Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en SourceCodester Medicine Tracking System 1.0 (CVE-2023-7123)
    Severidad: MEDIA
    Fecha de publicación: 28/12/2023
    Fecha de última actualización: 23/01/2026
    Una vulnerabilidad fue encontrada en SourceCodester Medicine Tracking System 1.0 y clasificada como crítica. Este problema afecta algún procesamiento desconocido del archivo /classes/Master.php? f=save_medicine. La manipulación del argumento id/name/description conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-249095.
  • Vulnerabilidad en Project Worlds Visitor Management System 1.0 (CVE-2024-0650)
    Severidad: MEDIA
    Fecha de publicación: 18/01/2024
    Fecha de última actualización: 23/01/2026
    Se encontró una vulnerabilidad en Project Worlds Visitor Management System 1.0. Ha sido clasificada como problemática. Una función desconocida del archivo dataset.php del componente URL Handler es afectada por esta vulnerabilidad. La manipulación del argumento name con la entrada "> conduce a cross site scripting. Es posible lanzar el ataque de forma remota. La explotación se ha divulgado al público y puede ser utilizada. El identificador de esta vulnerabilidad es VDB-251376.
  • Vulnerabilidad en WPDeveloper BetterDocs (CVE-2024-30226)
    Severidad: CRÍTICA
    Fecha de publicación: 28/03/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de deserialización de datos no confiables en WPDeveloper BetterDocs. Este problema afecta a BetterDocs: desde n/a hasta 3.3.3.
  • Vulnerabilidad en Repute InfoSystems ARForms Form Builder (CVE-2024-31272)
    Severidad: MEDIA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Repute InfoSystems ARForms Form Builder. Este problema afecta a ARForms Form Builder: desde n/a hasta 1.6.1.
  • Vulnerabilidad en JS Help Desk JS Help Desk – Best Help Desk & Support Plugin (CVE-2022-47151)
    Severidad: ALTA
    Fecha de publicación: 17/04/2024
    Fecha de última actualización: 23/01/2026
    Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en JS Help Desk JS Help Desk – Best Help Desk & Support Plugin. Este problema afecta a JS Help Desk: el mejor complemento de soporte y soporte técnico: de n/a hasta 2.7.1.
  • Vulnerabilidad en MainWP MainWP Child Reports (CVE-2024-33680)
    Severidad: MEDIA
    Fecha de publicación: 26/04/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en MainWP MainWP Child Reports. Este problema afecta a MainWP Child Reports: desde n/a hasta 2.1.1.
  • Vulnerabilidad en Repute InfoSystems ARForms Form Builder (CVE-2024-31270)
    Severidad: ALTA
    Fecha de publicación: 08/05/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de autorización faltante en Repute InfoSystems ARForms Form Builder. Este problema afecta a ARForms Form Builder: desde n/a hasta 1.6.1.
  • Vulnerabilidad en MainWP MainWP Code Snippets Extension (CVE-2023-23645)
    Severidad: CRÍTICA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de control inadecuado de generación de código ("inyección de código") en MainWP MainWP Code Snippets Extension permite la inyección de código. Este problema afecta a MainWP Code Snippets Extension: desde n/a hasta 4.0.2.
  • Vulnerabilidad en JS Help Desk JS Help Desk – Best Help Desk & Support Plugin (CVE-2023-25444)
    Severidad: CRÍTICA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de carga sin restricciones de archivos con tipo peligroso en JS Help Desk JS Help Desk – Best Help Desk & Support Plugin permite el uso de archivos maliciosos. Este problema afecta a JS Help Desk – Best Help Desk & Support Plugin: desde n/a hasta 2.7.7.
  • Vulnerabilidad en Qi Blocks (CVE-2024-38712)
    Severidad: MEDIA
    Fecha de publicación: 20/07/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Qode Interactive Qi Blocks permite XSS almacenado. Este problema afecta a Qi Blocks: desde n/a hasta 1.3.
