Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en complemento Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress (CVE-2024-6518)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/07/2024
    Fecha de última actualización: 27/08/2024
    El complemento Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress es vulnerable a Cross Site Scripting almacenado en todas las versiones hasta la 5.1.19 incluida debido a una sanitización de entrada y un escape de salida insuficientes . Esto hace posible que atacantes autenticados, con acceso de nivel de administrador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en complemento Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress (CVE-2024-6520)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/07/2024
    Fecha de última actualización: 27/08/2024
    El complemento Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress es vulnerable a Cross Site Scripting almacenado en todas las versiones hasta la 5.1.19 incluida debido a una sanitización de entrada y un escape de salida insuficientes . Esto hace posible que atacantes autenticados, con acceso de nivel de administrador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en complemento Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress (CVE-2024-6521)
    Severidad: Pendiente de análisis
    Fecha de publicación: 27/07/2024
    Fecha de última actualización: 27/08/2024
    El complemento Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress es vulnerable a Cross Site Scripting almacenado en todas las versiones hasta la 5.1.19 incluida debido a una sanitización de entrada y un escape de salida insuficientes . Esto hace posible que atacantes autenticados, con acceso de nivel de administrador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en gaizhenbiao/chuanhuchatgpt versión 20240410 (CVE-2024-6255)
    Severidad: Pendiente de análisis
    Fecha de publicación: 31/07/2024
    Fecha de última actualización: 27/08/2024
    Una vulnerabilidad en el manejo de archivos JSON de gaizhenbiao/chuanhuchatgpt versión 20240410 permite a cualquier usuario eliminar cualquier archivo JSON en el servidor, incluidos archivos de configuración críticos como `config.json` y `ds_config_chatbot.json`. Este problema surge debido a una validación inadecuada de las rutas de los archivos, lo que permite ataques de cruce de directorios. Un atacante puede aprovechar esta vulnerabilidad para interrumpir el funcionamiento del sistema, manipular la configuración o provocar potencialmente la pérdida o corrupción de datos.
  • Vulnerabilidad en SourceCodester E-Commerce System 1.0 (CVE-2024-8086)
    Severidad: ALTA
    Fecha de publicación: 22/08/2024
    Fecha de última actualización: 27/08/2024
    Una vulnerabilidad fue encontrada en SourceCodester E-Commerce System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /ecommerce/admin/login.php del componente Admin Login. La manipulación del argumento user_email conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en SourceCodester E-Commerce System 1.0 (CVE-2024-8087)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2024
    Fecha de última actualización: 27/08/2024
    Una vulnerabilidad fue encontrada en SourceCodester E-Commerce System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /ecommerce/popup_Item.php. La manipulación del argumento id conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en SourceCodester E-Commerce System 1.0 (CVE-2024-8089)
    Severidad: MEDIA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Se encontró una vulnerabilidad en SourceCodester E-Commerce System 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo /ecommerce/admin/products/controller.php es afectada por esta vulnerabilidad. La manipulación de la foto del argumento da lugar a una subida sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en Zohocorp ManageEngine ADAudit Plus (CVE-2024-36514)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones de Zohocorp ManageEngine ADAudit Plus inferiores a 8000 son vulnerables a la inyección SQL autenticada en la opción de resumen de archivos.
  • Vulnerabilidad en Zohocorp ManageEngine ADAudit Plus (CVE-2024-36515)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones de Zohocorp ManageEngine ADAudit Plus inferiores a 8000 son vulnerables a la inyección de SQL autenticado en el panel. Nota: Esta vulnerabilidad es diferente de otra vulnerabilidad (CVE-2024-36516), las cuales han afectado el panel de ADAudit Plus.
  • Vulnerabilidad en Zohocorp ManageEngine ADAudit Plus (CVE-2024-36516)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones de Zohocorp ManageEngine ADAudit Plus inferiores a 8000 son vulnerables a la inyección de SQL autenticado en el panel. Nota: Esta vulnerabilidad es diferente de otra vulnerabilidad (CVE-2024-36515), las cuales han afectado el panel de ADAudit Plus.
  • Vulnerabilidad en Zohocorp ManageEngine ADAudit Plus (CVE-2024-36517)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones de Zohocorp ManageEngine ADAudit Plus inferiores a 8000 son vulnerables a la inyección de SQL autenticado en el módulo de alertas.
  • Vulnerabilidad en Zohocorp ManageEngine OpManager y Remote Monitoring and Management (CVE-2024-5466)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Zohocorp ManageEngine OpManager y Remote Monitoring and Management versiones 128329 e inferiores son vulnerables a la ejecución remota de código autenticado en la opción de implementación del agente.
