Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en BoldGrid Post y Page Builder (CVE-2023-25480)
    Severidad: MEDIA
    Fecha de publicación: 06/10/2023
    Fecha de última actualización: 19/03/2025
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en BoldGrid Post y Page Builder por BoldGrid – complemento Visual Drag and Drop Editor en versiones <= 1.24.1.
  • Vulnerabilidad en BoldGrid Post y Page Builder de BoldGrid (CVE-2024-2888)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 19/03/2025
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en BoldGrid Post y Page Builder de BoldGrid: el editor visual de arrastrar y soltar permite almacenar XSS. Este problema afecta a Post y Page Builder de BoldGrid: editor visual de arrastrar y soltar : desde n/a hasta 1.26.2.
  • Vulnerabilidad en VeronaLabs WP SMS (CVE-2024-30454)
    Severidad: MEDIA
    Fecha de publicación: 29/03/2024
    Fecha de última actualización: 19/03/2025
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en VeronaLabs WP SMS. Este problema afecta a WP SMS: desde n/a hasta 6.6.2.
  • Vulnerabilidad en Terry Lin WP Githuber MD (CVE-2023-47846)
    Severidad: CRÍTICA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 19/03/2025
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en Terry Lin WP Githuber MD. Este problema afecta a WP Githuber MD: desde n/a hasta 1.16.2.
  • Vulnerabilidad en WEN Solutions WP Child Theme Generator (CVE-2023-47873)
    Severidad: CRÍTICA
    Fecha de publicación: 26/03/2024
    Fecha de última actualización: 19/03/2025
    Carga sin restricciones de archivos con vulnerabilidad de tipo peligroso en WEN Solutions WP Child Theme Generator. Este problema afecta al WP Child Theme Generator: desde n/a hasta 1.0.9.
  • Vulnerabilidad en WP SMS de WordPress (CVE-2024-25920)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 19/03/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en WP SMS de VeronaLabs para WordPress permite XSS almacenado. Este problema afecta a WP SMS: desde n/a hasta 6.3.4.
  • Vulnerabilidad en Podlove Podcast Publisher de WordPress (CVE-2024-29915)
    Severidad: ALTA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 19/03/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Podlove Podlove Podcast Publisher permite el XSS reflejado. Este problema afecta a Podlove Podcast Publisher: desde n/a hasta 4.0.9.
  • Vulnerabilidad en Podlove Podlove Podcast Publisher (CVE-2024-32139)
    Severidad: ALTA
    Fecha de publicación: 15/04/2024
    Fecha de última actualización: 19/03/2025
    Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en Podlove Podlove Podcast Publisher. Este problema afecta a Podlove Podcast Publisher: desde n/a hasta 4.0.12.
  • Vulnerabilidad en OnTheGoSystems WooCommerce Multilingual & Multicurrency (CVE-2024-32602)
    Severidad: ALTA
    Fecha de publicación: 18/04/2024
    Fecha de última actualización: 19/03/2025
    Neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando SQL ("Inyección SQL") en OnTheGoSystems WooCommerce Multilingual & Multicurrency. Este problema afecta a WooCommerce Multilingual & Multicurrency: desde n/a hasta 5.3.3.1.
  • Vulnerabilidad en Podlove Podlove Podcast Publisher. (CVE-2024-32812)
    Severidad: MEDIA
    Fecha de publicación: 24/04/2024
    Fecha de última actualización: 19/03/2025
    Vulnerabilidad de Server-Side Request Forgery (SSRF) en Podlove Podlove Podcast Publisher. Este problema afecta a Podlove Podcast Publisher: desde n/a hasta 4.0.11.
  • Vulnerabilidad en CodeBard CodeBard's Patron Button and Widgets for Patreon (CVE-2024-33928)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 19/03/2025
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en CodeBard CodeBard's Patron Button and Widgets for Patreon permiten XSS reflejado. Este problema afecta el botón de usuario y los widgets de CodeBard para Patreon: desde n/a hasta 2.2.0.
  • Vulnerabilidad en Podlove Podlove Podcast Publisher (CVE-2024-32712)
    Severidad: ALTA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 19/03/2025
    Vulnerabilidad de autorización faltante en Podlove Podlove Podcast Publisher. Este problema afecta a Podlove Podcast Publisher: desde n/a hasta 4.0.14.
  • Vulnerabilidad en VeronaLabs WP SMS (CVE-2024-34811)
    Severidad: MEDIA
    Fecha de publicación: 14/05/2024
    Fecha de última actualización: 19/03/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en VeronaLabs WP SMS permite almacenar XSS. Este problema afecta a WP SMS: desde n/a hasta 6.5.1.
  • Vulnerabilidad en Podlove Podcast Publisher (CVE-2024-32143)
    Severidad: MEDIA
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 19/03/2025
    Vulnerabilidad de autorización faltante en Podlove Podlove Podcast Publisher. Este problema afecta a Podlove Podcast Publisher: desde n/a hasta 4.1.0.
  • Vulnerabilidad en VeronaLabs WP SMS (CVE-2024-43331)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2024
    Fecha de última actualización: 19/03/2025
    Vulnerabilidad de autorización faltante en VeronaLabs WP SMS. Este problema afecta a WP SMS: desde n/a hasta 6.9.3.
  • Vulnerabilidad en Arconix Shortcodes de Tyche Softwares (CVE-2024-56242)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 19/03/2025
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Arconix Shortcodes de Tyche Softwares permite XSS almacenado. Este problema afecta a Arconix Shortcodes: desde n/a hasta 2.1.14.
  • Vulnerabilidad en Campcodes Cybercafe Management System v1.0 (CVE-2024-57162)
    Severidad: ALTA
    Fecha de publicación: 16/01/2025
    Fecha de última actualización: 19/03/2025
    Campcodes Cybercafe Management System v1.0 es vulnerable a una inyección SQL en /ccms/view-user-detail.php.
  • Vulnerabilidad en Podlove Podcast Publisher para WordPress (CVE-2025-0554)
    Severidad: MEDIA
    Fecha de publicación: 18/01/2025
    Fecha de última actualización: 19/03/2025
    El complemento Podlove Podcast Publisher para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del valor del nombre del feed en la versión <= 4.1.25 debido a una cantidad insuficiente de desinfección de entrada y de escape de salida. Esto permite que atacantes autenticados, con acceso de nivel de administrador, inyecten Scripts web arbitraria en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones multisitio e instalaciones donde se ha deshabilitado unfiltered_html.
  • Vulnerabilidad en realmag777 WOLF (CVE-2025-24605)
    Severidad: MEDIA
    Fecha de publicación: 03/02/2025
    Fecha de última actualización: 19/03/2025
    La vulnerabilidad 'Limitación incorrecta de una ruta a un directorio restringido' ('Path Traversal') en realmag777 WOLF permite Path Traversal. Este problema afecta a WOLF: desde n/a hasta 1.0.8.5.
  • Vulnerabilidad en FortiOS y FortiProxy (CVE-2025-24472)
    Severidad: ALTA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 19/03/2025
    Una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo [CWE-288] que afecta a FortiOS 7.0.0 a 7.0.16 y FortiProxy 7.2.0 a 7.2.12, 7.0.0 a 7.0.19 puede permitir que un atacante remoto obtenga privilegios de superadministrador a través de solicitudes de proxy CSF manipuladas.