Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Currency.Wiki Currency Converter Widget – Exchange Rates (CVE-2023-50822)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 02/01/2024
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('cross-site Scripting') en Currency.Wiki Currency Converter Widget – Exchange Rates permite XSS almacenado. Este problema afecta a Currency Converter Widget – Exchange Rates: desde n/a hasta 3.0.2.
  • Vulnerabilidad en FileRun 20220519 (CVE-2022-47532)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 02/01/2024
    FileRun 20220519 permite la inyección de SQL a través del parámetro "dir" en una solicitud /?module=users&section=cpanel&page=list.
  • Vulnerabilidad en slawkens MyAAC (CVE-2023-7076)
    Severidad: MEDIA
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 02/01/2024
    Se encontró una vulnerabilidad en slawkens MyAAC hasta 0.8.13. Ha sido declarada problemática. Esta vulnerabilidad afecta a código desconocido del sistema de archivos/pages/bugtracker.php. La manipulación del argumento bug[2]['subject']/bug[2]['text']/report['subject'] conduce a cross site scripting. El ataque se puede iniciar de forma remota. La actualización a la versión 0.8.14 puede solucionar este problema. El nombre del parche es 83a91ec540072d319dd338abff45f8d5ebf48190. Se recomienda actualizar el componente afectado. El identificador de esta vulnerabilidad es VDB-248848.
  • Vulnerabilidad en Hertzbeat (CVE-2022-39337)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 02/01/2024
    Hertzbeat es un sistema de monitoreo en tiempo real de código abierto con monitoreo personalizado, clúster de alto rendimiento, similar a Prometheus y sin agentes. Las versiones 1.20 y anteriores de Hertzbeat tienen una vulnerabilidad de omisión de permisos. La autenticación del sistema se puede omitir e invocar interfaces sin autorización. La versión 1.2.1 contiene un parche para este problema.
  • Vulnerabilidad en Dell SupportAssist para PC (CVE-2023-48670)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 02/01/2024
    Dell SupportAssist para PCs domésticos versión 3.14.1 y versiones anteriores contienen una vulnerabilidad de escalada de privilegios en el instalador. Un atacante local autenticado con pocos privilegios podría explotar esta vulnerabilidad, lo que llevaría a la ejecución de un ejecutable arbitrario en el sistema operativo con privilegios elevados.
  • Vulnerabilidad en ClickHouse (CVE-2023-48704)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 02/01/2024
    ClickHouse es un sistema de gestión de bases de datos orientado a columnas de código abierto que permite generar informes de datos analíticos en tiempo real. Se descubrió un problema de desbordamiento de búfer de almacenamiento dinámico en el servidor ClickHouse. Un atacante podría enviar un payload especialmente manipulado a la interfaz nativa expuesta de forma predeterminada en el puerto 9000/tcp, lo que desencadenaría un error en la lógica de descompresión del códec Gorilla que bloquearía el proceso del servidor ClickHouse. Este ataque no requiere autenticación. Este problema se solucionó en la versión 23.9.2.47551 de ClickHouse Cloud y en las versiones 23.10.5.20, 23.3.18.15, 23.8.8.20 y 23.9.6.20 de ClickHouse.
  • Vulnerabilidad en GROWI (CVE-2023-47215)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    La vulnerabilidad de cross-site scripting almacenado que explota un comportamiento del filtro XSS existe en las versiones de GROWI anteriores a la v6.0.0. Si se explota esta vulnerabilidad, se puede ejecutar un script arbitrario en el navegador web del us
  • Vulnerabilidad en GROWI (CVE-2023-49119)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    La vulnerabilidad de cross-site scripting almacenado a través de las etiquetas img existe en las versiones de GROWI anteriores a la v6.0.0. Si se explota esta vulnerabilidad, se puede ejecutar un script arbitrario en el navegador web del usuario que accedió al sitio utilizando el producto.
  • Vulnerabilidad en GROWI (CVE-2023-49598)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    Existe una vulnerabilidad de cross-site scripting almacenado en los controladores de eventos de las etiquetas previas en las versiones de GROWI anteriores a la v6.0.0. Si se explota esta vulnerabilidad, se puede ejecutar un script arbitrario en el navegador web del usuario que accedió al sitio utilizando el producto.