  • Vulnerabilidad en ARForms Form Builder (CVE-2024-37920)
    Severidad: ALTA
    Fecha de publicación: 20/07/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Repute InfoSystems ARForms Form Builder permite XSS reflejado. Este problema afecta a ARForms Form Builder: desde n/a hasta 1.6.7.
  • Vulnerabilidad en WPDeveloper BetterDocs (CVE-2024-43227)
    Severidad: MEDIA
    Fecha de publicación: 12/08/2024
    Fecha de última actualización: 23/01/2026
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en WPDeveloper BetterDocs permite XSS Almacenado. Este problema afecta a BetterDocs: desde n/a hasta 3.5.8.
  • Vulnerabilidad en Easytest Online Test Platform (CVE-2024-7871)
    Severidad: ALTA
    Fecha de publicación: 02/09/2024
    Fecha de última actualización: 23/01/2026
    La función de inyección SQL en el diccionario en línea de Easytest Online Test Platform ver.24E01 y anteriores permite a los usuarios autenticados remotos ejecutar comandos SQL arbitrarios a través del parámetro de palabra.
  • Vulnerabilidad en Juniper Networks Junos Space (CVE-2024-39563)
    Severidad: MEDIA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 23/01/2026
    Una vulnerabilidad de inyección de comandos en Juniper Networks Junos Space permite que un atacante no autenticado basado en la red envíe una solicitud especialmente diseñada para ejecutar comandos de shell arbitrarios en el dispositivo Junos Space, lo que lleva a la ejecución remota de comandos por parte de la aplicación web, obteniendo así el control total del dispositivo. Un script específico en la aplicación web Junos Space permite la entrada controlada por el atacante desde una solicitud GET sin una desinfección de entrada suficiente. Una solicitud especialmente diseñada puede explotar esta vulnerabilidad para ejecutar comandos de shell arbitrarios en el dispositivo Junos Space. Este problema afecta a Junos Space 24.1R1. Las versiones anteriores de Junos Space no se ven afectadas por esta vulnerabilidad.
  • Vulnerabilidad en Juniper Networks Junos OS Evolved (CVE-2024-47505)
    Severidad: ALTA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 23/01/2026
    Una vulnerabilidad de asignación de recursos sin límites ni limitación en el daemon de administración PFE (evo-pfemand) de Juniper Networks Junos OS Evolved permite que un atacante autenticado basado en la red provoque un bloqueo de FPC que genere una denegación de servicio (DoS). Cuando se ejecutan operaciones GET de SNMP específicas o comandos CLI con privilegios bajos específicos, se produce una pérdida de recursos GUID que, con el tiempo, provoca el agotamiento y hace que los FPC se bloqueen. Los FPC afectados deben reiniciarse manualmente para recuperarse. El agotamiento de GUID activará un mensaje de syslog como uno de los siguientes: evo-pfemand[]: get_next_guid: Ran out of Guid Space ... evo-aftmand-zx[]: get_next_guid: Ran out of Guid Space ... La pérdida se puede monitorear ejecutando el siguiente comando y tomando nota de los valores en la columna más a la derecha etiquetada como Guids: user@host> show platform application-info assignments app evo-pfemand/evo-pfemand En caso de que uno o más de estos valores aumenten constantemente, se está produciendo la pérdida. Este problema afecta a Junos OS Evolved: * Todas las versiones anteriores a 21.4R3-S7-EVO, * Versiones 22.1 anteriores a 22.1R3-S6-EVO, * Versiones 22.2 anteriores a 22.2R3-EVO, * Versiones 22.3 anteriores a 22.3R3-EVO, * Versiones 22.4 anteriores a 22.4R2-EVO. Tenga en cuenta que este problema es similar a CVE-2024-47508 y CVE-2024-47509, pero diferente.
