Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en WordPress (CVE-2019-15870)
    Severidad: MEDIA
    Fecha de publicación: 03/09/2019
    Fecha de última actualización: 20/03/2025
    El tema CarSpot en versiones anteriores a la 2.1.7 para WordPress ha almacenado XSS mediante el campo Número de teléfono.
  • Vulnerabilidad en Lucian Apostol Auto Affiliate Links (CVE-2023-47652)
    Severidad: ALTA
    Fecha de publicación: 13/11/2023
    Fecha de última actualización: 20/03/2025
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Lucian Apostol Auto Affiliate Links permite almacenar XSS. Este problema afecta a Auto Affiliate Links: desde n/a hasta 6.4.2.4.
  • Vulnerabilidad en Wp Social Login and Register Social Counter para WordPress (CVE-2024-1763)
    Severidad: MEDIA
    Fecha de publicación: 13/03/2024
    Fecha de última actualización: 20/03/2025
    El complemento Wp Social Login and Register Social Counter para WordPress es vulnerable a modificaciones no autorizadas de datos debido a una falta de verificación de capacidad en el endpoint de la API REST /wp_social/v1/ en todas las versiones hasta la 3.0.0 incluida. Esto hace posible que atacantes no autenticados habiliten y deshabiliten ciertos proveedores para las funciones de inicio de sesión y compartir en redes sociales.
  • Vulnerabilidad en kernel de Linux (CVE-2024-26787)
    Severidad: MEDIA
    Fecha de publicación: 04/04/2024
    Fecha de última actualización: 20/03/2025
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: mmc: mmci: stm32: corregir la advertencia de asignaciones superpuestas de la API DMA Al activar CONFIG_DMA_API_DEBUG_SG se genera la siguiente advertencia: DMA-API: mmci-pl18x 48220000.mmc: seguimiento de línea de caché EEXIST, asignaciones superpuestas no son compatibles ADVERTENCIA: CPU: 1 PID: 51 en kernel/dma/debug.c:568 add_dma_entry+0x234/0x2f4 Módulos vinculados en: CPU: 1 PID: 51 Comm: kworker/1:2 Not tainted 6.1.28 # 1 Nombre del hardware: STMicroelectronics STM32MP257F-EV1 Placa de evaluación (DT) Cola de trabajo: events_freezable mmc_rescan Rastreo de llamadas: add_dma_entry+0x234/0x2f4 debug_dma_map_sg+0x198/0x350 __dma_map_sg_attrs+0xa0/0x110 dma_map_sg_attrs+0x1 0/0x2c sdmmc_idma_prep_data+0x80/0xc0 mmci_prep_data+0x38/0x84 mmci_start_data+0x108/0x2dc mmci_request+0xe4/0x190 __mmc_start_request+0x68/0x140 mmc_start_request+0x94/0xc0 mmc_wait_for_req+0x70/0x100 mmc_send_tuning+0x108/0x1ac sdmmc_execute_tuning+0x 14c/0x210 mmc_execute_tuning+0x48/0xec mmc_sd_init_uhs_card.part.0+0x208/0x464 mmc_sd_init_card +0x318/0x89c mmc_attach_sd+0xe4/0x180 mmc_rescan+0x244/0x320 La depuración de la API de DMA saca a la luz asignaciones de dma con fugas, ya que dma_map_sg y dma_unmap_sg no están correctamente equilibrados. Si se produce un error en la función mmci_cmd_irq, solo se llama a la función mmci_dma_error y como esta API no se administra en la variante stm32, nunca se llama a dma_unmap_sg en esta ruta de error.
  • Vulnerabilidad en Repute Infosystems BookingPress de WordPress (CVE-2024-31296)
    Severidad: MEDIA
    Fecha de publicación: 07/04/2024
    Fecha de última actualización: 20/03/2025
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en Repute Infosystems BookingPress. Este problema afecta a BookingPress: desde n/a hasta 1.0.81.
  • Vulnerabilidad en BookingPress (CVE-2024-34799)
    Severidad: MEDIA
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 20/03/2025
    Vulnerabilidad de autorización faltante en Repute Infosystems BookingPress. Este problema afecta a BookingPress: desde n/a hasta 1.0.82.
  • Vulnerabilidad en AyeCode - WP Business Directory Plugins GeoDirectory (CVE-2024-56259)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 20/03/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en AyeCode - WP Business Directory Plugins GeoDirectory permite XSS almacenado. Este problema afecta a GeoDirectory: desde n/a hasta 2.3.84.
  • Vulnerabilidad en Modernaweb Studio Black Widgets For Elementor (CVE-2025-22806)
    Severidad: MEDIA
    Fecha de publicación: 09/01/2025
    Fecha de última actualización: 20/03/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Modernaweb Studio Black Widgets For Elementor permite XSS basado en DOM. Este problema afecta a Black Widgets For Elementor: desde n/a hasta 1.3.8.
  • Vulnerabilidad en Detheme DethemeKit For Elementor (CVE-2025-26772)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2025
    Fecha de última actualización: 20/03/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Detheme DethemeKit For Elementor permite XSS almacenado. Este problema afecta a DethemeKit For Elementor: desde n/a hasta 2.1.8.
  • Vulnerabilidad en Elementor Elementor Website Builder (CVE-2024-54444)
    Severidad: MEDIA
    Fecha de publicación: 25/02/2025
    Fecha de última actualización: 20/03/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Elementor Elementor Website Builder permite XSS almacenado. Este problema afecta a Elementor Website Builder: desde n/a hasta 3.25.10.
  • Vulnerabilidad en HasThemes WP Templata (CVE-2025-26917)
    Severidad: ALTA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 20/03/2025
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en HasThemes WP Templata permite XSS reflejado. Este problema afecta a WP Templata: desde n/a hasta 1.0.7.
  • Vulnerabilidad en WP Crowdfunding para WordPress (CVE-2025-1508)
    Severidad: MEDIA
    Fecha de publicación: 12/03/2025
    Fecha de última actualización: 20/03/2025
    El complemento WP Crowdfunding para WordPress es vulnerable al acceso no autorizado a datos debido a la falta de una comprobación de capacidad en la acción download_data en todas las versiones hasta la 2.1.13 incluida. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, descarguen todo el contenido de las entradas de un sitio cuando WooCommerce está instalado.