  • Vulnerabilidad en Zohocorp ManageEngine ADAudit Plus (CVE-2024-5467)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones de Zohocorp ManageEngine ADAudit Plus inferiores a 8121 son vulnerables a la inyección de SQL autenticado en el informe de bloqueo de cuenta.
  • Vulnerabilidad en Zohocorp ManageEngine ADAudit Plus (CVE-2024-5490)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones de Zohocorp ManageEngine ADAudit Plus inferiores a 8000 son vulnerables a la inyección SQL autenticada en la opción de informes agregados.
  • Vulnerabilidad en Zohocorp ManageEngine ADAudit Plus (CVE-2024-5556)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones de Zohocorp ManageEngine ADAudit Plus inferiores a 8000 son vulnerables a la inyección de SQL autenticado en el módulo de informes.
  • Vulnerabilidad en Zohocorp ManageEngine ADAudit Plus (CVE-2024-5586)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones de Zohocorp ManageEngine ADAudit Plus inferiores a 8121 son vulnerables a la inyección SQL autenticada en la opción de informe de bloqueos de extranet.
  • Vulnerabilidad en Zohocorp ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus (CVE-2024-38869)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Una vulnerabilidad de Cross-Site Scripting Almacenado afecta a Zohocorp ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus. Este problema afecta a las versiones de ServiceDesk Plus: hasta 14810; ServiceDesk Plus MSP: hasta 14800; SupportCenter Plus: hasta 14800.
  • Vulnerabilidad en Zohocorp ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus (CVE-2024-41150)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Una vulnerabilidad de Cross-Site Scripting Almacenado en el módulo de solicitud afecta a Zohocorp ManageEngine ServiceDesk Plus, ServiceDesk Plus MSP y SupportCenter Plus. Este problema afecta a las versiones de ServiceDesk Plus: hasta 14810; ServiceDesk Plus MSP: hasta 14800; SupportCenter Plus: hasta 14800.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-41875)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones 6.5.20 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-41876)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones 6.5.20 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) reflejado. Si un atacante puede convencer a una víctima para que visite una URL que haga referencia a una página vulnerable, se puede ejecutar contenido JavaScript malicioso dentro del contexto del navegador de la víctima.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-41877)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) almacenado que un atacante podría aprovechar para inyectar scripts maliciosas en campos de formulario vulnerables. Se puede ejecutar JavaScript malicioso en el navegador de la víctima cuando navega a la página que contiene el campo vulnerable.
  • Vulnerabilidad en Adobe Experience Manager (CVE-2024-41878)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Las versiones 6.5.19 y anteriores de Adobe Experience Manager se ven afectadas por una vulnerabilidad de cross site scripting (XSS) basada en DOM. Esta vulnerabilidad podría permitir a un atacante inyectar y ejecutar código JavaScript arbitrario dentro del contexto de la sesión del navegador del usuario. La explotación de este problema requiere la interacción del usuario, como convencer a la víctima de que haga clic en un enlace malicioso.
  • Vulnerabilidad en itsourcecode Online Accreditation Management System (CVE-2024-42918)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    itsourcecode Online Accreditation Management System contiene una vulnerabilidad de cross site scripting, que permite a un atacante ejecutar código arbitrario a través de un payload manipulado para los parámetros SCHOOLNAME, EMAILADDRES, CONTACTNO, COMPANYNAME y COMPANYCONTACTNO en controller.php.
  • Vulnerabilidad en Tenda FH1206 V1.2.0.8(8155)_EN (CVE-2024-44387)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Tenda FH1206 V1.2.0.8(8155)_EN contiene una vulnerabilidad de desbordamiento de búfer a través de la función formWrlExtraGet.
  • Vulnerabilidad en Tenda FH1206 V1.2.0.8(8155)_EN (CVE-2024-44390)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Tenda FH1206 V1.2.0.8(8155)_EN contiene una vulnerabilidad de desbordamiento de búfer a través de la función formWrlsafeset.
  • Vulnerabilidad en Microsoft Corporation (CVE-2024-38207)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 27/08/2024
    Vulnerabilidad de corrupción de memoria de Microsoft Edge (basada en HTML)
  • Vulnerabilidad en D-Link (CVE-2024-8127)
    Severidad: MEDIA
    Fecha de publicación: 24/08/2024
    Fecha de última actualización: 27/08/2024
    Una vulnerabilidad fue encontrada en D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325 y clasificada como crítica, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 y DNS-1550-04 hasta 20240814. Esta vulnerabilidad afecta a la función cgi_unzip del archivo /cgi-bin/webfile_mgr.cgi del componente HTTP POST Request Handler. La manipulación de la ruta del argumento conduce a la inyección de comandos. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante. NOTA: Se contactó primeramente con el proveedor y se confirmó que el producto ha llegado al final de su vida útil. Debería retirarse y reemplazarse.