Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en las páginas Fingerprints en Jenkins y LTS (CVE-2015-5317)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/11/2015
    Fecha de última actualización: 28/01/2025
    Las páginas Fingerprints en Jenkins en versiones anteriores a 1.638 y LTS en versiones anteriores a 1.625.2 podrían permitir a atacantes remotos obtener trabajo sensible y construir la información de nombre a través de una petición directa.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-26270)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2024
    Fecha de última actualización: 28/01/2025
    La página Configuración de Cuenta en Liferay Portal 7.4.3.76 a 7.4.3.99, y Liferay DXP 2023.Q3 antes del parche 5, y 7.4 actualización 76 a 92 incorpora la contraseña hash del usuario en el código fuente HTML de la página, lo que permite al hombre en el atacantes intermedios para robar la contraseña hash de un usuario.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-25147)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 28/01/2025
    Vulnerabilidad de Cross-site scripting (XSS) en HtmlUtil.escapeJsLink en Liferay Portal 7.2.0 a 7.4.1 y versiones anteriores no compatibles, y Liferay DXP 7.3 anterior al service pack 3, 7.2 anterior al fix pack 15 y versiones anteriores no compatibles, permite a atacantes remotos para inyectar script web o HTML arbitrarias a través de enlaces de estilo javascript: manipulados.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-25152)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 28/01/2025
    Vulnerabilidad de Cross-site scripting (XSS) almacenadas en el widget Tablero de mensajes en Liferay Portal 7.2.0 a 7.4.2 y versiones anteriores no compatibles, y Liferay DXP 7.3 anterior al service pack 3, 7.2 anterior al fix pack 17 y versiones anteriores no compatibles permiten acceso remoto usuarios autenticados para inyectar scripts web o HTML arbitrarios a través del nombre de archivo de un archivo adjunto.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-25601)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 28/01/2025
    Vulnerabilidad de Cross-site scripting (XSS) almacenadas en los campos personalizados de geolocalización del módulo Expando en Liferay Portal 7.2.0 a 7.4.2 y versiones anteriores no compatibles, y Liferay DXP 7.3 anteriores al service pack 3, 7.2 anteriores al fix pack 17 y versiones anteriores no compatibles permite a usuarios remotos autenticados inyectar script web o HTML arbitrario a través de un payload manipulado inyectado en el campo de texto del nombre de un campo personalizado de geolocalización.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-25602)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 28/01/2025
    Vulnerabilidad de Cross-site scripting (XSS) almacenadas en la página de edición de usuario del módulo Users Admin en Liferay Portal 7.2.0 a 7.4.2 y versiones anteriores no compatibles, y Liferay DXP 7.3 anteriores al service pack 3, 7.2 anteriores al fix pack 17 y anteriores no compatibles Las versiones permiten a usuarios remotos autenticados inyectar script web o HTML arbitrarios a través de un payload manipulado inyectado en el campo de texto "Nombre" de una organización.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2023-40191)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 28/01/2025
    Vulnerabilidad de Cross-site scripting (XSS) reflejado en la configuración de instancia para cuentas en Liferay Portal 7.4.3.44 a 7.4.3.97, y Liferay DXP 2023.Q3 antes del parche 6, y 7.4 actualización 44 a 92 permite a atacantes remotos inyectar script arbitrarios o HTML a través de un payload manipulado inyectado en el campo de texto "Dominios de correo electrónico bloqueados"
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2023-47795)
    Severidad: CRÍTICA
    Fecha de publicación: 21/02/2024
    Fecha de última actualización: 28/01/2025
    Vulnerabilidad de Cross-Site Scripting (XSS) Almacenado en el widget Documentos y Medios en Liferay Portal 7.4.3.18 a 7.4.3.101, y Liferay DXP 2023.Q3 antes del parche 6, y 7.4 actualizaciones 18 a 92 permite a usuarios remotos autenticados inyectar script web o HTML arbitrario a través de un payload manipulado inyectado en el campo de texto "Título" de un documento.
  • Vulnerabilidad en WPVibes Elementor Addon Elements (CVE-2024-29107)
    Severidad: MEDIA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 28/01/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPVibes Elementor Addon Elements permite almacenar XSS. Este problema afecta a Elementor Addon Elements: desde n/a hasta 1.12.10.