  • Vulnerabilidad en Juniper Networks Junos OS Evolved (CVE-2024-47508)
    Severidad: ALTA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 23/01/2026
    Una vulnerabilidad de asignación de recursos sin límites ni limitación en el daemon de administración PFE (evo-pfemand) de Juniper Networks Junos OS Evolved permite que un atacante autenticado basado en la red provoque un bloqueo de FPC que genere una denegación de servicio (DoS). Cuando se ejecutan operaciones GET de SNMP específicas o comandos CLI con privilegios bajos específicos, se produce una pérdida de recursos GUID que, con el tiempo, provoca el agotamiento y hace que los FPC se bloqueen. Los FPC afectados deben reiniciarse manualmente para recuperarse. El agotamiento de GUID activará un mensaje de syslog como uno de los siguientes: evo-pfemand[]: get_next_guid: Ran out of Guid Space ... evo-aftmand-zx[]: get_next_guid: Ran out of Guid Space ... La pérdida se puede monitorear ejecutando el siguiente comando y tomando nota de los valores en la columna más a la derecha etiquetada Guids: user@host> show platform application-info assignments app evo-pfemand/evo-pfemand En caso de que uno o más de estos valores aumenten constantemente, la pérdida está ocurriendo. Este problema afecta a Junos OS Evolved: * Todas las versiones anteriores a 21.2R3-S8-EVO, * 21.3 versiones anteriores a 21.3R3-EVO; * 21.4 versiones anteriores a 22.1R2-EVO, * 22.1 versiones anteriores a 22.1R1-S1-EVO, 22.1R2-EVO. Tenga en cuenta que este problema es similar, pero diferente de CVE-2024-47505 y CVE-2024-47509.
  • Vulnerabilidad en Juniper Networks Junos OS Evolved (CVE-2024-47509)
    Severidad: ALTA
    Fecha de publicación: 11/10/2024
    Fecha de última actualización: 23/01/2026
    Una vulnerabilidad de asignación de recursos sin límites ni limitación en el daemon de administración PFE (evo-pfemand) de Juniper Networks Junos OS Evolved permite que un atacante autenticado basado en la red provoque un bloqueo de FPC que genere una denegación de servicio (DoS). Cuando se ejecutan operaciones GET de SNMP específicas o comandos CLI con privilegios bajos específicos, se produce una pérdida de recursos GUID que, con el tiempo, provoca el agotamiento y hace que los FPC se bloqueen. Los FPC afectados deben reiniciarse manualmente para recuperarse. El agotamiento de GUID activará un mensaje de syslog como uno de los siguientes: evo-pfemand[]: get_next_guid: Ran out of Guid Space ... evo-aftmand-zx[]: get_next_guid: Ran out of Guid Space ... La pérdida se puede monitorear ejecutando el siguiente comando y tomando nota de los valores en la columna más a la derecha etiquetada Guids: user@host> show platform application-info assignments app evo-pfemand/evo-pfemand En caso de que uno o más de estos valores aumenten constantemente, la pérdida está ocurriendo. Este problema afecta a Junos OS Evolved: * Todas las versiones anteriores a 21.4R2-EVO, * Versiones 22.1 anteriores a 22.1R2-EVO. Tenga en cuenta que este problema es similar a, pero diferente de CVE-2024-47505 y CVE-2024-47508.
  • Vulnerabilidad en Nozomi Networks Inc. (CVE-2024-50358)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 23/01/2026
    Se descubrió una vulnerabilidad CWE-15 "Control externo del sistema o de la configuración" que afecta a los siguientes dispositivos fabricados por Advantech: EKI-6333AC-2G (<= 1.6.3), EKI-6333AC-2GD (<= v1.6.3) y EKI-6333AC-1GPO (<= v1.2.1). Los usuarios autenticados pueden aprovechar esta vulnerabilidad restaurando una copia de seguridad de la configuración alterada.
  • Vulnerabilidad en Nozomi Networks Inc. (CVE-2024-50359)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 23/01/2026
    Se descubrió una vulnerabilidad CWE-78 "Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ('Inyección de comando del sistema operativo')" que afectaba a los siguientes dispositivos fabricados por Advantech: EKI-6333AC-2G (<= 1.6.3), EKI-6333AC-2GD (<= v1.6.3) y EKI-6333AC-1GPO (<= v1.2.1). La fuente de la vulnerabilidad se basa en múltiples parámetros pertenecientes a la API "scan_ap" que no se desinfectan correctamente antes de concatenarse con comandos de nivel del sistema operativo.
