Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Tosei Online Store Management System (CVE-2024-7897)
    Severidad: MEDIA
    Fecha de publicación: 17/08/2024
    Fecha de última actualización: 27/09/2024
    Una vulnerabilidad ha sido encontrada en Tosei Online Store Management System 4.02/4.03/4.04 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /cgi-bin/tosei_kikai.php. La manipulación del argumento kikaibangou conduce a la inyección de comandos. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Appointment & Event Booking Calendar Plugin – Webba Booking para WordPress (CVE-2024-8432)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento Appointment & Event Booking Calendar Plugin – Webba Booking para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función save_appearance() en todas las versiones hasta la 5.0.48 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, modifiquen el CSS del formulario de reservas.
  • Vulnerabilidad en Pixel Cat – Conversion Pixel Manager para WordPress (CVE-2024-8544)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento Pixel Cat – Conversion Pixel Manager para WordPress es vulnerable a ataques de cross-site scripting reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta la 3.0.5 incluida. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
  • Vulnerabilidad en Garden Gnome Package para WordPress (CVE-2024-8657)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento Garden Gnome Package para WordPress es vulnerable a cross-site scripting almacenado a través del código corto ggpkg del complemento en todas las versiones hasta la 2.2.9 incluida, debido a una desinfección de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Koko Analytics para WordPress (CVE-2024-8662)
    Severidad: Pendiente de análisis
    Fecha de publicación: 24/09/2024
    Fecha de última actualización: 27/09/2024
    El complemento Koko Analytics para WordPress es vulnerable a ataques de cross-site scripting reflejado debido al uso de add_query_arg sin el escape adecuado en la URL en todas las versiones hasta la 1.3.12 incluida. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.