Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en IBM Watson CP4D Data Stores (CVE-2023-28512)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2024
    Fecha de última actualización: 29/01/2025
    IBM Watson CP4D Data Stores 4.6.0, 4.6.1 y 4.6.2 podría permitir que un atacante con conocimientos específicos sobre el sistema manipule datos debido a una validación de entrada incorrecta. ID de IBM X-Force: 250396.
  • Vulnerabilidad en IBM Watson CP4D Data Stores (CVE-2023-26282)
    Severidad: MEDIA
    Fecha de publicación: 05/03/2024
    Fecha de última actualización: 29/01/2025
    IBM Watson CP4D Data Stores 4.6.0 a 4.6.3 podría permitir que un usuario con acceso físico y conocimiento específico del sistema modifique archivos o datos en el sistema. ID de IBM X-Force: 248415.
  • Vulnerabilidad en IBM UrbanCode Deploy e IBM DevOps Deploy (CVE-2024-22334)
    Severidad: MEDIA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 29/01/2025
    IBM UrbanCode Deploy (UCD) 7.0 a 7.0.5.20, 7.1 a 7.1.2.16, 7.2 a 7.2.3.9, 7.3 a 7.3.2.4 e IBM DevOps Deploy 8.0 a 8.0.0.1 podrían ser vulnerables a una revocación incompleta de permisos al eliminar un tipo de recurso de seguridad. Al eliminar un tipo de seguridad personalizado, es posible que los permisos asociados de los objetos que usan ese tipo no se revoquen por completo. Esto podría dar lugar a informes incorrectos de la configuración de permisos y a la retención de privilegios inesperados. ID de IBM X-Force: 279974.
  • Vulnerabilidad en IBM UrbanCode Deploy e IBM DevOps Deploy (CVE-2024-22339)
    Severidad: MEDIA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 29/01/2025
    IBM UrbanCode Deploy (UCD) 7.0 a 7.0.5.20, 7.1 a 7.1.2.16, 7.2 a 7.2.3.9, 7.3 a 7.3.2.4 e IBM DevOps Deploy 8.0 a 8.0.0.1 es vulnerable a información confidencial debido a una ofuscación insuficiente de la información confidencial. valores de algunos archivos de registro. ID de IBM X-Force: 279979.
  • Vulnerabilidad en IBM UrbanCode Deploy e IBM DevOps Deploy (CVE-2024-22358)
    Severidad: MEDIA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 29/01/2025
    IBM UrbanCode Deploy (UCD) 7.0 a 7.0.5.20, 7.1 a 7.1.2.16, 7.2 a 7.2.3.9, 7.3 a 7.3.2.4 e IBM DevOps Deploy 8.0 a 8.0.0.1 no invalida la sesión después del cierre de sesión, lo que podría permitir un usuario autenticado para hacerse pasar por otro usuario en el sistema. ID de IBM X-Force: 280896.
  • Vulnerabilidad en IBM UrbanCode Deploy e IBM DevOps Deploy (CVE-2024-22359)
    Severidad: MEDIA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 29/01/2025
    IBM UrbanCode Deploy (UCD) 7.0 a 7.0.5.20, 7.1 a 7.1.2.16, 7.2 a 7.2.3.9, 7.3 a 7.3.2.4 e IBM DevOps Deploy 8.0 a 8.0.0.1 son vulnerables a cross-site scripting. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría conducir a la divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 280897.
  • Vulnerabilidad en Azure Monitor Agent (CVE-2024-30060)
    Severidad: ALTA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 29/01/2025
    Vulnerabilidad de elevación de privilegios de Azure Monitor Agent
  • Vulnerabilidad en HasThemes HT Mega (CVE-2023-37999)
    Severidad: CRÍTICA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 29/01/2025
    La vulnerabilidad de gestión de privilegios incorrecta en HasThemes HT Mega permite la escalada de privilegios. Este problema afecta a HT Mega: desde n/a hasta 2.2.0.
  • Vulnerabilidad en Elementor Elementor Website Builder (CVE-2024-24934)
    Severidad: ALTA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 29/01/2025
    La limitación incorrecta de un nombre de ruta a una vulnerabilidad de directorio restringido ("Path Traversal") en Elementor Elementor Website Builder permite manipular la entrada web en llamadas al sistema de archivos. Este problema afecta a Elementor Website Builder: desde n/a hasta 3.19.0.
