Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en WeGIA (CVE-2025-22132)
    Severidad: ALTA
    Fecha de publicación: 07/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web para instituciones benéficas. Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en la funcionalidad de carga de archivos del endpoint WeGIA/html/socio/sistema/controller/controla_xlsx.php. Al cargar un archivo que contiene código JavaScript malicioso, un atacante puede ejecutar secuencias de comandos arbitrarias en el contexto del navegador de la víctima. Esto puede provocar robo de información, secuestro de sesiones y otras formas de explotación del lado del cliente. Esta vulnerabilidad se ha corregido en la versión 3.2.7.
  • Vulnerabilidad en WeGIA (CVE-2025-22143)
    Severidad: MEDIA
    Fecha de publicación: 08/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web para instituciones benéficas. Se identificó una vulnerabilidad de tipo Cross-Site Scripting (XSS) Reflejado en el endpoint listar_permissoes.php de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar secuencias de comandos maliciosas en el parámetro msg_e. Esta vulnerabilidad se ha corregido en la versión 3.2.8.
  • Vulnerabilidad en WeGIA (CVE-2025-22614)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting almacenado (XSS) en el endpoint `dependente_editarInfoPessoal.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en los parámetros `nome` y `SobrenomeForm`. Los scripts inyectados se almacenan en el servidor y se ejecutan automáticamente cada vez que los usuarios acceden a la página afectada, lo que supone un riesgo de seguridad importante. La aplicación no puede validar ni desinfectar correctamente las entradas del usuario en los parámetros `dependente_editarInfoPessoal.php`. Esta falta de validación permite a los atacantes inyectar scripts maliciosos, que luego se almacenan en el servidor. Cada vez que se accede a la página afectada, la carga maliciosa se ejecuta en el navegador de la víctima, lo que puede comprometer los datos y el sistema del usuario. Este problema se ha solucionado en la versión 3.2.6 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-22615)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de tipo XSS (Cross-Site Scripting Reflejado) en el endpoint `Cadastro_Atendido.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `cpf`. La aplicación no puede validar ni desinfectar las entradas del usuario en el parámetro `cpf`. Esta falta de validación permite la inyección de payloads maliciosos, que se reflejan en el navegador del usuario en la respuesta del servidor y se ejecutan dentro del contexto del navegador de la víctima. Este problema se ha solucionado en la versión 3.2.6 y se recomienda a todos los usuarios que la actualicen. No existen workarounds conocidos para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-22616)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad Cross-Site Scripting Almacenado (XSS) en el `dependente_parentesco_adicionar.php` Endpoint de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar Scripts malicioso en el parámetro `descricao`. Los Scripts inyectados se almacenan en el servidor y se ejecutan automáticamente cada vez que los usuarios acceden a la página afectada, lo que supone un riesgo de seguridad significativo. La aplicación no puede validar y Desinfectar correctamente las entradas del usuario en el parámetro `dependente_parentesco_adicionar.php`. Esta falta de validación permite a los atacantes inyectar Scripts maliciosos, que luego se almacenan en el servidor. Cada vez que se accede a la página afectada, el Payload malicioso se ejecuta en el navegador de la víctima, lo que puede comprometer los datos del usuario y sistema. Este problema se ha solucionado en la versión 3.2.6 y se recomienda a todos los usuarios que actualicen la versión. No se conocen Workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-22617)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad Cross-Site Scripting Reflejado (XSS) en el `editar_socio.php` Endpoint de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar Scripts maliciosos en el parámetro `socio`. La aplicación no puede validar y Desinfectar las entradas del usuario en el parámetro `socio`. Esta falta de validación permite la inyección de Payloads maliciosos, que se reflejan en el navegador del usuario en la respuesta del servidor y se ejecutan dentro del contexto del navegador de la víctima. Este problema se ha solucionado en la versión 3.2.7 y se recomienda a todos los usuarios que actualicen. No se conocen Workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-22618)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad Cross-Site Scripting Almacenado (XSS) en el `adicionar_cargo.php` Endpoint de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar Scripts maliciosos en el parámetro `cargo`. Los Scripts inyectados se almacenan en el servidor y se ejecutan automáticamente cada vez que los usuarios acceden a la página afectada, lo que supone un riesgo de seguridad significativo. La aplicación no puede validar y Desinfectar correctamente las entradas del usuario en el parámetro `adicionar_cargo.php`. Esta falta de validación permite a los atacantes inyectar Scripts maliciosos, que luego se almacenan en el servidor. Cada vez que se accede a la página afectada, el Payload malicioso se ejecuta en el navegador de la víctima, lo que puede comprometer los datos del usuario y sistema. Este problema se ha solucionado en la versión de lanzamiento 3.2.6 y se recomienda a todos los usuarios que la actualicen. No se conocen Workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-22619)
