Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Simple Gallery with Filter para WordPress (CVE-2024-13583)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 05/02/2025
    El complemento Simple Gallery with Filter para WordPress es vulnerable a Cross-Site Scripting almacenado a través del código abreviado 'c2tw_sgwf' del complemento en todas las versiones hasta la 2.0 incluida, debido a una desinfección de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Spexo Addons for Elementor – Free Elementor Addons, Widgets and Templates para WordPress (CVE-2024-13335)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 05/02/2025
    El complemento Spexo Addons for Elementor – Free Elementor Addons, Widgets and Templates para WordPress es vulnerable al acceso no autorizado debido a una verificación de capacidad faltante en la función tmpcoder_theme_install_func() en todas las versiones hasta la 1.0.14 y incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor y superior, instalen un tema.
  • Vulnerabilidad en Responsive Addons for Elementor – Free Elementor Addons Plugin and Elementor Templates para WordPress (CVE-2024-13354)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 05/02/2025
    El complemento Responsive Addons for Elementor – Free Elementor Addons Plugin and Elementor Templates para WordPress son vulnerables a Cross-Site Scripting Almacenado a través de etiquetas HTML en varios widgets en todas las versiones hasta incluida, 1.6.4 debido a un escape de entrada desinfección y salida insuficiente. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Post Grid, Slider & Carousel Ultimate – with Shortcode, Gutenberg Block & Elementor Widget para WordPress (CVE-2024-13408)
    Severidad: ALTA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 05/02/2025
    El complemento Post Grid, Slider & Carousel Ultimate – with Shortcode, Gutenberg Block & Elementor Widget para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 1.6.10 y incluida, a través del atributo 'theme' del shortcode `pgcu`. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, incluyan y ejecuten archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en casos en los que se puedan cargar e incluir archivos PHP.
  • Vulnerabilidad en Post Grid, Slider & Carousel Ultimate – with Shortcode, Gutenberg Block & Elementor Widget para WordPress (CVE-2024-13409)
    Severidad: ALTA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 05/02/2025
    El complemento Post Grid, Slider & Carousel Ultimate – with Shortcode, Gutenberg Block & Elementor Widget para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 1.6.10 y incluida, a través del parámetro 'theme' de la función post_type_ajax_handler(). Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, incluyan y ejecuten archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en casos en los que se puedan cargar e incluir imágenes y otros tipos de archivos "seguros".
  • Vulnerabilidad en WP Google Street View y Google maps + Local SEO para WordPress (CVE-2024-13542)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 05/02/2025
    El complemento WP Google Street View (con recorrido virtual de 360°) y Google maps + Local SEO para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del shortcode 'wpgsv' del complemento en todas las versiones hasta la 1.1.3 y incluida, debido a la falta de desinfección de entrada y al escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Precious Metals Charts and Widgets for WordPress (CVE-2024-13572)
    Severidad: MEDIA
    Fecha de publicación: 24/01/2025
    Fecha de última actualización: 05/02/2025
    El complemento Precious Metals Charts and Widgets for WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código abreviado 'nfusion-widget' del complemento en todas las versiones hasta incluida, 1.2.8 debido a la falta de entrada desinfección y la salida que se escapa en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.