  • Vulnerabilidad en Rank Math SEO – AI SEO Tools to Dominate SEO Rankings para WordPress (CVE-2024-9161)
    Severidad: MEDIA
    Fecha de publicación: 05/10/2024
    Fecha de última actualización: 29/01/2025
    El complemento Rank Math SEO – AI SEO Tools to Dominate SEO Rankings para WordPress es vulnerable a modificaciones no autorizadas y pérdida de datos debido a una falta de verificación de capacidad en la función 'update_metadata' en todas las versiones hasta la 1.0.228 incluida. Esto hace posible que atacantes no autenticados inserten metadatos nuevos y actualicen los existentes que comiencen con 'rank_math', y eliminen metadatos de usuario y metadatos de términos existentes de forma arbitraria. Eliminar metadatos de usuario existentes puede provocar la pérdida de acceso al panel de administrador para cualquier usuario registrado, incluidos los administradores.
  • Vulnerabilidad en Rank Math SEO – AI SEO Tools to Dominate SEO Rankings para WordPress (CVE-2024-9314)
    Severidad: ALTA
    Fecha de publicación: 05/10/2024
    Fecha de última actualización: 29/01/2025
    El complemento Rank Math SEO – AI SEO Tools to Dominate SEO Rankings para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 1.0.228 incluida, a través de la deserialización de la función 'set_redirections' de entrada no confiable. Esto hace posible que atacantes autenticados, con acceso de nivel de administrador y superior, inyecten un objeto PHP. No hay ninguna cadena POP presente en el software vulnerable. Si hay una cadena POP presente a través de un complemento o tema adicional instalado en el sistema de destino, podría permitir al atacante eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código.
  • Vulnerabilidad en PropertyHive (CVE-2024-37204)
    Severidad: MEDIA
    Fecha de publicación: 01/11/2024
    Fecha de última actualización: 29/01/2025
    La vulnerabilidad de autorización faltante en PropertyHive permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a PropertyHive: desde n/a hasta 2.0.9.
  • Vulnerabilidad en CE21 Suite para WordPress (CVE-2024-10284)
    Severidad: CRÍTICA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 29/01/2025
    El complemento CE21 Suite para WordPress es vulnerable a la omisión de autenticación en versiones hasta la 2.2.0 incluida. Esto se debe a una clave de cifrado codificada en la función 'ce21_authentication_phrase'. Esto permite que atacantes no autenticados inicien sesión como cualquier usuario existente en el sitio, como un administrador, si tienen acceso al correo electrónico.
  • Vulnerabilidad en CE21 Suite para WordPress (CVE-2024-10285)
    Severidad: CRÍTICA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 29/01/2025
    El complemento CE21 Suite para WordPress es vulnerable a la divulgación de información confidencial a través del archivo plugin-log.txt en versiones hasta la 2.2.0 incluida. Esto permite que atacantes no autenticados inicien sesión en el usuario asociado con el token JWT.
  • Vulnerabilidad en CE21 Suite para WordPress (CVE-2024-10294)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 29/01/2025
    El complemento CE21 Suite para WordPress es vulnerable a la modificación no autorizada de datos debido a una falta de verificación de capacidad en la función 'ce21_single_sign_on_save_api_settings' en versiones hasta la 2.2.0 incluida. Esto hace posible que atacantes no autenticados cambien la configuración del complemento.
  • Vulnerabilidad en Cowidgets – Elementor Addons para WordPress (CVE-2024-10779)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 29/01/2025
    El complemento Cowidgets – Elementor Addons para WordPress es vulnerable a la exposición de información en todas las versiones hasta la 1.2.0 incluida a través del código abreviado 'ce_template' debido a restricciones insuficientes sobre qué publicaciones se pueden incluir. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, extraigan datos de publicaciones privadas o borradores creadas por Elementor a las que no deberían tener acceso.
  • Vulnerabilidad en Cowidgets – Elementor Addons para WordPress (CVE-2024-8960)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 29/01/2025
    El complemento Cowidgets – Elementor Addons para WordPress es vulnerable a Cross-site Scripting almacenado a través de cargas de archivos SVG en todas las versiones hasta la 1.2.0 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de autor y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda al archivo SVG.
  • Vulnerabilidad en Envo Extra para WordPress (CVE-2024-10770)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 29/01/2025
    El complemento Envo Extra para WordPress es vulnerable a la exposición de información en todas las versiones hasta la 1.9.3 incluida a través del código abreviado 'elementor-template' debido a restricciones insuficientes sobre qué publicaciones se pueden incluir. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, extraigan datos de publicaciones privadas o borradores creadas por Elementor a las que no deberían tener acceso.
