Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en unixODBC (CVE-2024-1013)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 24/03/2025
    Se encontró una falla de escritura de pila fuera de los límites en unixODBC en arquitecturas de 64 bits donde la persona que llama tiene 4 bytes y la persona que llama escribe 8 bytes. Este problema puede pasar desapercibido en las arquitecturas little-endian, mientras que las arquitecturas big-endian pueden romperse.
  • Vulnerabilidad en AMSS++ (CVE-2024-2584)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 24/03/2025
    Vulnerabilidad en AMSS++ versión 4.31 que permite inyección SQL a través de /amssplus/modules/book/main/select_send.php, en el parámetro 'sd_index'. Esta vulnerabilidad podría permitir que un atacante remoto envíe una consulta SQL especialmente manipulada al servidor y recupere toda la información almacenada en la base de datos.
  • Vulnerabilidad en AMSS++ (CVE-2024-2585)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 24/03/2025
    Vulnerabilidad en AMSS++ versión 4.31 que permite inyección SQL a través de /amssplus/modules/book/main/select_send_2.php, en el parámetro 'sd_index'. Esta vulnerabilidad podría permitir que un atacante remoto envíe una consulta SQL especialmente manipulada al servidor y recupere toda la información almacenada en la base de datos.
  • Vulnerabilidad en AMSS++ (CVE-2024-2586)
    Severidad: ALTA
    Fecha de publicación: 18/03/2024
    Fecha de última actualización: 24/03/2025
    Vulnerabilidad en AMSS++ versión 4.31 que permite inyección SQL a través de /amssplus/index.php, en el parámetro 'nombre de usuario'. Esta vulnerabilidad podría permitir que un atacante remoto envíe una consulta SQL especialmente manipulada al servidor y recupere toda la información almacenada en la base de datos.
  • Vulnerabilidad en WordPress File Upload para WordPress (CVE-2024-2847)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 24/03/2025
    El complemento WordPress File Upload para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los códigos cortos del complemento en todas las versiones hasta la 4.24.5 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en D-Link (CVE-2023-44415)
    Severidad: ALTA
    Fecha de publicación: 03/05/2024
    Fecha de última actualización: 24/03/2025
    Vulnerabilidad de ejecución remota de código de inyección de comando cli de múltiples enrutadores D-Link. Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de los enrutadores D-Link DIR-1260 y DIR-2150. Se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del servicio CLI, que escucha en el puerto TCP 23. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz. Fue ZDI-CAN-19946.
  • Vulnerabilidad en SiteOrigin Widgets Bundle para WordPress (CVE-2024-4362)
    Severidad: MEDIA
    Fecha de publicación: 22/05/2024
    Fecha de última actualización: 24/03/2025
    El complemento SiteOrigin Widgets Bundle para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto 'siteorigin_widget' del complemento en todas las versiones hasta la 1.60.0 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en SiteOrigin Widgets Bundle para WordPress (CVE-2024-5090)
    Severidad: MEDIA
    Fecha de publicación: 11/06/2024
    Fecha de última actualización: 24/03/2025
    El complemento SiteOrigin Widgets Bundle para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del widget de blog SiteOrigin del complemento en todas las versiones hasta la 1.61.1 incluida debido a una sanitización de entrada insuficiente y a un escape de salida en los atributos proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.