Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la API GraphQL de GitLab CE/EE (CVE-2021-39904)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2021
    Fecha de última actualización: 12/06/2026
    Una vulnerabilidad de control de acceso inadecuado en la API GraphQL en todas las versiones de GitLab CE/EE a partir de la 13.1 antes de la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4 y en todas las versiones a partir de la 14.4 antes de la 14.4.1 permite a un creador de solicitudes de fusión resolver debates y aplicar sugerencias después de que el propietario de un proyecto haya bloqueado la solicitud de fusión
  • Vulnerabilidad en GitLab CE/EE (CVE-2021-39911)
    Severidad: BAJA
    Fecha de publicación: 05/11/2021
    Fecha de última actualización: 12/06/2026
    Un defecto de control de acceso inadecuado en todas las versiones de GitLab CE/EE a partir de la 13.9 antes de la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4, y en todas las versiones a partir de la 14.4 antes de la 14.4.1 expone la dirección de correo electrónico privada de la persona que asigna las incidencias y las solicitudes de fusión a los consumidores de datos Webhook
  • Vulnerabilidad en el sistema en el registro de migración de GitLab CE/EE (CVE-2021-39913)
    Severidad: MEDIA
    Fecha de publicación: 05/11/2021
    Fecha de última actualización: 12/06/2026
    El registro accidental de la contraseña de root del sistema en el registro de migración en todas las versiones de GitLab CE/EE anteriores a la 14.2.6, en todas las versiones a partir de la 14.3 antes de la 14.3.4 y en todas las versiones a partir de la 14.4 antes de la 14.4.1 permite a un atacante con acceso al sistema de archivos local obtener privilegios a nivel de root del sistema
  • Vulnerabilidad en PrestaShop (CVE-2023-34575)
    Severidad: CRÍTICA
    Fecha de publicación: 20/09/2023
    Fecha de última actualización: 12/06/2026
    Vulnerabilidad de inyección SQL en PrestaShop opartsavecart hasta 2.0.7 permite a atacantes remotos ejecutar comandos SQL de su elección mediante los métodos OpartSaveCartDefaultModuleFrontController::initContent() y OpartSaveCartDefaultModuleFrontController::displayAjaxSendCartByEmail().
  • Vulnerabilidad en PrestaShop (CVE-2023-34576)
    Severidad: CRÍTICA
    Fecha de publicación: 21/09/2023
    Fecha de última actualización: 12/06/2026
    Vulnerabilidad de inyección SQL en updatepos.php en PrestaShop opartfaq hasta 1.0.3 permite a atacantes remotos ejecutar comandos SQL de su elección a través de un vector no especificado.
  • Vulnerabilidad en Opart opartmultihtmlblock (CVE-2023-30148)
    Severidad: MEDIA
    Fecha de publicación: 14/10/2023
    Fecha de última actualización: 12/06/2026
    Múltiples vulnerabilidades de Cross-Site Scripting (XSS) Almacenado en Opart opartmultihtmlblock anterior a la versión 2.0.12 y Opart multihtmlblock* versión 1.0.0, permiten a usuarios remotos autenticados inyectar scripts web o HTML arbitrarios a través del campo body_text o body_text_rude en /sourcefiles/BlockhtmlClass.php y /sourcefiles/blockhtml.php.
  • Vulnerabilidad en Prestashop opartlimitquantity 1.4.5 (CVE-2023-36263)
    Severidad: CRÍTICA
    Fecha de publicación: 31/10/2023
    Fecha de última actualización: 12/06/2026
    Prestashop opartlimitquantity 1.4.5 y anteriores es vulnerable a la inyección SQL. OpartlimitquantityAlertlimitModuleFrontController::displayAjaxPushAlertMessage()` tiene llamadas SQL sensibles que pueden ejecutarse con una llamada http trivial y explotarse para falsificar una inyección SQL.