Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en WP Compress – Image Optimizer para WordPress (CVE-2024-1934)
    Severidad: ALTA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 09/08/2025
    El complemento WP Compress – Image Optimizer para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función 'wps_local_compress::__construct' en todas las versiones hasta la 6.11.10 incluida. Esto hace posible que atacantes no autenticados restablezcan la región CDN y establezcan una URL maliciosa para entregar imágenes.
  • Vulnerabilidad en WP Compress WP Compress – Image Optimizer [All-In-One] (CVE-2024-32106)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 09/08/2025
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en WP Compress WP Compress – Image Optimizer [All-In-One]. Este problema afecta a WP Compress – Image Optimizer [All-In-One]: desde n/a hasta 6.10.35.
  • Vulnerabilidad en Control Web Panel (CVE-2023-42120)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 09/08/2025
    Panel web de control dns_zone_editor Vulnerabilidad de ejecución remota de código de inyección de comandos. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Control Web Panel. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del módulo dns_zone_editor. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-20581.
  • Vulnerabilidad en Control Web Panel (CVE-2023-42121)
    Severidad: CRÍTICA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 09/08/2025
    Vulnerabilidad de ejecución remota de código de autenticación faltante en Control Web Panel. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Control Web Panel. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en la implementación de la autenticación dentro de la interfaz web. El problema se debe a la falta de autenticación antes de permitir el acceso a la funcionalidad. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de un usuario de CWP válido. Era ZDI-CAN-20582.
  • Vulnerabilidad en wloggui (CVE-2023-42122)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 09/08/2025
    La vulnerabilidad de escalada de privilegios locales en Panel web de control wloggui tiene una inyección de comandos. Esta vulnerabilidad permite a atacantes locales escalar privilegios en las instalaciones afectadas de Control Web Panel. Un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar esta vulnerabilidad. La falla específica existe dentro del proceso cwpsrv, que escucha en la interfaz loopback. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para escalar privilegios y ejecutar código arbitrario en el contexto de la raíz. Era ZDI-CAN-21079.
  • Vulnerabilidad en Control Web Panel (CVE-2023-42123)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 09/08/2025
    Vulnerabilidad de ejecución remota de código de inyección de comandos mysql_manager del panel web de control. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Control Web Panel. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del módulo mysql_manager. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Era ZDI-CAN-21080.
  • Vulnerabilidad en WP Compress – Image Optimizer (CVE-2023-6812)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 09/08/2025
    El complemento WP Compress – Image Optimizer [todo en uno para WordPress es vulnerable a Open Redirect en todas las versiones hasta la 6.20.01 incluida. Esto se debe a una validación insuficiente de la URL de redireccionamiento proporcionada mediante el parámetro 'css'. Esto hace posible que atacantes no autenticados redirijan a los usuarios a sitios potencialmente maliciosos si logran engañarlos para que realicen una acción.
  • Vulnerabilidad en WofficeIO Woffice (CVE-2024-43153)
    Severidad: CRÍTICA
    Fecha de publicación: 13/08/2024
    Fecha de última actualización: 09/08/2025
    Vulnerabilidad de gestión de privilegios inadecuada en WofficeIO Woffice permite la escalada de privilegios. Este problema afecta a Woffice: desde n/a hasta 5.4.10.
  • Vulnerabilidad en TablePress – Tables in WordPress made easy para WordPress (CVE-2024-9595)
    Severidad: MEDIA
    Fecha de publicación: 12/10/2024
    Fecha de última actualización: 09/08/2025
    El complemento TablePress – Tables in WordPress made easy para WordPress es vulnerable a cross-site scripting almacenado a través del contenido de las celdas de las tablas en todas las versiones hasta la 2.4.2 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de autor o superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán siempre que un usuario acceda a una página inyectada.
  • Vulnerabilidad en IBM Db2 para Linux, UNIX y Windows (CVE-2024-37071)
    Severidad: MEDIA
    Fecha de publicación: 07/12/2024
    Fecha de última actualización: 09/08/2025
    IBM Db2 para Linux, UNIX y Windows (incluye Db2 Connect Server) 10.5, 11.1 y 11.5 podría permitir que un usuario autenticado provoque una denegación de servicio con una consulta especialmente manipulada debido a una asignación de memoria incorrecta.
  • Vulnerabilidad en IBM Storage Defender - Resiliency Service (CVE-2023-50956)
    Severidad: MEDIA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 09/08/2025
    IBM Storage Defender - Resiliency Service 2.0.0 a 2.0.9 podría permitir que un usuario privilegiado obtenga credenciales de usuario altamente confidenciales a partir de claves secretas almacenadas en texto plano.
  • Vulnerabilidad en Responsive Addons for Elementor – Free Elementor Addons Plugin and Elementor Templates para WordPress (CVE-2025-2228)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2025
    Fecha de última actualización: 09/08/2025
    El complemento Responsive Addons for Elementor – Free Elementor Addons Plugin and Elementor Templates para WordPress son vulnerables a la exposición de información confidencial en todas las versiones hasta la 1.6.8, incluida la función "register_user". Esto permite a atacantes autenticados, con acceso de colaborador o superior, extraer datos confidenciales, como nombres de usuario y contraseñas, de cualquier usuario que se registre mediante el widget "Editar inicio de sesión | Formulario de registro", siempre que el usuario abra la notificación por correo electrónico de registro.