    Severidad: MEDIA
    Fecha de publicación: 13/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad Cross-Site Scripting Reflejado (XSS) en el `editar_permissoes.php` Endpoint de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar Scripts maliciosos en el parámetro `msg_c`. La aplicación no puede validar y Desinfectar las entradas del usuario en el parámetro `msg_c`. Esta falta de validación permite la inyección de Payloads maliciosos, que se reflejan en el navegador del usuario en la respuesta del servidor y se ejecutan dentro del contexto del navegador de la víctima. Este problema se ha solucionado en la versión 3.2.6. Se recomienda a todos los usuarios que actualicen. No se conocen Workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-23030)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de tipo XSS (Cross-Site Scripting Reflejado) en el endpoint `cadastro_funcionario.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `cpf`. La aplicación no puede validar ni desinfectar las entradas del usuario en el parámetro `cpf`. Esta falta de validación permite la inyección de payloads maliciosos, que se reflejan en el navegador del usuario en la respuesta del servidor y se ejecutan dentro del contexto del navegador de la víctima. Este problema se ha solucionado en la versión 3.2.6. Se recomienda a todos los usuarios que actualicen la versión. No existen workarounds conocidos para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-23031)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross Site Scripting Almacenado (XSS) en el endpoint `adicionar_alergia.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `nome`. Las scripts inyectados se almacenan en el servidor y se ejecutan automáticamente cada vez que los usuarios acceden a la página afectada, lo que supone un riesgo de seguridad importante. La aplicación no puede validar ni desinfectar correctamente las entradas del usuario en el parámetro `adicionar_alergia.php`. Esta falta de validación permite a los atacantes inyectar scripts maliciosos, que luego se almacenan en el servidor. Cada vez que se accede a la página afectada, el payload malicioso se ejecuta en el navegador de la víctima, lo que puede comprometer los datos y el sistema del usuario. Este problema se ha solucionado en la versión 3.2.6. Se recomienda a todos los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-23032)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross Site Scripting Almacenado (XSS) en el endpoint `adicionar_escala.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `escala`. Las scripts inyectados se almacenan en el servidor y se ejecutan automáticamente cada vez que los usuarios acceden a la página afectada, lo que supone un riesgo de seguridad importante. La aplicación no puede validar ni desinfectar correctamente las entradas del usuario en el parámetro `adicionar_escala.php`. Esta falta de validación permite a los atacantes inyectar scripts maliciosos, que luego se almacenan en el servidor. Cada vez que se accede a la página afectada, el payload malicioso se ejecuta en el navegador de la víctima, lo que puede comprometer los datos y el sistema del usuario. Este problema se ha solucionado en la versión 3.2.6. Se recomienda a todos los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-23033)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross Site Scripting Almacenado (XSS) en el endpoint `adicionar_situacao.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `adicionar_situacao`. Las scripts inyectados se almacenan en el servidor y se ejecutan automáticamente cada vez que los usuarios acceden a la página afectada, lo que supone un riesgo de seguridad importante. La aplicación no puede validar ni desinfectar correctamente las entradas del usuario en el parámetro `adicionar_situacao.php`. Esta falta de validación permite a los atacantes inyectar scripts maliciosos, que luego se almacenan en el servidor. Cada vez que se accede a la página afectada, el payload malicioso se ejecuta en el navegador de la víctima, lo que puede comprometer los datos y el sistema del usuario. Este problema se ha solucionado en la versión 3.2.6. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-23034)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de tipo XSS (Cross-Site Scripting Reflejado) en el endpoint `tags.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `msg_e`. La aplicación no puede validar ni desinfectar las entradas del usuario en el parámetro `msg_e`. Esta falta de validación permite la inyección de payloads maliciosos, que se reflejan en el navegador del usuario en la respuesta del servidor y se ejecutan dentro del contexto del navegador de la víctima. Este problema se ha solucionado en la versión 3.2.6. Se recomienda a todos los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-23035)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting almacenado (XSS) en el endpoint `adicionar_tipo_quadro_horario.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `tipo`. Las scripts inyectados se almacenan en el servidor y se ejecutan automáticamente cada vez que los usuarios acceden a la página afectada, lo que supone un riesgo de seguridad importante. La aplicación no puede validar ni desinfectar correctamente las entradas del usuario en el parámetro `adicionar_tipo_quadro_horario.php`. Esta falta de validación permite a los atacantes inyectar scripts maliciosos, que luego se almacenan en el servidor. Cada vez que se accede a la página afectada, el payload malicioso se ejecuta en el navegador de la víctima, lo que puede comprometer los datos y el sistema del usuario. Este problema se ha solucionado en la versión 3.2.6. Se recomienda a todos los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-23038)
