Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Safari, iOS, iPadOS y macOS Sonoma (CVE-2023-41993)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/09/2023
    Fecha de última actualización: 03/09/2024
    El problema se solucionó con controles mejorados. Este problema se solucionó en Safari 17, iOS 16.7 y iPadOS 16.7, macOS Sonoma 14. El procesamiento de contenido web puede provocar la ejecución de código arbitrario. Apple tiene conocimiento de un informe que indica que este problema puede haber sido explotado activamente en versiones de iOS anteriores a iOS 16.7.
  • Vulnerabilidad en Totolink N200RE_V5 V9.3.5u.6255_B20211224 (CVE-2022-46025)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/01/2024
    Fecha de última actualización: 03/09/2024
    Totolink N200RE_V5 V9.3.5u.6255_B20211224 es vulnerable a un control de acceso incorrecto. El dispositivo permite a atacantes remotos obtener información del sistema Wi-Fi, como el SSID y la contraseña de Wi-Fi, sin iniciar sesión en la página de administración.
  • Vulnerabilidad en Flient Smart Door Lock v1.0 (CVE-2023-50124)
    Severidad: Pendiente de análisis
    Fecha de publicación: 11/01/2024
    Fecha de última actualización: 03/09/2024
    Flient Smart Door Lock v1.0 es vulnerable al uso de credenciales predeterminadas. Debido a las credenciales predeterminadas en una interfaz de depuración, en combinación con ciertas opciones de diseño, un atacante puede desbloquear Flient Smart Door Lock reemplazando la huella digital almacenada en el escáner.
  • Vulnerabilidad en CodiMD (CVE-2024-38354)
    Severidad: Pendiente de análisis
    Fecha de publicación: 10/07/2024
    Fecha de última actualización: 03/09/2024
    CodiMD permite notas de markdown colaborativas en tiempo real en todas las plataformas. La función de cuaderno de Hackmd.io permite la representación de etiquetas "HTML" de iframe con un atributo "name" incorrectamente sanitizado. Esta vulnerabilidad permite a los atacantes realizar ataques de cross-site scripting (XSS) mediante destrucción de DOM. Esta vulnerabilidad se solucionó en 2.5.4.
  • Vulnerabilidad en Template Kit – Export (CVE-2024-37550)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/07/2024
    Fecha de última actualización: 03/09/2024
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Envato Template Kit – Export permite XSS almacenado. Este problema afecta al Template Kit – Export: desde n/a hasta 1.0.22.
  • Vulnerabilidad en Counterpoint (CVE-2024-37559)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/07/2024
    Fecha de última actualización: 03/09/2024
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en Echenley Counterpoint permite XSS reflejado. Este problema afecta a Counterpoint: desde n/a hasta 1.8.1.
  • Vulnerabilidad en complemento Social Auto Poster para WordPress (CVE-2024-6750)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 03/09/2024
    El complemento Social Auto Poster para WordPress es vulnerable al acceso no autorizado, modificación y pérdida de datos debido a una falta de verificación de capacidad en múltiples funciones en todas las versiones hasta la 5.3.14 incluida. Esto hace posible que atacantes no autenticados agreguen, modifiquen o eliminen opciones de complementos y metadatos de publicaciones.
  • Vulnerabilidad en complemento Social Auto Poster para WordPress (CVE-2024-6751)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 03/09/2024
    El complemento Social Auto Poster para WordPress es vulnerable a Cross-Site Request Forgery en versiones hasta la 5.3.14 incluida. Esto se debe a una validación nonce faltante o incorrecta en múltiples funciones. Esto hace posible que atacantes no autenticados agreguen, modifiquen o eliminen opciones de complementos y metadatos de publicaciones.
  • Vulnerabilidad en complemento Social Auto Poster para WordPress (CVE-2024-6752)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 03/09/2024
    El complemento Social Auto Poster para WordPress es vulnerable a Cross Site Scripting almacenado a través del parámetro 'wp_name' en la función AJAX 'wpw_auto_poster_map_wordpress_post_type' en todas las versiones hasta la 5.3.14 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en complemento Social Auto Poster para WordPress (CVE-2024-6753)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 03/09/2024
    El complemento Social Auto Poster para WordPress es vulnerable a Cross Site Scripting almacenado a través del parámetro 'mapTypes' en la función AJAX 'wpw_auto_poster_map_wordpress_post_type' en todas las versiones hasta la 5.3.14 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en complemento Social Auto Poster para WordPress (CVE-2024-6754)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 03/09/2024
    El complemento Social Auto Poster para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una verificación de capacidad faltante en la función 'wpw_auto_poster_update_tweet_template' en todas las versiones hasta la 5.3.14 incluida. Esto hace posible que atacantes autenticados, con acceso a nivel de suscriptor y superior, actualicen metadatos de publicaciones arbitrarias.