  • Vulnerabilidad en RegistrationMagic – User Registration Plugin with Custom Registration Forms para WordPress (CVE-2024-10508)
    Severidad: CRÍTICA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 29/01/2025
    El complemento RegistrationMagic – User Registration Plugin with Custom Registration Forms para WordPress es vulnerable a la escalada de privilegios mediante la apropiación de cuentas en todas las versiones hasta la 6.0.2.6 incluida. Esto se debe a que el complemento no valida correctamente el token de restablecimiento de contraseña antes de actualizar la contraseña de un usuario. Esto permite que atacantes no autenticados restablezcan la contraseña de usuarios arbitrarios, incluidos los administradores, y obtengan acceso a estas cuentas.
  • Vulnerabilidad en The Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction para WordPress (CVE-2024-10261)
    Severidad: ALTA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 29/01/2025
    El complemento The Paid Membership Subscriptions – Effortless Memberships, Recurring Payments & Content Restriction para WordPress es vulnerable a la ejecución de códigos cortos arbitrarios en todas las versiones hasta la 2.13.0 incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios.
  • Vulnerabilidad en Magical Addons For Elementor para WordPress (CVE-2024-10352)
    Severidad: MEDIA
    Fecha de publicación: 09/11/2024
    Fecha de última actualización: 29/01/2025
    El complemento Magical Addons For Elementor para WordPress es vulnerable a la exposición de información confidencial en todas las versiones hasta la 1.2.4 incluida a través de la función get_content_type en features/widgets/content-reveal.php. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, extraigan datos confidenciales de plantillas privadas, pendientes y en borrador.
  • Vulnerabilidad en IBM Security Verify Access Appliance (CVE-2024-49803)
    Severidad: CRÍTICA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 29/01/2025
    IBM Security Verify Access Appliance 10.0.0 a 10.0.8 podría permitir que un atacante autenticado remoto ejecute comandos arbitrarios en el sistema enviando una solicitud manipulada especialmente.
  • Vulnerabilidad en IBM Security Verify Access Appliance (CVE-2024-49804)
    Severidad: ALTA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 29/01/2025
    "IBM Security Verify Access Appliance 10.0.0 a 10.0.8 podría permitir que un usuario no administrativo autenticado localmente aumente sus privilegios debido al uso de permisos innecesarios para realizar determinadas tareas."
  • Vulnerabilidad en IBM Security Verify Access Appliance (CVE-2024-49805)
    Severidad: CRÍTICA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 29/01/2025
    "IBM Security Verify Access Appliance 10.0.0 a 10.0.8 contiene credenciales codificadas, como una contraseña o una clave criptográfica, que utiliza para su propia autenticación de entrada, comunicación de salida con componentes externos o cifrado de datos internos."
  • Vulnerabilidad en IBM Security Verify Access Appliance (CVE-2024-49806)
    Severidad: CRÍTICA
    Fecha de publicación: 29/11/2024
    Fecha de última actualización: 29/01/2025
    "IBM Security Verify Access Appliance 10.0.0 a 10.0.8 contiene credenciales codificadas, como una contraseña o una clave criptográfica, que utiliza para su propia autenticación de entrada, comunicación de salida con componentes externos o cifrado de datos internos."
  • Vulnerabilidad en IBM Security Verify Access Docker (CVE-2024-35141)
    Severidad: ALTA
    Fecha de publicación: 19/12/2024
    Fecha de última actualización: 29/01/2025
    IBM Security Verify Access Docker 10.0.0 a 10.0.6 podría permitir que un usuario local aumente sus privilegios debido a la ejecución de privilegios innecesarios.
  • Vulnerabilidad en Dell PowerStore (CVE-2024-51532)
    Severidad: ALTA
    Fecha de publicación: 19/12/2024
    Fecha de última actualización: 29/01/2025
    Dell PowerStore contiene una vulnerabilidad de neutralización incorrecta de delimitadores de argumentos en un comando ('inyección de argumentos'). Un atacante con poco nivel de privilegios y acceso local podría aprovechar esta vulnerabilidad, lo que provocaría la modificación de archivos arbitrarios del sistema.