  • Vulnerabilidad en Nozomi Networks Inc. (CVE-2024-50360)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 23/01/2026
    Se descubrió una vulnerabilidad CWE-78 "Neutralización incorrecta de elementos especiales utilizados en un comando del SO ('Inyección de comando del SO')" que afecta a los siguientes dispositivos fabricados por Advantech: EKI-6333AC-2G (<= 1.6.3), EKI-6333AC-2GD (<= v1.6.3) y EKI-6333AC-1GPO (<= v1.2.1). La fuente de la vulnerabilidad se basa en múltiples parámetros pertenecientes a la API "snmp_apply" que no se desinfectan correctamente antes de concatenarse con comandos de nivel del SO.
  • Vulnerabilidad en Nozomi Networks Inc. (CVE-2024-50361)
    Severidad: ALTA
    Fecha de publicación: 26/11/2024
    Fecha de última actualización: 23/01/2026
    Se descubrió una vulnerabilidad CWE-78 "Neutralización incorrecta de elementos especiales utilizados en un comando del SO ('Inyección de comando del SO')" que afectaba a los siguientes dispositivos fabricados por Advantech: EKI-6333AC-2G (<= 1.6.3), EKI-6333AC-2GD (<= v1.6.3) y EKI-6333AC-1GPO (<= v1.2.1). La fuente de la vulnerabilidad se basa en varios parámetros pertenecientes a la API "certificate_file_remove" que no se desinfectan correctamente antes de concatenarse con comandos de nivel del SO.
  • Vulnerabilidad en JS Help Desk JS Help Desk – Best Help Desk y Support Plugin (CVE-2022-46838)
    Severidad: CRÍTICA
    Fecha de publicación: 13/12/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de autorización faltante en JS Help Desk JS Help Desk – Best Help Desk & Support Plugin permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a JS Help Desk – Best Help Desk & Support Plugin: desde n/a hasta 2.7.1.
  • Vulnerabilidad en JS Help Desk JS Help Desk – Best Help Desk y Support Plugin (CVE-2022-46840)
    Severidad: MEDIA
    Fecha de publicación: 13/12/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de autorización faltante en JS Help Desk JS Help Desk – Best Help Desk y Support Plugin permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a JS Help Desk – Best Help Desk y Support Plugin: desde n/a hasta 2.7.1.
  • Vulnerabilidad en Depicter Slider y Popup de Averta Depicter Slider (CVE-2022-47176)
    Severidad: MEDIA
    Fecha de publicación: 13/12/2024
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de autorización faltante en Depicter Slider y Popup de Averta Depicter Slider permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Depicter Slider: desde n/a hasta 1.9.0.
  • Vulnerabilidad en Schema App Schema App Structured Data (CVE-2023-44258)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de autorización faltante en Schema App Schema App Structured Data permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Schema App Structured Data: desde n/a hasta 1.23.1.
  • Vulnerabilidad en WPDeveloper BetterLinks (CVE-2023-45104)
    Severidad: ALTA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 23/01/2026
    La vulnerabilidad de autorización faltante en WPDeveloper BetterLinks permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a BetterLinks: desde n/a hasta 1.6.0.
  • Vulnerabilidad en ByConsole WooODT Lite (CVE-2023-47179)
    Severidad: ALTA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 23/01/2026
    La vulnerabilidad de autorización faltante en ByConsole WooODT Lite permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a WooODT Lite: desde n/a hasta 2.4.6.
  • Vulnerabilidad en Repute InfoSystems ARMember Premium (CVE-2023-39994)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 23/01/2026
    La vulnerabilidad de autorización faltante en Repute InfoSystems ARMember Premium permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a ARMember Premium: desde n/a hasta 5.9.2.
