Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Olive Themes Olive One Click Demo Import (CVE-2023-29102)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en Olive Themes Olive One Click Demo Import. Este problema afecta a Olive One Click Demo Import: desde n/a hasta 1.1.1.
  • Vulnerabilidad en HM Plugin WordPress Job Board and Recruitment Plugin – JobWP (CVE-2023-29384)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en HM Plugin WordPress Job Board and Recruitment Plugin – JobWP. Este problema afecta a WordPress Job Board y Recruitment Plugin – JobWP: desde n/a hasta 2.0.
  • Vulnerabilidad en AmaderCode Lab Dropshipping & Affiliation with Amazon (CVE-2023-31215)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en AmaderCode Lab Dropshipping & Affiliation with Amazon. Este problema afecta a Dropshipping & Affiliation with Amazon: desde n/a hasta 2.1.2.
  • Vulnerabilidad en WooCommerce AutomateWoo (CVE-2023-33318)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en WooCommerce AutomateWoo. Este problema afecta a AutomateWoo: desde n/a hasta 4.9.40.
  • Vulnerabilidad en WPChill Download Monitor (CVE-2023-34007)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en WPChill Download Monitor. Este problema afecta a Download Monitor: desde n/a hasta 4.8.3.
  • Vulnerabilidad en Themify Themify Ultra (CVE-2023-46149)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 28/12/2023
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en Themify Themify Ultra. Este problema afecta a Themify Ultra: desde n/a hasta 7.3.5.
  • Vulnerabilidad en Apache Airflow (CVE-2023-47265)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 28/12/2023
    Apache Airflow, desde versiones 2.6.0 a 2.7.3, tiene una vulnerabilidad de XSS almacenado que permite a un autor de DAG agregar un javascript ilimitado y no sanitizado en el campo de descripción de parámetros del DAG. Este Javascript se puede ejecutar en el lado del cliente de cualquiera de los usuarios que mira las tareas en la sandbox del navegador. Si bien este problema no permite salir de la sandbox del navegador ni manipular los datos del lado del servidor (más de los que el autor del DAG ya tiene, permite modificar lo que el usuario que mira los detalles del DAG ve en el navegador), lo que abre todo tipo de problemas de posibilidades de engañar a otros usuarios. Se recomienda a los usuarios de Apache Airflow actualizar a la versión 2.8.0 o posterior para mitigar el riesgo asociado con esta vulnerabilidad.
  • Vulnerabilidad en Apache Airflow (CVE-2023-48291)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 28/12/2023
    Apache Airflow, en versiones anteriores a la 2.8.0, contiene una vulnerabilidad de seguridad que permite a un usuario autenticado con acceso limitado a algunos DAG crear una solicitud que podría darle al usuario acceso de escritura a varios recursos de DAG para los DAG a los que el usuario no tenía acceso. para, por lo tanto, permitir al usuario borrar DAG que no debería. Esta es una solución que falta para CVE-2023-42792 en Apache Airflow 2.7.2. Se recomienda encarecidamente a los usuarios de Apache Airflow que actualicen a la versión 2.8.0 o posterior para mitigar el riesgo asociado con esta vulnerabilidad.
  • Vulnerabilidad en Apache Airflow (CVE-2023-49920)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 28/12/2023
    Apache Airflow, desde versión 2.7.0 a 2.7.3, tiene una vulnerabilidad que permite a un atacante activar un DAG en una solicitud GET sin validación CSRF. Como resultado, era posible que un sitio web malicioso abierto en el mismo navegador (por el usuario que también tenía abierta la interfaz de usuario de Airflow) desencadenara la ejecución de DAG sin el consentimiento del usuario. Se recomienda a los usuarios que actualicen a la versión 2.8.0 o posterior, que no se ve afectada.
