Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el envío de peticiones web en la Salt API en SaltStack Salt (CVE-2020-16846)
    Severidad: CRÍTICA
    Fecha de publicación: 06/11/2020
    Fecha de última actualización: 06/02/2025
    Se detectó un problema en SaltStack Salt versiones hasta 3002. El envío de peticiones web diseñadas a la Salt API, con el cliente SSH habilitado, puede resultar en una inyección shell
  • Vulnerabilidad en UserFeedback Team User Feedback (CVE-2023-46153)
    Severidad: ALTA
    Fecha de publicación: 27/10/2023
    Fecha de última actualización: 06/02/2025
    Vulnerabilidad de Cross-Site Scripting (XSS)Almacenada No Autenticada en el complemento UserFeedback Team User Feedback en versiones <= 1.0.9.
  • Vulnerabilidad en InstaWP Connect (CVE-2024-37228)
    Severidad: CRÍTICA
    Fecha de publicación: 24/06/2024
    Fecha de última actualización: 06/02/2025
    La vulnerabilidad de control inadecuado de la generación de código ("inyección de código") en InstaWP Team InstaWP Connect permite la inyección de código. Este problema afecta a InstaWP Connect: desde n/a hasta 0.1.0.38.
  • Vulnerabilidad en GLPI (CVE-2024-47758)
    Severidad: ALTA
    Fecha de publicación: 11/12/2024
    Fecha de última actualización: 06/02/2025
    GLPI es un paquete de software gratuito de gestión de activos y TI. A partir de la versión 9.3.0 y antes de la versión 10.0.17, un usuario autenticado puede usar la API para tomar el control de cualquier usuario que tenga el mismo nivel de privilegios o uno inferior. La versión 10.0.17 contiene un parche para este problema.
  • Vulnerabilidad en Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress (CVE-2024-10646)
    Severidad: ALTA
    Fecha de publicación: 14/12/2024
    Fecha de última actualización: 06/02/2025
    El complemento Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress es vulnerable a Cross-Site Scripting almacenado a través del parámetro subject del formulario en todas las versiones hasta la 5.2.6 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes no autenticados inyecten web scripts en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en WP Job Portal – A Complete Recruitment System para Company y Job Board website para WordPress (CVE-2024-11713)
    Severidad: MEDIA
    Fecha de publicación: 14/12/2024
    Fecha de última actualización: 06/02/2025
    El complemento WP Job Portal – A Complete Recruitment System para Company y Job Board website para WordPress es vulnerable a la inyección SQL a través del parámetro 'page_id' de la función wpjobportal_deactivate() en todas las versiones hasta la 2.2.2 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que los atacantes autenticados, con acceso de nivel de administrador o superior, agreguen consultas SQL adicionales a las consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.
  • Vulnerabilidad en WP Job Portal – A Complete Recruitment System para Company y Job Board website para WordPress (CVE-2024-11714)
    Severidad: MEDIA
    Fecha de publicación: 14/12/2024
    Fecha de última actualización: 06/02/2025
    El complemento WP Job Portal – A Complete Recruitment System para Company y Job Board website para WordPress es vulnerable a la inyección SQL a través del parámetro 'ff' de la función getFieldsForVisibleCombobox() en todas las versiones hasta la 2.2.2 incluida, debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en la consulta SQL existente. Esto permite que los atacantes autenticados, con acceso de nivel de administrador o superior, agreguen consultas SQL adicionales a las consultas ya existentes que se pueden usar para extraer información confidencial de la base de datos.
  • Vulnerabilidad en WP Job Portal – A Complete Recruitment System para Company y Job Board website para WordPress (CVE-2024-11715)
    Severidad: MEDIA
    Fecha de publicación: 14/12/2024
    Fecha de última actualización: 06/02/2025
    El complemento WP Job Portal – A Complete Recruitment System para Company y Job Board website para WordPress es vulnerable al acceso no autorizado debido a una verificación de capacidad faltante en la función assignmentUserRole() en todas las versiones hasta la 2.2.2 incluida. Esto permite que atacantes no autenticados eleven sus privilegios a los de un empleador.