 04/06/2025
    El complemento Contest Gallery para WordPress es vulnerable a cross site scripting almacenado a través del parámetro 'id' en todas las versiones hasta la 26.0.6 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
  • Vulnerabilidad en NEX-Forms – Ultimate Form Builder – Contact forms and much more para WordPress (CVE-2025-4208)
    Severidad: MEDIA
    Fecha de publicación: 08/05/2025
    Fecha de última actualización: 04/06/2025
    El complemento NEX-Forms – Ultimate Form Builder – Contact forms and much more para WordPress es vulnerable a la ejecución limitada de código en todas las versiones hasta la 8.9.1 incluida, a través de la función get_table_records. Esto se debe al uso no autorizado de la entrada proporcionada por el usuario en call_user_func(). Esto permite a atacantes autenticados, con acceso de nivel personalizado, ejecutar funciones PHP arbitrarias que cumplen restricciones específicas (métodos estáticos o funciones globales que aceptan un único parámetro de matriz).
  • Vulnerabilidad en All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic para WordPress (CVE-2025-2892)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 04/06/2025
    El complemento All in One SEO – Powerful SEO Plugin to Boost SEO Rankings & Increase Traffic para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la metadescripción de la publicación y los parámetros de URL canónica en todas las versiones hasta la 4.8.1.1 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.