  • Vulnerabilidad en Apache Airflow (CVE-2023-50783)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 28/12/2023
    Apache Airflow, en versiones anteriores a 2.8.0, se ve afectado por una vulnerabilidad que permite a un usuario autenticado sin el permiso de edición de variables actualizar una variable. Este fallo compromete la integridad de la gestión de variables, lo que podría provocar modificaciones de datos no autorizadas. Se recomienda a los usuarios actualizar a 2.8.0, que soluciona este problema
  • Vulnerabilidad en PHPGurukul Online Notes Sharing System 1.0 (CVE-2023-7051)
    Severidad: MEDIA
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 28/12/2023
    Una vulnerabilidad fue encontrada en PHPGurukul Online Notes Sharing System 1.0 y clasificada como problemática. Una función desconocida del archivo /user/manage-notes.php del componente Notes Handler es afectada por esta vulnerabilidad. La manipulación del argumento delid conduce a cross-site request forgery. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-248738 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en PHPGurukul Online Notes Sharing System 1.0 (CVE-2023-7052)
    Severidad: MEDIA
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 28/12/2023
    Se encontró una vulnerabilidad en PHPGurukul Online Notes Sharing System 1.0. Ha sido clasificada como problemática. Esto afecta a una parte desconocida del archivo /user/profile.php. La manipulación del nombre del argumento conduce a cross-site request forgery. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-248739.
  • Vulnerabilidad en PHPGurukul Online Notes Sharing System 1.0 (CVE-2023-7053)
    Severidad: BAJA
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 28/12/2023
    Se encontró una vulnerabilidad en PHPGurukul Online Notes Sharing System 1.0. Ha sido declarada problemática. Esta vulnerabilidad afecta a un código desconocido del archivo /user/signup.php. La manipulación conduce a requisitos de contraseña débiles. El ataque se puede iniciar de forma remota. La complejidad del ataque es bastante alta. La explotación parece difícil. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-248740.
  • Vulnerabilidad en PHPGurukul Online Notes Sharing System 1.0 (CVE-2023-7054)
    Severidad: MEDIA
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 28/12/2023
    Se encontró una vulnerabilidad en PHPGurukul Online Notes Sharing System 1.0. Ha sido calificada como problemática. Este problema afecta un procesamiento desconocido del archivo /user/add-notes.php. La manipulación conduce a una carga sin restricciones. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-248741.
  • Vulnerabilidad en PHPGurukul Online Notes Sharing System 1.0 (CVE-2023-7055)
    Severidad: MEDIA
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 28/12/2023
    Una vulnerabilidad ha sido encontrada en PHPGurukul Online Notes Sharing System 1.0 y clasificada como problemática. Una función desconocida del archivo /user/profile.php del componente Contact Information Handler es afectada por esta vulnerabilidad. La manipulación del argumento mobilenumber conduce a controles de acceso inadecuados. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada y puede utilizarse. VDB-248742 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Faculty Management System 1.0 (CVE-2023-7056)
    Severidad: BAJA
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 28/12/2023
    Una vulnerabilidad fue encontrada en code-projects Faculty Management System 1.0 y clasificada como problemática. Una función desconocida del archivo /admin/pages/subjects.php es afectada por esta vulnerabilidad. La manipulación del argumento Description/Units conduce a cross site scripting. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-248743.
  • Vulnerabilidad en code-projects Faculty Management System 1.0 (CVE-2023-7057)
    Severidad: MEDIA
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 28/12/2023
    Una vulnerabilidad clasificada como problemática fue encontrada en code-projects Faculty Management System 1.0. Una función desconocida del archivo /admin/pages/yearlevel.php es afectada por esta vulnerabilidad. La manipulación del argumento Year Level/Section conduce a cross site scripting. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-248744.
  • Vulnerabilidad en SourceCodester Simple Student Attendance System 1.0 (CVE-2023-7058)
    Severidad: MEDIA
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 28/12/2023
    Se encontró una vulnerabilidad en SourceCodester Simple Student Attendance System 1.0. Ha sido declarada crítica. Una funcionalidad desconocida es afectada por esta vulnerabilidad. La manipulación de la página de argumentos conduce a path traversal: '../filedir'. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-248749.
  • Vulnerabilidad en SourceCodester School Visitor Log e-Book 1.0 (CVE-2023-7059)
    Severidad: MEDIA
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 28/12/2023
    Se encontró una vulnerabilidad en SourceCodester School Visitor Log e-Book 1.0. Ha sido calificada como problemática. Una función desconocida del archivo log-book.php es afectada por esta vulnerabilidad. La manipulación del argumento Full Name conduce a cross site scripting. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-248750 es el identificador asignado a esta vulnerabilidad.