Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Easy PayPal & Stripe Buy Now Button para WordPress y Contact Form 7 – PayPal & Stripe Add-on (CVE-2024-1719)
    Severidad: MEDIA
    Fecha de publicación: 28/02/2024
    Fecha de última actualización: 04/03/2025
    El complemento Easy PayPal & Stripe Buy Now Button para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.8.3 incluida y en Contact Form 7 – PayPal & Stripe Add-on en todas las versiones hasta la 2.1 incluida. Esto se debe a la falta o la validación incorrecta de nonce en la función 'wpecpp_stripe_connect_completion'. Esto hace posible que atacantes no autenticados modifiquen la configuración de los complementos y alteren la conexión de Stripe a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Brainstorm Force Spectra (CVE-2023-36679)
    Severidad: ALTA
    Fecha de publicación: 28/03/2024
    Fecha de última actualización: 05/03/2025
    Vulnerabilidad de Server-Side Request Forgery (SSRF) en Brainstorm Force Spectra. Este problema afecta a Spectra: desde n/a hasta 2.6.6.
  • Vulnerabilidad en IBM QRadar SIEM 7.5 (CVE-2023-50961)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 05/03/2025
    IBM QRadar SIEM 7.5 es vulnerable a cross-site scripting almacenadas. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría conducir a la divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 275939.
  • Vulnerabilidad en IBM WebSphere Application Server Liberty (CVE-2024-27270)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 05/03/2025
    IBM WebSphere Application Server Liberty 23.0.0.3 a 24.0.0.3 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en un URI especialmente manipulado. ID de IBM X-Force: 284576.
  • Vulnerabilidad en IBM QRadar SIEM 7.5 (CVE-2024-28784)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 05/03/2025
    IBM QRadar SIEM 7.5 es vulnerable a cross-site scripting. Esta vulnerabilidad permite a los usuarios incrustar código JavaScript arbitrario en la interfaz de usuario web, alterando así la funcionalidad prevista, lo que podría conducir a la divulgación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 285893.
  • Vulnerabilidad en Elementor (CVE-2024-30177)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 05/03/2025
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en complementos exclusivos Elementor de complementos exclusivos permite XSS almacenado. Este problema afecta a Elementor de complementos exclusivos: desde n/a hasta 2.6.8.
  • Vulnerabilidad en Elementor (CVE-2024-30232)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 05/03/2025
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en complementos exclusivos Elementor de complementos exclusivos permite XSS almacenado. Este problema afecta a Elementor de complementos exclusivos: desde n/a hasta 2.6.9.
  • Vulnerabilidad en Migration, Backup, Staging – WPvivid Backup & Migration para WordPress (CVE-2024-13869)
    Severidad: ALTA
    Fecha de publicación: 22/02/2025
    Fecha de última actualización: 05/03/2025
    El complemento Migration, Backup, Staging – WPvivid Backup & Migration para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función 'upload_files' en todas las versiones hasta la 0.9.112 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de administrador o superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código. NOTA: Los archivos cargados solo son accesibles en instancias de WordPress que se ejecutan en el servidor web NGINX, ya que el .htaccess existente dentro de la carpeta de carga de archivos de destino impide el acceso en servidores Apache.
  • Vulnerabilidad en SMTP para SendGrid – YaySMTP para WordPress (CVE-2025-0918)
    Severidad: ALTA
    Fecha de publicación: 22/02/2025
    Fecha de última actualización: 05/03/2025
    El complemento SMTP para SendGrid – YaySMTP para WordPress es vulnerable a Cross-Site Scripting almacenado en versiones hasta la 1.3.1 incluida debido a una depuración de entrada insuficiente y al escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en SMTP para Sendinblue – YaySMTP para WordPress (CVE-2025-0953)
    Severidad: ALTA
    Fecha de publicación: 22/02/2025
    Fecha de última actualización: 05/03/2025
    El complemento SMTP para Sendinblue – YaySMTP para WordPress es vulnerable a Cross-Site Scripting almacenado en versiones hasta la 1.1.1 incluida debido a una depuración de entrada insuficiente y al escape de salida. Esto permite que atacantes no autenticados inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.