Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en J.N. Breetvelt a.K.A. OpaJaap WP Photo Album Plus (CVE-2023-49812)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 30/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en J.N. Breetvelt a.K.A. OpaJaap WP Photo Album Plus. Este problema afecta a WP Photo Album Plus: desde n/a hasta 8.5.02.005.
  • Vulnerabilidad en Spoon themes Adifier - Classified Ads WordPress Theme (CVE-2023-49752)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 30/12/2023
    La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Spoon themes Adifier - Classified Ads WordPress Theme. Este problema afecta a Adifier - Classified Ads WordPress Theme: desde n/a antes de 3.1.4.
  • Vulnerabilidad en huggingface/transformers de Github (CVE-2023-7018)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 30/12/2023
    Deserialización de datos que no son de confianza en el repositorio de GitHub huggingface/transformers anteriores a 4.36.
  • Vulnerabilidad en Mondula GmbH Multi Step Form (CVE-2023-50832)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 30/12/2023
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Mondula GmbH Multi Step Form permite XSS almacenado. Este problema afecta a Multi Step Form: desde n/a hasta 1.7.13.
  • Vulnerabilidad en WooCommerce WooCommerce Bookings (CVE-2023-32747)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 30/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en WooCommerce WooCommerce Bookings. Este problema afecta a WooCommerce Bookings: desde n/a hasta 1.15.78.
  • Vulnerabilidad en WooCommerce Shipping Multiple Addresses (CVE-2023-32799)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 30/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en WooCommerce Shipping Multiple Addresses. Este problema afecta a Shipping Multiple Addresses: desde n/a hasta 3.8.3.
  • Vulnerabilidad en KaineLabs Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress (CVE-2023-47191)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 30/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en KaineLabs Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress. Este problema afecta a Youzify – BuddyPress Community, User Profile, Social Network & Membership Plugin for WordPress: desde n/a hasta 1.2.2.
  • Vulnerabilidad en Blaz K. Rate my Post – WP Rating System (CVE-2023-49765)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 30/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en Blaz K. Rate my Post – WP Rating System. Este problema afecta a Rate my Post – WP Rating System: desde n/a hasta 3.4.1.
  • Vulnerabilidad en August Infotech WooCommerce Menu Extension (CVE-2023-50834)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 30/12/2023
    La neutralización incorrecta de la vulnerabilidad Input During Web Page Generation ('Cross-site Scripting') en August Infotech WooCommerce Menu Extension permite XSS almacenado. Este problema afecta a WooCommerce Menu Extension: desde n/a hasta 1.6.2.
  • Vulnerabilidad en codelyfe Stupid Simple CMS (CVE-2023-7040)
    Severidad: MEDIA
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 30/12/2023
    Una vulnerabilidad fue encontrada en codelyfe Stupid Simple CMS hasta 1.2.4 y clasificada como problemática. Una función desconocida del archivo /file-manager/rename.php es afectada por esta vulnerabilidad. La manipulación del argumento oldName conduce a path traversal: '../filedir'. El ataque se puede lanzar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-248689.
  • Vulnerabilidad en Dreamer CMS 4.1.3 (CVE-2023-7091)
    Severidad: MEDIA
    Fecha de publicación: 24/12/2023
    Fecha de última actualización: 30/12/2023
    Se encontró una vulnerabilidad en Dreamer CMS 4.1.3. Ha sido declarada problemática. Esta vulnerabilidad afecta a código desconocido del archivo /upload/uploadFile. La manipulación del archivo de argumentos conduce a una carga sin restricciones. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-248938 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna forma.
  • Vulnerabilidad en Faculty Management System 1.0 (CVE-2023-7096)
    Severidad: MEDIA
    Fecha de publicación: 25/12/2023
    Fecha de última actualización: 30/12/2023
    Se encontró una vulnerabilidad en los proyectos de código Faculty Management System 1.0. Ha sido calificada como crítica. Una función desconocida del archivo /admin/php/crud.php es afectada por esta vulnerabilidad. La manipulación del argumento fieldname conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. La explotación ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-248948.
  • Vulnerabilidad en Water Billing System 1.0 (CVE-2023-7097)
    Severidad: MEDIA
    Fecha de publicación: 25/12/2023
    Fecha de última actualización: 30/12/2023
    Una vulnerabilidad ha sido encontrada en code-projects Water Billing System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /addbill.php. La manipulación del argumento owners_id conduce a la inyección SQL. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-248949.
  • Vulnerabilidad en Library Management System 2.0 (CVE-2023-7111)
    Severidad: MEDIA
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Una vulnerabilidad fue encontrada en code-projects Library Management System 2.0 y clasificada como crítica. Una función desconocida del archivo index.php es afectada por esta vulnerabilidad. La manipulación de la categoría de argumento conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-249006 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en Tenda M3 V1.0.0.12 (CVE-2023-51095)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda M3 V1.0.0.12(4856) contenía un desbordamiento de pila a través de la función formDelWlRfPolicy.
  • Vulnerabilidad en Tenda M3 V1.0.0.12 (CVE-2023-51090)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda M3 V1.0.0.12(4856) contenía un desbordamiento de pila a través de la función formGetWeiXinConfig.
  • Vulnerabilidad en Tenda M3 V1.0.0.12 (CVE-2023-51091)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda M3 V1.0.0.12(4856) contenía un desbordamiento de pila a través de la función R7WebsSecurityHandler.
  • Vulnerabilidad en Tenda M3 V1.0.0.12 (CVE-2023-51092)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda M3 V1.0.0.12(4856) contenía un desbordamiento de pila mediante la actualización de la función.
  • Vulnerabilidad en Tenda M3 V1.0.0.12 (CVE-2023-51093)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda M3 V1.0.0.12(4856) contenía un desbordamiento de pila a través de la función fromSetLocalVlanInfo.
  • Vulnerabilidad en Tenda M3 V1.0.0.12 (CVE-2023-51094)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda M3 V1.0.0.12(4856) contiene una vulnerabilidad de ejecución de comandos a través de la función TendaTelnet.
  • Vulnerabilidad en Tenda W9 V1.0.0.7 (CVE-2023-51097)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda W9 V1.0.0.7(4456)_CN contenía un desbordamiento de pila a través de la función formSetAutoPing.
  • Vulnerabilidad en Tenda W9 V1.0.0.7 (CVE-2023-51098)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda W9 V1.0.0.7(4456)_CN contiene una vulnerabilidad de inyección de comandos a través de la función formSetDiagnoseInfo.
  • Vulnerabilidad en Tenda W9 V1.0.0.7 (CVE-2023-51099)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda W9 V1.0.0.7(4456)_CN contiene una vulnerabilidad de inyección de comandos a través de la función formexeCommand.
  • Vulnerabilidad en Tenda W9 V1.0.0.7 (CVE-2023-51100)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda W9 V1.0.0.7(4456)_CN contiene una vulnerabilidad de inyección de comandos a través de la función formGetDiagnoseInfo.
  • Vulnerabilidad en Tenda W9 V1.0.0.7 (CVE-2023-51101)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda W9 V1.0.0.7(4456)_CN contenía un desbordamiento de pila a través de la función formSetUplinkInfo.
  • Vulnerabilidad en Tenda W9 V1.0.0.7 (CVE-2023-51102)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 30/12/2023
    Se descubrió que Tenda W9 V1.0.0.7(4456)_CN contenía un desbordamiento de pila a través de la función formWifiMacFilterSet.