  • Vulnerabilidad en WPDeveloper Typing Text (CVE-2025-22315)
    Severidad: MEDIA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 23/01/2026
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPDeveloper Typing Text permite XSS almacenado. Este problema afecta a Typing Text: desde n/a hasta 1.2.7.
  • Vulnerabilidad en HasThemes Extensions For CF7 (CVE-2025-24695)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 23/01/2026
    La vulnerabilidad Server-Side Request Forgery (SSRF) en HasThemes Extensions For CF7 permite Server Side Request Forgery. Este problema afecta a Extensions For CF7: desde n/a hasta 3.2.0.
  • Vulnerabilidad en Booking & Appointment - Repute Infosystems BookingPress (CVE-2025-24732)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Booking & Appointment - Repute Infosystems BookingPress permite XSS basado en DOM. Este problema afecta a BookingPress: desde n/a hasta 1.1.25.
  • Vulnerabilidad en WPDeveloper NotificationX (CVE-2025-22683)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2025
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPDeveloper NotificationX permite XSS almacenado. Este problema afecta a NotificationX: desde n/a hasta 2.9.5.
  • Vulnerabilidad en JoomSky JS Help Desk (CVE-2025-30878)
    Severidad: ALTA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de limitación incorrecta de una ruta a un directorio restringido('Path Traversal') en JoomSky JS Help Desk permite el Path Traversal. Este problema afecta a JS Help Desk desde n/d hasta la versión 2.9.2.
  • Vulnerabilidad en JoomSky JS Help Desk (CVE-2025-30886)
    Severidad: CRÍTICA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 23/01/2026
    La vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en JoomSky JS Help Desk permite la inyección SQL. Este problema afecta a JS Help Desk desde n/d hasta la versión 2.9.2.
  • Vulnerabilidad en JoomSky JS Help Desk (CVE-2025-30901)
    Severidad: ALTA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 23/01/2026
    Control inadecuado del nombre de archivo para la declaración Include/Require en el programa PHP ('Inclusión remota de archivos PHP') en JoomSky JS Help Desk permite la inclusión local de archivos PHP. Este problema afecta a JS Help Desk desde n/d hasta la versión 2.9.2.
  • Vulnerabilidad en JoomSky JS Job Manager (CVE-2025-31867)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de omisión de autorización mediante clave controlada por el usuario en JoomSky JS Job Manager permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta al Administrador de tareas JS desde la versión n/d hasta la 2.0.2.
  • Vulnerabilidad en JoomSky JS Job Manager (CVE-2025-31868)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 23/01/2026
    La vulnerabilidad de falta de autorización en JoomSky JS Job Manager permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta al Administrador de tareas JS desde la versión n/d hasta la 2.0.2.
  • Vulnerabilidad en reputeinfosystems BookingPress (CVE-2025-31910)
    Severidad: ALTA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en reputeinfosystems BookingPress permite la inyección SQL. Este problema afecta a BookingPress desde n/d hasta la versión 1.1.28.
  • Vulnerabilidad en JoomSky JS Job Manager (CVE-2025-32146)
    Severidad: ALTA
    Fecha de publicación: 04/04/2025
    Fecha de última actualización: 23/01/2026
    Vulnerabilidad de control inadecuado del nombre de archivo para declaraciones Include/Require en programas PHP ('Inclusión remota de archivos PHP') en JoomSky JS Job Manager permite la inclusión local de archivos PHP. Este problema afecta al Administrador de tareas JS desde n/d hasta la versión 2.0.2.
  • Vulnerabilidad en JoomSky JS Job Manager (CVE-2025-32627)
    Severidad: ALTA
    Fecha de publicación: 11/04/2025
    Fecha de última actualización: 23/01/2026
    La vulnerabilidad de control inadecuado del nombre de archivo para la declaración Include/Require en el programa PHP ('Inclusión de archivo remoto PHP') en JoomSky JS Job Manager permite la inclusión de archivos locales PHP. Este problema afecta a JS Job Manager: desde n/d hasta 2.0.2.