  • Vulnerabilidad en complemento Social Auto Poster para WordPress (CVE-2024-6755)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 03/09/2024
    El complemento Social Auto Poster para WordPress es vulnerable a modificaciones no autorizadas y pérdida de datos debido a una falta de verificación de capacidad en la función 'wpw_auto_poster_quick_delete_multiple' en todas las versiones hasta la 5.3.14 incluida. Esto hace posible que atacantes no autenticados eliminen publicaciones arbitrarias.
  • Vulnerabilidad en complemento Social Auto Poster para WordPress (CVE-2024-6756)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/07/2024
    Fecha de última actualización: 03/09/2024
    El complemento Social Auto Poster para WordPress es vulnerable a cargas de archivos arbitrarias debido a la falta de validación del tipo de archivo en la función 'wpw_auto_poster_get_image_path' en todas las versiones hasta la 5.3.14 incluida. Esto hace posible que atacantes autenticados, con permisos de nivel de colaborador y superiores, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código. Un atacante puede utilizar CVE-2024-6754 para explotar con acceso a nivel de suscriptor.
  • Vulnerabilidad en Project Expense Monitoring System 1.0 (CVE-2024-7936)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    Una vulnerabilidad ha sido encontrada en el código fuente Project Expense Monitoring System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo transfer_report.php. La manipulación del argumento inicio/fin/empleado conduce a la inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en itsourcecode Project Expense Monitoring System 1.0 (CVE-2024-7937)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    Una vulnerabilidad fue encontrada en itsourcecode Project Expense Monitoring System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo printtransfer.php. La manipulación del argumento transfer_id conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en SourceCodester Leads Manager Tool 1.0 (CVE-2024-7942)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    Una vulnerabilidad fue encontrada en SourceCodester Leads Manager Tool 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo update-leads.php. La manipulación del argumento phone_number conduce a cross site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en Laravel Property Management System 1.0 (CVE-2024-7943)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    Una vulnerabilidad fue encontrada en el código fuente Laravel Property Management System 1.0 y clasificada como crítica. Este problema afecta la función de carga del archivo PropertiesController.php. La manipulación del archivo de argumentos conduce a una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.
  • Vulnerabilidad en The Plus Addons for Elementor – Elementor Addons, Page Templates, Widgets, Mega Menu, WooCommerce para WordPress (CVE-2024-5763)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    Los complementos The Plus Addons for Elementor – Elementor Addons, Page Templates, Widgets, Mega Menu, WooCommerce para WordPress son vulnerables a Cross-Site Scripting Almacenado a través del atributo video_date dentro del widget de video del complemento en todas las versiones hasta la 5.6.2 incluida debido a una desinfección insuficiente de los insumos y al escape de los productos. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en The Plus Addons for Elementor – Elementor Addons, Page Templates, Widgets, Mega Menu, WooCommerce para WordPress (CVE-2024-6575)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    Los complementos The Plus Addons for Elementor – Elementor Addons, Page Templates, Widgets, Mega Menu, WooCommerce para WordPress son vulnerables a cross site scripting almacenado a través del parámetro 'res_width_value' dentro del widget tp_page_scroll del complemento en todas las versiones hasta, e incluyendo, 5.6.2 debido a una desinfección insuficiente de los insumos y escapes de los productos. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en WP Last Modified Info para WordPress (CVE-2024-6864)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    El complemento WP Last Modified Info para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del atributo 'template' del shortcode lmt-post-modified-info en todas las versiones hasta la 1.9.0 inclusive debido a una desinfección de entrada y un escape de salida insuficiente. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Israel National Cyber Directorate (CVE-2024-41697)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    Prioridad: CWE-80: Neutralización inadecuada de etiquetas HTML relacionadas con secuencias de comandos en una página web (XSS básico)
  • Vulnerabilidad en Israel National Cyber Directorate (CVE-2024-41698)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    Prioridad – CWE-200: Exposición de información confidencial a un actor no autorizado
  • Vulnerabilidad en Israel National Cyber Directorate (CVE-2024-41699)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    Prioridad – CWE-552: Archivos o directorios accesibles a partes externas
  • Vulnerabilidad en Israel National Cyber Directorate (CVE-2024-41700)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/08/2024
    Fecha de última actualización: 03/09/2024
    Barix – CWE-200 Exposición de información confidencial a un actor no autorizado