  • Vulnerabilidad en Download Manager para WordPress (CVE-2024-11740)
    Severidad: ALTA
    Fecha de publicación: 19/12/2024
    Fecha de última actualización: 29/01/2025
    El complemento Download Manager para WordPress es vulnerable a la ejecución de códigos cortos arbitrarios en todas las versiones hasta la 3.3.03 incluida. Esto se debe a que el software permite a los usuarios ejecutar una acción que no valida correctamente un valor antes de ejecutar do_shortcode. Esto hace posible que atacantes no autenticados ejecuten códigos cortos arbitrarios.
  • Vulnerabilidad en Download Manager para WordPress (CVE-2024-11768)
    Severidad: MEDIA
    Fecha de publicación: 19/12/2024
    Fecha de última actualización: 29/01/2025
    El complemento Download Manager para WordPress es vulnerable a la descarga no autorizada de contenido protegido con contraseña debido a una validación incorrecta de la contraseña en la función checkFilePassword en todas las versiones hasta la 3.3.03 incluida. Esto permite que atacantes no autenticados descarguen archivos protegidos con contraseña.
  • Vulnerabilidad en Elementor Header & Footer Builder para WordPress (CVE-2024-11230)
    Severidad: MEDIA
    Fecha de publicación: 23/12/2024
    Fecha de última actualización: 29/01/2025
    El complemento Elementor Header & Footer Builder para WordPress es vulnerable a cross site scripting almacenado a través del parámetro "size" en todas las versiones hasta la 1.6.46 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Dell NativeEdge (CVE-2024-47978)
    Severidad: ALTA
    Fecha de publicación: 25/12/2024
    Fecha de última actualización: 29/01/2025
    Dell NativeEdge, versión(es) 2.1.0.0, contiene una vulnerabilidad de ejecución con privilegios innecesarios. Un atacante con poco nivel de privilegios y acceso local podría explotar esta vulnerabilidad, lo que provocaría una elevación de privilegios.
  • Vulnerabilidad en Dell SupportAssist (CVE-2024-52535)
    Severidad: ALTA
    Fecha de publicación: 25/12/2024
    Fecha de última actualización: 29/01/2025
    Dell SupportAssist para PC domésticas versiones 4.6.1 y anteriores y Dell SupportAssist para PC empresariales versiones 4.5.0 y anteriores contienen una vulnerabilidad de ataque de enlace simbólico en el componente de corrección de software. Un usuario autenticado con poco nivel de privilegios podría explotar esta vulnerabilidad, obteniendo un aumento de privilegios, lo que llevaría a la eliminación arbitraria de archivos y carpetas del sistema.
  • Vulnerabilidad en Dell NativeEdge (CVE-2024-53291)
    Severidad: ALTA
    Fecha de publicación: 25/12/2024
    Fecha de última actualización: 29/01/2025
    Dell NativeEdge, versión(es) 2.1.0.0, contiene una vulnerabilidad de exposición de información confidencial a través de metadatos. Un atacante no autenticado con acceso remoto podría explotar esta vulnerabilidad y provocar la divulgación de información.
  • Vulnerabilidad en Dell NativeEdge (CVE-2024-52543)
    Severidad: MEDIA
    Fecha de publicación: 25/12/2024
    Fecha de última actualización: 29/01/2025
    Dell NativeEdge, versión(es) 2.1.0.0, contiene una vulnerabilidad de creación de archivos temporales con permisos inseguros. Un atacante con privilegios elevados y acceso local podría explotar esta vulnerabilidad y provocar la divulgación de información.
  • Vulnerabilidad en IBM Security Verify Access e IBM Security Verify Access Docker (CVE-2024-45647)
    Severidad: MEDIA
    Fecha de publicación: 20/01/2025
    Fecha de última actualización: 29/01/2025
    IBM Security Verify Access 10.0.0 a 10.0.8 e IBM Security Verify Access Docker 10.0.0 a 10.0.8 podrían permitir que un usuario no verificado cambie la contraseña de un usuario vencido sin conocimiento previo de dicha contraseña.
  • Vulnerabilidad en IBM UrbanCode Deploy (CVE-2024-45091)
    Severidad: MEDIA
    Fecha de publicación: 21/01/2025
    Fecha de última actualización: 29/01/2025
    IBM UrbanCode Deploy (UCD) 7.0 a 7.0.5.24, 7.1 a 7.1.2.10 y 7.2 a 7.2.3.13 almacena información potencialmente confidencial en archivos de registro que podrían ser leídos por un usuario local con acceso a los registros de solicitudes HTTP.