Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en WordPress Contact Forms de Cimatti para WordPress (CVE-2024-10521)
    Severidad: MEDIA
    Fecha de publicación: 27/11/2024
    Fecha de última actualización: 19/03/2025
    El complemento WordPress Contact Forms de Cimatti para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 1.9.2 incluida. Esto se debe a la falta o la validación incorrecta de nonce en la función process_bulk_action. Esto permite que atacantes no autenticados eliminen formularios a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Cryptocurrency Widgets For Elementor (CVE-2024-53739)
    Severidad: ALTA
    Fecha de publicación: 30/11/2024
    Fecha de última actualización: 19/03/2025
    La vulnerabilidad de control inadecuado del nombre de archivo para la declaración Include/Require en el programa PHP ('Inclusión de archivo remoto PHP') en Cool Plugins Cryptocurrency Widgets For Elementor permite la inclusión de archivos locales PHP. Este problema afecta a Cryptocurrency Widgets For Elementor: desde n/a hasta 1.6.4.
  • Vulnerabilidad en Cimatti Consulting Contact Forms by Cimatti (CVE-2023-35051)
    Severidad: MEDIA
    Fecha de publicación: 13/12/2024
    Fecha de última actualización: 19/03/2025
    La vulnerabilidad de autorización faltante en Cimatti Consulting Contact Forms by Cimatti permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a los formularios de contacto de Cimatti: desde n/a hasta 1.5.7.
  • Vulnerabilidad en Post and Page Builder de BoldGrid – Visual Drag and Drop Editor para WordPress (CVE-2025-0859)
    Severidad: MEDIA
    Fecha de publicación: 06/02/2025
    Fecha de última actualización: 19/03/2025
    El complemento Post and Page Builder de BoldGrid – Visual Drag and Drop Editor para WordPress es vulnerable a Path Traversal en todas las versiones hasta la 1.27.6 incluida a través de la función template_via_url(). Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, lean el contenido de archivos arbitrarios en el servidor, que pueden contener información confidencial.
  • Vulnerabilidad en RealMag777 BEAR (CVE-2025-26775)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2025
    Fecha de última actualización: 19/03/2025
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en RealMag777 BEAR permite XSS almacenado. Este problema afecta a BEAR: desde n/a hasta 1.1.4.4.
  • Vulnerabilidad en Podlove Podcast Publisher para WordPress (CVE-2025-1383)
    Severidad: MEDIA
    Fecha de publicación: 06/03/2025
    Fecha de última actualización: 19/03/2025
    El complemento Podlove Podcast Publisher para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 4.2.2 incluida. Esto se debe a la falta o la validación incorrecta de nonce en la función ajax_transcript_delete(). Esto permite que atacantes no autenticados eliminen transcripciones de episodios arbitrarios a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en HUSKY – Products Filter Professional para WooCommerce para WordPress (CVE-2025-1661)
    Severidad: CRÍTICA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 19/03/2025
    El complemento HUSKY – Products Filter Professional para WooCommerce para WordPress es vulnerable a la inclusión de archivos locales en todas las versiones hasta la 1.3.6.5 incluida, a través del parámetro 'template' de la acción AJAX woof_text_search. Esto permite que atacantes no autenticados incluyan y ejecuten archivos arbitrarios en el servidor, lo que permite la ejecución de cualquier código PHP en esos archivos. Esto se puede utilizar para eludir los controles de acceso, obtener datos confidenciales o lograr la ejecución de código en casos en los que se puedan cargar e incluir imágenes y otros tipos de archivos "seguros".