Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Active Directory (CVE-2024-3781)
    Severidad: CRÍTICA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad de inyección de comandos en el sistema operativo. La neutralización inadecuada de elementos especiales en la integración de Active Directory permite modificar el comando deseado cuando se envía a un componente posterior en WBSAirback 21.02.04.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3782)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad de Cross-Site Request Forgery en WBSAirback 21.02.04, que podría permitir a un atacante crear un formulario HTML manipulado para realizar acciones privilegiadas una vez que lo ejecuta un usuario privilegiado.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3783)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 27/02/2025
    La sección agentes de respaldo en WBSAirback 21.02.04 se ve afectada por una vulnerabilidad Path Traversal, que permite a un usuario con pocos privilegios descargar archivos del sistema.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3784)
    Severidad: MEDIA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad en WBSAirback 21.02.04, que implica la neutralización inadecuada de Server-Side Includes (SSI), a través de Cuentas S3 (/admin/CloudAccounts). La explotación de esta vulnerabilidad podría permitir que un usuario remoto ejecute código arbitrario.
  • Vulnerabilidad en WP Recipe Maker para WordPress (CVE-2024-3490)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 27/02/2025
    El complemento WP Recipe Maker para WordPress es vulnerable a las Cross-Site Scripting Almacenado a través del código corto wprm-recipe-roundup-item del complemento en todas las versiones hasta la 9.3.1 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin WordPress (CVE-2024-2765)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 27/02/2025
    El complemento Ultimate Member – User Profile, Registration, Login, Member Directory, Content Restriction & Membership Plugin WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros de URL de Skype y Spotify en todas las versiones hasta la 2.8.4 incluida. Debido a una insuficiente sanitización de los insumos y a fugas de los productos. Esto hace posible que atacantes autenticados, con acceso a nivel de suscriptor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en WP Datepicker para WordPress (CVE-2024-3895)
    Severidad: ALTA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 27/02/2025
    El complemento WP Datepicker para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en la función wpdp_add_new_datepicker_ajax() en todas las versiones hasta la 2.1.0 incluida. Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y superior, actualicen opciones arbitrarias que pueden usarse para escalar privilegios. Esto fue parcheado parcialmente en 2.0.9 y 2.1.0, y completamente parcheado en 2.1.1.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3787)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad en WBSAirback 21.02.04, que implica la neutralización inadecuada de Server-Side Incluye (SSI), a través de discos S3 (/admin/DeviceS3). La explotación de esta vulnerabilidad podría permitir que un usuario remoto ejecute código arbitrario.
  • Vulnerabilidad en White Bear Solutions WBSAirback (CVE-2024-3789)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad de consumo descontrolado de recursos en White Bear Solutions WBSAirback, versión 21.02.04. Esta vulnerabilidad podría permitir a un atacante enviar múltiples payloads de inyección de comandos para influir en la cantidad de recursos consumidos.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3790)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad en WBSAirback 21.02.04, que consiste en un Cross-Site Scripting (XSS) almacenado a través de /admin/SystemUsers, campos de inicio de sesión/descripción, parámetros passwd1/passwd2. La explotación de esta vulnerabilidad podría permitir que un usuario remoto envíe una URL especialmente manipulada a la víctima y robe los datos de su sesión.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3791)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad en WBSAirback 21.02.04, que consiste en un Cross-Site Scripting (XSS) almacenado a través de /admin/SystemConfiguration, nombre/campos de límite de memoria libre, parámetros de tipo/contraseña. La explotación de esta vulnerabilidad podría permitir que un usuario remoto envíe una URL especialmente manipulada a la víctima y robe los datos de su sesión.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3792)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad en WBSAirback 21.02.04, que consiste en un Cross-Site Scripting (XSS) almacenado a través de /admin/DeviceReplication, campo de rango de ejecución y todos los parámetros. La explotación de esta vulnerabilidad podría permitir que un usuario remoto envíe una URL especialmente manipulada a la víctima y robe los datos de su sesión.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3793)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad en WBSAirback 21.02.04, que consiste en un Cross-Site Scripting (XSS) almacenado a través de /admin/CloudAccounts, nombre de cuenta/contraseña de usuario/campos de servidor, todos los parámetros. La explotación de esta vulnerabilidad podría permitir que un usuario remoto envíe una URL especialmente manipulada a la víctima y robe los datos de su sesión.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3794)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad en WBSAirback 21.02.04, que consiste en un Cross-Site Scripting (XSS) almacenado a través de /admin/AdvancedSystem, campo de descripción y todos los parámetros. La explotación de esta vulnerabilidad podría permitir que un usuario remoto envíe una URL especialmente manipulada a la víctima y robe los datos de su sesión.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3795)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad en WBSAirback 21.02.04, que consiste en un Cross-Site Scripting (XSS) almacenado a través de /admin/BackupTemplate, campos de nombre/descripción. La explotación de esta vulnerabilidad podría permitir que un usuario remoto envíe una URL especialmente manipulada a la víctima y robe los datos de su sesión.
  • Vulnerabilidad en WBSAirback 21.02.04 (CVE-2024-3796)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 27/02/2025
    Vulnerabilidad en WBSAirback 21.02.04, que consiste en un Cross-Site Scripting (XSS) almacenado a través de /admin/BackupSchedule, campo de descripción. La explotación de esta vulnerabilidad podría permitir que un usuario remoto envíe una URL especialmente manipulada a la víctima y robe los datos de su sesión.
  • Vulnerabilidad en YARPP – Yet Another Related Posts Plugin para WordPress (CVE-2023-6495)
    Severidad: MEDIA
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 27/02/2025
    El complemento YARPP – Yet Another Related Posts Plugin para WordPress, es vulnerable a cross-site scripting almacenado a través de la configuración de administrador en todas las versiones hasta la 5.30.9 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con permisos de nivel de administrador y superiores, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a las instalaciones multisitio y a las instalaciones en las que se ha deshabilitado unfiltered_html.
  • Vulnerabilidad en WP Recipe Maker para WordPress (CVE-2024-0383)
    Severidad: MEDIA
    Fecha de publicación: 19/06/2024
    Fecha de última actualización: 27/02/2025
    El complemento WP Recipe Maker para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los códigos cortos [wprm-recipe-instructions] y [wprm-recipe-ingredients] del complemento en todas las versiones hasta la 9.1.0 incluida debido a restricciones insuficientes. en el atributo 'group_tag'. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en WP Recipe Maker para WordPress (CVE-2024-9650)
    Severidad: MEDIA
    Fecha de publicación: 24/10/2024
    Fecha de última actualización: 24/02/2025
    El complemento WP Recipe Maker para WordPress es vulnerable a cross-site scripting almacenado a través del parámetro 'tooltip' en todas las versiones hasta la 9.6.1 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Asea Brown Boveri Ltd. (ABB) (CVE-2024-11316)
    Severidad: ALTA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 27/02/2025
    Las vulnerabilidades de Fileszie Check permiten que un usuario malintencionado eluda los límites de tamaño o sobrecargue el producto. Productos afectados: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02
  • Vulnerabilidad en Asea Brown Boveri Ltd. (ABB) (CVE-2024-11317)
    Severidad: CRÍTICA
    Fecha de publicación: 05/12/2024
    Fecha de última actualización: 27/02/2025
    Las vulnerabilidades de fijación de sesión permiten a un atacante fijar el identificador de sesión de un usuario antes de iniciar sesión, lo que brinda la oportunidad de tomar el control de la sesión en un producto. Productos afectados: ABB ASPECT - Enterprise v3.08.02; NEXUS Series v3.08.02; MATRIX Series v3.08.02