  • Vulnerabilidad en Blocksy Companion para WordPress (CVE-2024-2392)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2024
    Fecha de última actualización: 28/01/2025
    El complemento Blocksy Companion para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget de boletín informativo del complemento en todas las versiones hasta la 2.0.31 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en HasThemes HT Mega (CVE-2024-30182)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 28/01/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en HasThemes HT Mega permite XSS almacenado. Este problema afecta a HT Mega: desde n/a hasta 2.4.3.
  • Vulnerabilidad en Elementor.Com Elementor Website Builder (CVE-2023-48777)
    Severidad: CRÍTICA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 28/01/2025
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en Elementor.Com Elementor Website Builder. Este problema afecta a Elementor Website Builder: desde 3.3.0 hasta 3.18.1.
  • Vulnerabilidad en Elementor Website Builder – More than Just a Page Builder de WordPress (CVE-2024-2120)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 28/01/2025
    Elementor Website Builder – More than Just a Page Builder para WordPress es vulnerable a cross-site scripting almacenado a través del widget de navegación posterior del complemento en todas las versiones hasta la 3.20.1 incluida debido a una sanitización de entrada insuficiente y a un escape de salida del usuario. atributos proporcionados. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Master Addons para Elementor para WordPress (CVE-2024-2139)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 28/01/2025
    El complemento Master Addons para Elementor para WordPress es vulnerable a cross-site scripting almacenado a través del widget de tabla de precios en todas las versiones hasta la 2.0.5.6 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en The Plus Addons for Elementor para WordPress (CVE-2024-2203)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 28/01/2025
    El complemento The Plus Addons for Elementor para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 5.4.1 incluida a través del widget Clientes. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en los casos en que se puedan cargar e incluir imágenes y otros tipos de archivos "seguros".
  • Vulnerabilidad en The Plus Addons para Elementor para WordPress (CVE-2024-2210)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 28/01/2025
    El complemento The Plus Addons para Elementor para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 5.4.1 incluida a través del widget de listado de miembros del equipo. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, incluyan y ejecuten archivos arbitrarios en el servidor, permitiendo la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en los casos en que se puedan cargar e incluir imágenes y otros tipos de archivos "seguros".
  • Vulnerabilidad en IBM App Connect Enterprise e IBM Integration Bus (CVE-2024-22356)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 28/01/2025
    IBM App Connect Enterprise 11.0.0.1 a 11.0.0.23, 12.0.1.0 a 12.0.9.0 e IBM Integration Bus para z/OS 10.1 a 10.1.0.2 almacenan información potencialmente confidencial en archivos de registro o rastreo que un usuario privilegiado podría leer. ID de IBM X-Force: 280893.
  • Vulnerabilidad en Dell Grab (CVE-2024-25956)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 28/01/2025
    Dell Grab para Windows, versiones 5.0.4 y anteriores, contiene una vulnerabilidad de permisos de archivos inadecuados. Un atacante autenticado localmente podría explotar esta vulnerabilidad, lo que llevaría a la divulgación de cierta información del sistema.
  • Vulnerabilidad en Dell Grab (CVE-2024-25957)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 28/01/2025
    Dell Grab para Windows, versiones 5.0.4 y anteriores, contiene una vulnerabilidad de almacenamiento de texto plano de información confidencial en su módulo de sincronización de aplicaciones. Un atacante local autenticado podría explotar esta vulnerabilidad, lo que llevaría a la divulgación de información que podría usarse para acceder a la aplicación appsync con privilegios elevados.
  • Vulnerabilidad en Dell Grab (CVE-2024-25958)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 28/01/2025
    Dell Grab para Windows, versiones hasta la 5.0.4 incluida, contiene una vulnerabilidad de permisos de carpeta de aplicaciones débiles. Un atacante autenticado local podría explotar esta vulnerabilidad, lo que provocaría una escalada de privilegios, acceso no autorizado a los datos de la aplicación, modificación no autorizada de los datos de la aplicación e interrupción del servicio.
