Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2023-42496)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 28/01/2025
    Vulnerabilidad de Cross-site scripting (XSS) reflejado al agregar asignados a una página de rol en Liferay Portal 7.3.3 hasta 7.4.3.97 y Liferay DXP 2023.Q3 antes del parche 6, 7.4 GA hasta la actualización 92 y 7.3 antes de que la actualización 34 lo permita atacantes remotos inyectar script web o HTML arbitrario a través del parámetro _com_liferay_roles_admin_web_portlet_RolesAdminPortlet_tabs2.
  • Vulnerabilidad en GLPI (CVE-2024-29889)
    Severidad: ALTA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 28/01/2025
    GLPI es un paquete gratuito de software de gestión de TI y activos. Antes de 10.0.15, un usuario autenticado podía explotar una vulnerabilidad de inyección SQL en la función de búsquedas guardadas para alterar los datos de la cuenta de otro usuario y tomar el control de ella. Esta vulnerabilidad se solucionó en 10.0.15.
  • Vulnerabilidad en Noor alam Magical Addons For Elementor (CVE-2024-34547)
    Severidad: MEDIA
    Fecha de publicación: 08/05/2024
    Fecha de última actualización: 28/01/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Noor alam Magical Addons For Elementor permite almacenar XSS. Este problema afecta a Magical Addons For Elementor: desde n/a hasta 1.1.34.
  • Vulnerabilidad en Enter Addons – Ultimate Template Builder para Elementor para WordPress (CVE-2024-3680)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento Enter Addons – Ultimate Template Builder para Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la etiqueta img del widget de título de animación en todas las versiones hasta la 2.1.5 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Enter Addons – Ultimate Template Builder para Elementor para WordPress (CVE-2024-3831)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento Enter Addons – Ultimate Template Builder para Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget de encabezado en todas las versiones hasta la 2.1.5 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-3989)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget de justificación de galería del complemento en todas las versiones hasta la 2.5.0 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Blocksy para WordPress (CVE-2024-4158)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 28/01/2025
    El tema Blocksy para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'tagName' en versiones hasta la 2.0.42 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Blocksy Companion para WordPress (CVE-2024-4487)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento Blocksy Companion para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de cargas SVG en versiones hasta la 2.0.45 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de colaborador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Magical Addons For Elementor para WordPress (CVE-2024-2923)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento Magical Addons For Elementor (Header Footer Builder, Free Elementor Widgets, Elementor Templates Library) para WordPress es vulnerable a las Cross-Site Scripting Almacenado a través del widget de efecto de texto del complemento en todas las versiones hasta la 1.1.37 incluida debido a insuficiencia sanitización de entrada y escape de salida en atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.