  • Vulnerabilidad en GROWI (CVE-2023-49779)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    Existe una vulnerabilidad de cross-site scripting almacenado en la etiqueta de anclaje de las versiones de GROWI anteriores a la v6.0.0. Si se explota esta vulnerabilidad, se puede ejecutar un script arbitrario en el navegador web del usuario que accedió al sitio utilizando el producto.
  • Vulnerabilidad en GROWI (CVE-2023-49807)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    La vulnerabilidad de cross-site scripting almacenado al procesar MathJax existe en las versiones de GROWI anteriores a la v6.0.0. Si se explota esta vulnerabilidad, se puede ejecutar un script arbitrario en el navegador web del usuario que accedió al sitio utilizando el producto.
  • Vulnerabilidad en GROWI (CVE-2023-50175)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    La vulnerabilidad de cross-site scripting almacenado existe en la página App Settings (/admin/app), la página Markdown Settings (/admin/markdown) y la página Customize (/admin/customize) de las versiones de GROWI anteriores a la v6.0.0. Si se explota esta vulnerabilidad, se puede ejecutar un script arbitrario en el navegador web del usuario que accedió al sitio utilizando el producto.
  • Vulnerabilidad en GROWI (CVE-2023-50339)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    Existe una vulnerabilidad de cross-site scripting almacenado en la página User Management (/admin/users) de las versiones de GROWI anteriores a la v6.1.11. Si se explota esta vulnerabilidad, se puede ejecutar un script arbitrario en el navegador web del usuario que accedió al sitio utilizando el producto.
  • Vulnerabilidad en WP Sessions Time Monitoring Full Automatic WordPress plugin (CVE-2023-5203)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    WP Sessions Time Monitoring Full Automatic WordPress plugin anterior a 1.0.9 no sanitiza la URL de solicitud ni los parámetros de consulta antes de usarlos en una consulta SQL, lo que permite a atacantes no autenticados extraer datos confidenciales de la base de datos mediante técnicas ciegas de inyección SQL basadas en tiempo, o en En algunos casos, una técnica basada en error/union.
  • Vulnerabilidad en BSK Forms Blacklist WordPress plugin (CVE-2023-5980)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    BSK Forms Blacklist WordPress plugin anterior a 3.7 no sanitiza ni escapa a algunas de sus configuraciones, lo que podría permitir a usuarios con altos privilegios, como el administrador, realizar ataques de Cross-Site Scripting Almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración multisitio).
  • Vulnerabilidad en Hotel Booking Lite WordPress plugin (CVE-2023-5991)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    Hotel Booking Lite WordPress plugin anterior a 4.8.5 no valida las rutas de archivos proporcionadas a través de la entrada del usuario, y tampoco tiene CSRF ni controles de autorización adecuados, lo que permite a usuarios no autenticados descargar y eliminar archivos arbitrarios en el servidor.
  • Vulnerabilidad en Quiz Maker WordPress plugin (CVE-2023-6155)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    Quiz Maker WordPress plugin anterior a 6.4.9.5 no autoriza adecuadamente la acción AJAX `ays_quiz_author_user_search`, lo que permite que un atacante no autenticado realice una búsqueda de usuarios del sistema y, en última instancia, filtre las direcciones de correo electrónico de los usuarios.
  • Vulnerabilidad en Quiz Maker WordPress plugin (CVE-2023-6166)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    Quiz Maker WordPress plugin anterior a 6.4.9.5 no escapa de las URL generadas antes de mostrarlas en atributos, lo que genera Cross-Site Scripting Reflejado.
  • Vulnerabilidad en BestWebSoft's Like & Share WordPress plugin (CVE-2023-6250)
    Severidad: Pendiente de análisis
    Fecha de publicación: 26/12/2023
    Fecha de última actualización: 02/01/2024
    BestWebSoft's Like & Share WordPress plugin anterior a la versión 2.74 revela el contenido de las publicaciones protegidas con contraseña a usuarios no autenticados a través de una metaetiqueta.