Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en YourSpotify (CVE-2024-28193)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2024
    Fecha de última actualización: 24/01/2025
    your_spotify es un panel de seguimiento de Spotify autohospedado y de código abierto. La versión <1.8.0 de YourSpotify permite a los usuarios crear un token público en la configuración, que se puede utilizar para proporcionar acceso a nivel de invitado a la información de ese usuario específico en YourSpotify. El punto final de la API /me revela el acceso a la API de Spotify y los tokens de actualización a los usuarios invitados. Por lo tanto, los atacantes con acceso a un token público para el acceso de invitados a YourSpotify pueden obtener acceso a los tokens API de Spotify de los usuarios de YourSpotify. Como consecuencia, los atacantes pueden extraer información de perfil, información sobre hábitos de escucha, listas de reproducción y otra información del perfil de Spotify correspondiente. Además, el atacante puede pausar y reanudar la reproducción en la aplicación Spotify a voluntad. Este problema se resolvió en la versión 1.8.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para este problema.
  • Vulnerabilidad en El complemento WP Shortcodes Plugin — Shortcodes Ultimate para WordPress (CVE-2024-4553)
    Severidad: MEDIA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 24/01/2025
    El complemento WP Shortcodes Plugin — Shortcodes Ultimate para WordPress es vulnerable a Cross Site Scripting Almacenado a través del código abreviado 'su_members' del complemento en todas las versiones hasta la 7.1.5 incluida debido a una sanitización de entrada insuficiente y a que la salida se escapa en el atributo 'color' proporcionado por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en El complemento Move Addons for Elementor para WordPress (CVE-2024-4695)
    Severidad: MEDIA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 24/01/2025
    El complemento Move Addons for Elementor para WordPress es vulnerable a Cross Site Scripting Almacenado a través de múltiples widgets en todas las versiones hasta la 1.3.1 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en El complemento Elementor Website Builder – More than Just a Page Builder para WordPress (CVE-2024-4619)
    Severidad: MEDIA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 24/01/2025
    El complemento Elementor Website Builder – More than Just a Page Builder para WordPress es vulnerable a Cross Site Scripting Almacenado basado en DOM a través del parámetro 'hover_animation' en versiones hasta la 3.21.4 incluida debido a una limpieza de entrada insuficiente y un escape de salida . Esto hace posible que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en El complemento HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-4876)
    Severidad: MEDIA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 24/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross Site Scripting Almacenado a través del parámetro 'popover_header_text' en versiones hasta la 2.5.2 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Memberpress para WordPress (CVE-2024-5025)
    Severidad: MEDIA
    Fecha de publicación: 22/05/2024
    Fecha de última actualización: 24/01/2025
    El complemento Memberpress para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'arglist' en todas las versiones hasta la 1.11.29 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de Colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en WPS Telegram Chat para WordPress (CVE-2024-9630)
    Severidad: MEDIA
    Fecha de publicación: 25/10/2024
    Fecha de última actualización: 24/01/2025
    El complemento WPS Telegram Chat para WordPress es vulnerable a la omisión de autorización debido a una verificación de capacidad faltante al acceder a mensajes en versiones hasta la 4.5.4 incluida. Esto hace posible que atacantes no autenticados vean los mensajes que se envían a través de la API de bots de Telegram.