  • Vulnerabilidad en Dell InsightIQ (CVE-2024-25962)
    Severidad: ALTA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 28/01/2025
    Dell InsightIQ, versión 5.0, contiene una vulnerabilidad de control de acceso inadecuado. Un atacante remoto con pocos privilegios podría explotar esta vulnerabilidad, lo que daría lugar a un acceso no autorizado a los datos de supervisión.
  • Vulnerabilidad en Jewel Theme Master Addons for Elementor de WordPress (CVE-2024-29911)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 28/01/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Jewel Theme Master Addons for Elementor permite XSS almacenado. Este problema afecta a Master Addons para Elementor: desde n/a hasta 2.0.5.4.1.
  • Vulnerabilidad en Themeum Tutor LMS Elementor Addons de WordPress (CVE-2024-29913)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 28/01/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Themeum Tutor LMS Elementor Addons permite XSS almacenado. Este problema afecta a los complementos de Tutor LMS Elementor: desde n/a hasta 2.1.3.
  • Vulnerabilidad en Relevanssi – A Better Search para WordPress (CVE-2024-3214)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 28/01/2025
    El complemento Relevanssi – A Better Search para WordPress es vulnerable a la inyección CSV en todas las versiones hasta la 4.22.1 incluida. Esto hace posible que atacantes no autenticados incrusten datos no confiables en archivos CSV exportados, lo que puede resultar en la ejecución de código cuando estos archivos se descargan y abren en un sistema local con una configuración vulnerable.
  • Vulnerabilidad en WP Radio – Worldwide Online Radio Stations Directory for WordPress para WordPress (CVE-2024-1042)
    Severidad: MEDIA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 28/01/2025
    El complemento WP Radio – Worldwide Online Radio Stations Directory for WordPress para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en múltiples funciones AJAX en todas las versiones hasta la 3.1.9 incluida. Esto hace posible que atacantes autenticados, con acceso de suscriptor y superior, importen estaciones de radio, eliminen países y modifiquen la configuración del complemento, lo que puede conducir a Cross-Site Scripting, rastreado por separado en CVE-2024-1041.
  • Vulnerabilidad en IBM Security Verify Access Appliance (CVE-2024-31871)
    Severidad: ALTA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 28/01/2025
    IBM Security Verify Access Appliance 10.0.0 a 10.0.7 podría permitir que un actor malintencionado lleve a cabo un ataque de intermediario al implementar scripts de Python debido a una validación de certificado incorrecta. ID de IBM X-Force: 287306.
  • Vulnerabilidad en IBM Security Verify Access Appliance (CVE-2024-31872)
    Severidad: ALTA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 28/01/2025
    IBM Security Verify Access Appliance 10.0.0 a 10.0.7 podría permitir que un actor malintencionado lleve a cabo un ataque de intermediario al implementar scripts de código abierto debido a la falta de validación de certificados. ID de IBM X-Force: 287316.
  • Vulnerabilidad en IBM Security Verify Access Appliance (CVE-2024-31873)
    Severidad: ALTA
    Fecha de publicación: 10/04/2024
    Fecha de última actualización: 28/01/2025
    IBM Security Verify Access Appliance 10.0.0 a 10.0.7 contiene credenciales codificadas que utiliza para su propia autenticación de entrada y que podrían ser obtenidas por un actor malintencionado. ID de IBM X-Force: 287317.
  • Vulnerabilidad en PropertyHive (CVE-2024-27985)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 28/01/2025
    Vulnerabilidad de deserialización de datos no confiables en PropertyHive. Este problema afecta a PropertyHive: desde n/a hasta 2.0.9.
  • Vulnerabilidad en SourceCodester Kortex Lite Advocate Office Management System 1.0 (CVE-2024-3617)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 28/01/2025
    Se ha encontrado una vulnerabilidad en SourceCodester Kortex Lite Advocate Office Management System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /control/deactivate_case.php. La manipulación del argumento id conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-260273.
  • Vulnerabilidad en SourceCodester Kortex Lite Advocate Office Management System 1.0 (CVE-2024-3618)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 28/01/2025
    Una vulnerabilidad fue encontrada en SourceCodester Kortex Lite Advocate Office Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /control/activate_case.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-260274 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Kortex Lite Advocate Office Management System 1.0 (CVE-2024-3619)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2024
    Fecha de última actualización: 28/01/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Kortex Lite Advocate Office Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /control/addcase_stage.php es afectada por esta vulnerabilidad. La manipulación del argumento cname conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-260275.
  • Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2023-6214)
    Severidad: ALTA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 2.4.6 incluida a través de la función purchased_products. Esto hace posible que atacantes no autenticados extraigan datos confidenciales, incluidos los datos de pedidos de los 7 días anteriores, incluidos productos y PII del cliente.
  • Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-2084)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget de caja de luz del complemento en todas las versiones hasta la 2.4.6 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-2085)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del valor de 'tamaño' en varios widgets, todas las versiones hasta la 2.4.6 incluida debido a una sanitización de entrada insuficiente y salida que se escapa en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-2790)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget Accordion en todas las versiones hasta la 2.4.8 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-3307)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los atributos del widget Countdown en todas las versiones hasta la 2.4.9 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-3308)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los atributos del widget Image Grid en todas las versiones hasta la 2.4.9 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-3990)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget de información sobre herramientas y ventana emergente en todas las versiones hasta la 2.5.0 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en El complemento HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-4875)
    Severidad: MEDIA
    Fecha de publicación: 21/05/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a la modificación no autorizada de datos (pérdida de datos) debido a una falta de verificación de capacidad en la función 'ajax_dismiss' en versiones hasta la 2.5.2 incluida. Esto hace posible que atacantes autenticados, con permisos de nivel de suscriptor y superiores, actualicen opciones como users_can_register, lo que puede conducir al registro de usuarios no autorizados.
  • Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-5173)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la configuración del widget del reproductor de video en todas las versiones hasta la 2.5.5 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en HT Mega – Absolute Addons For Elementor para WordPress (CVE-2024-5215)
    Severidad: MEDIA
    Fecha de publicación: 26/06/2024
    Fecha de última actualización: 28/01/2025
    El complemento HT Mega – Absolute Addons For Elementor para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de múltiples widgets en todas las versiones hasta la 2.5.5 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Miniorange OTP Verification con Firebase para WordPress (CVE-2024-9861)
    Severidad: ALTA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 28/01/2025
    El complemento Miniorange OTP Verification con Firebase para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 3.6.0 incluida. Esto se debe a la falta de validación en el token que se proporciona durante el inicio de sesión con OTP a través del complemento. Esto permite que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si conocen el número de teléfono asociado con ese usuario.
  • Vulnerabilidad en Miniorange OTP Verification con Firebase para WordPress (CVE-2024-9862)
    Severidad: CRÍTICA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 28/01/2025
    El complemento Miniorange OTP Verification con Firebase para WordPress es vulnerable a cambios arbitrarios de contraseñas de usuario en versiones hasta la 3.6.0 incluida. Esto se debe a que el complemento proporciona acceso controlado por el usuario a los objetos, lo que permite que un usuario omita la autorización y acceda a los recursos del sistema, y no se verifica la contraseña actual del usuario. Esto hace posible que atacantes no autenticados cambien las contraseñas de los usuarios y potencialmente se apropien de las cuentas de administrador.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2024-11993)
    Severidad: MEDIA
    Fecha de publicación: 17/12/2024
    Fecha de última actualización: 28/01/2025
    La vulnerabilidad de cross-site scripting (XSS) reflejado en Liferay Portal 7.1.0 a 7.4.3.38 y Liferay DXP 7.4 GA a la actualización 38, 7.3 GA a la actualización 36, 7.2 GA a la actualización 20 y 7.1 GA a la actualización 28 permite a atacantes remotos ejecutar secuencias de comandos web o HTML arbitrarios a través del campo de nombre de Dispatch
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2023-37940)
    Severidad: MEDIA
    Fecha de publicación: 17/12/2024
    Fecha de última actualización: 28/01/2025
    Una vulnerabilidad de cross-site scripting (XSS) en Service Access Policy page en Liferay Portal 7.0.0 a 7.4.3.87, y Liferay DXP 7.4 GA a la actualización 87, 7.3 GA a la actualización 29 y versiones anteriores no compatibles permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un payload manipulado inyectado en el campo de texto "Clase de servicio" de una política de acceso al servicio.