Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en EZ-Suite EZ-Partner 5 (CVE-2024-6183)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2024
    Fecha de última actualización: 20/08/2024
    Una vulnerabilidad ha sido encontrada en EZ-Suite EZ-Partner 5 y clasificada como problemática. Una función desconocida del componente Forgot Password Handler es afectada por esta vulnerabilidad. La manipulación conduce a Cross Site Scripting básico. Es posible lanzar el ataque de forma remota. VDB-269154 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Ruijie RG-UAC 1.0 (CVE-2024-6185)
    Severidad: MEDIA
    Fecha de publicación: 20/06/2024
    Fecha de última actualización: 20/08/2024
    Una vulnerabilidad fue encontrada en Ruijie RG-UAC 1.0 y clasificada como crítica. La función get_ip_addr_details del archivo /view/dhcp/dhcpConfig/commit.php es afectada por esta vulnerabilidad. La manipulación del argumento ethname conduce a la inyección del comando os. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-269156. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en UberMenu para WordPress (CVE-2024-3593)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/06/2024
    Fecha de última actualización: 20/08/2024
    El complemento UberMenu para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 3.8.3 incluida. Esto se debe a una validación nonce faltante o incorrecta en las funciones ubermenu_delete_all_item_settings y ubermenu_reset_settings. Esto hace posible que atacantes no autenticados eliminen y restablezcan la configuración del complemento mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Consulting Elementor Widgets (CVE-2024-37089)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/06/2024
    Fecha de última actualización: 20/08/2024
    La limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido ("Path Traversal") en StylemixThemes Consulting Elementor Widgets permite la inclusión de archivos locales PHP. Este problema afecta a Consulting Elementor Widgets: desde n/a hasta 1.3.0.
  • Vulnerabilidad en Consulting Elementor Widgets (CVE-2024-37092)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/06/2024
    Fecha de última actualización: 20/08/2024
    La limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido ("Path Traversal") en StylemixThemes Consulting Elementor Widgets permite la inclusión de archivos locales PHP. Este problema afecta a Consulting Elementor Widgets: desde n/a hasta 1.3.0.
  • Vulnerabilidad en WishList Member X (CVE-2024-37107)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/06/2024
    Fecha de última actualización: 20/08/2024
    Vulnerabilidad de gestión de privilegios inadecuada en el software de membresía WishList Member X permite la escalada de privilegios. Este problema afecta a WishList Member X: desde n/a hasta 3.25.1.
  • Vulnerabilidad en WishList Member X (CVE-2024-37111)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/06/2024
    Fecha de última actualización: 20/08/2024
    Vulnerabilidad de autorización faltante en el software de membresía WishList Member X. Este problema afecta a WishList Member X: desde n/a hasta 3.25.1.
  • Vulnerabilidad en stangirard/quivr (CVE-2024-5885)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/06/2024
    Fecha de última actualización: 20/08/2024
    La versión 0.0.236 de stangirard/quivr contiene una vulnerabilidad de Server-Side Request Forgery (SSRF). La aplicación no proporciona controles suficientes al rastrear un sitio web, lo que permite a un atacante acceder a aplicaciones en la red local. Esta vulnerabilidad podría permitir que un usuario malintencionado obtenga acceso a servidores internos, al endpoint de metadatos de AWS y capture datos de Supabase.
  • Vulnerabilidad en itsourcecode Ticket Reservation System 1.0 (CVE-2024-7444)
    Severidad: ALTA
    Fecha de publicación: 03/08/2024
    Fecha de última actualización: 20/08/2024
    Una vulnerabilidad fue encontrada en itsourcecode Ticket Reservation System 1.0 y clasificada como crítica. Una función desconocida del archivo login.php del componente Login Page es afectada por esta vulnerabilidad. La manipulación del argumento nombre de usuario conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-273529.
  • Vulnerabilidad en huntr.dev (CVE-2024-6331)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/08/2024
    Fecha de última actualización: 20/08/2024
    La rama principal de stitionai/devika a partir del commit cdfb782b0e634b773b10963c8034dc9207ba1f9f es vulnerable a la lectura de archivos locales (LFI) mediante inyección rápida. La integración de Google Gimini 1.0 Pro con `HarmBlockThreshold.BLOCK_NONE` para `HarmCategory.HARM_CATEGORY_HATE_SPEECH` y `HarmCategory.HARM_CATEGORY_HARASSMENT` en `safety_settings` deshabilita la protección de contenido. Esto permite que se ejecuten comandos maliciosos, como leer contenidos de archivos confidenciales como `/etc/passwd`.
  • Vulnerabilidad en itsourcecode Placement Management System 1.0 (CVE-2024-7449)
    Severidad: ALTA
    Fecha de publicación: 04/08/2024
    Fecha de última actualización: 20/08/2024
    Una vulnerabilidad fue encontrada en itsourcecode Placement Management System 1.0 y clasificada como crítica. Una función desconocida del archivo login.php es afectada por esta vulnerabilidad. La manipulación del argumento email conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-273540.