    Severidad: MEDIA
    Fecha de publicación: 14/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross Site Scripting Almacenado (XSS) en el endpoint `remuneracao.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `descricao`. Las scripts inyectados se almacenan en el servidor y se ejecutan automáticamente cada vez que los usuarios acceden a la página afectada, lo que supone un importante riesgo de seguridad. La aplicación no puede validar ni desinfectar correctamente las entradas del usuario en el parámetro `remuneracao.php`. Esta falta de validación permite a los atacantes inyectar scripts maliciosos, que luego se almacenan en el servidor. Cada vez que se accede a la página afectada, el payload malicioso se ejecuta en el navegador de la víctima, lo que puede comprometer los datos y el sistema del usuario. Este problema se ha solucionado en la versión 3.2.6. Se recomienda a todos los usuarios que actualicen. No existen workarounds conocidas para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-24020)
    Severidad: MEDIA
    Fecha de publicación: 21/01/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un gestor web para instituciones benéficas. Se ha identificado una vulnerabilidad de Open Redirect en el `control.php` endpoint de las versiones hasta incluida 3.2.10 de la aplicación WeGIA. La vulnerabilidad permite manipular el parámetro `nextPage`, redirigiendo a los usuarios autenticados a URL externas arbitrarias sin validación. El problema surge de la falta de validación del parámetro `nextPage`, que acepta URL externas como destinos de redirección. Esta vulnerabilidad puede explotarse para realizar ataques de phishing o redirigir a los usuarios a sitios web maliciosos. La versión 3.2.11 contiene una solución para el problema.
  • Vulnerabilidad en WeGIA (CVE-2025-24901)
    Severidad: CRÍTICA
    Fecha de publicación: 03/02/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un administrador web para instituciones de beneficencia. Se descubrió una vulnerabilidad de inyección SQL en la aplicación WeGIA, `deletar_permissao.php` endpoint. Esta vulnerabilidad podría permitir que un atacante autorizado ejecute consultas SQL arbitrarias, lo que permitiría el acceso o la eliminación de información confidencial. Este problema se ha solucionado en la versión 3.2.12 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-24902)
    Severidad: CRÍTICA
    Fecha de publicación: 03/02/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un administrador web para instituciones de beneficencia. Se descubrió una vulnerabilidad de inyección SQL en la aplicación WeGIA, `salvar_cargo.php` endpoint. Esta vulnerabilidad podría permitir que un atacante autorizado ejecute consultas SQL arbitrarias, lo que permitiría el acceso o la eliminación de información confidencial. Este problema se ha solucionado en la versión 3.2.12 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-24905)
    Severidad: CRÍTICA
    Fecha de publicación: 03/02/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un administrador web para instituciones de beneficencia. Se descubrió una vulnerabilidad de inyección SQL en la aplicación WeGIA, `get_codigobarras_cobranca.php` endpoint. Esta vulnerabilidad podría permitir que un atacante autorizado ejecute consultas SQL arbitrarias, lo que permitiría el acceso o la eliminación de información confidencial. Este problema se ha solucionado en la versión 3.2.12 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-24906)
    Severidad: CRÍTICA
    Fecha de publicación: 03/02/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un administrador web para instituciones de beneficencia. Se descubrió una vulnerabilidad de inyección SQL en la aplicación WeGIA, `get_detalhes_cobranca.php` endpoint. Esta vulnerabilidad podría permitir que un atacante autorizado ejecute consultas SQL arbitrarias, lo que permitiría el acceso o la eliminación de información confidencial. Este problema se ha solucionado en la versión 3.2.12 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-24957)
    Severidad: CRÍTICA
    Fecha de publicación: 03/02/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un administrador web para instituciones de beneficencia. Se descubrió una vulnerabilidad de inyección SQL en la aplicación WeGIA, `get_detalhes_socio.php` endpoint. Esta vulnerabilidad podría permitir que un atacante autorizado ejecute consultas SQL arbitrarias, lo que permitiría el acceso o la eliminación de información confidencial. Este problema se ha solucionado en la versión 3.2.12 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en WeGIA (CVE-2025-24958)
    Severidad: CRÍTICA
    Fecha de publicación: 03/02/2025
    Fecha de última actualización: 13/02/2025
    WeGIA es un administrador web para instituciones de beneficencia. Se descubrió una vulnerabilidad de inyección SQL en la aplicación WeGIA, `salvar_tag.php` endpoint. Esta vulnerabilidad podría permitir que un atacante autorizado ejecute consultas SQL arbitrarias, lo que permitiría el acceso o la eliminación de información confidencial. Este problema se ha solucionado en la versión 3.2.12 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.