Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en WPO365 | MICROSOFT 365 GRAPH MAILER para WordPress (CVE-2025-1488)
    Severidad: MEDIA
    Fecha de publicación: 24/02/2025
    Fecha de última actualización: 27/03/2025
    El complemento WPO365 | MICROSOFT 365 GRAPH MAILER para WordPress es vulnerable a Open Redirect en todas las versiones hasta la 3.2 incluida. Esto se debe a una validación insuficiente en la URL de redireccionamiento proporcionada a través del parámetro 'redirect_to'. Esto hace posible que atacantes no autenticados redirijan a los usuarios a sitios potencialmente maliciosos si 1. logran engañarlos para que realicen una acción y 2. el complemento está activado pero no configurado.
  • Vulnerabilidad en ShareThis Dashboard para Google Analytics para WordPress (CVE-2025-1507)
    Severidad: MEDIA
    Fecha de publicación: 14/03/2025
    Fecha de última actualización: 27/03/2025
    El complemento ShareThis Dashboard para Google Analytics para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de una comprobación de capacidad en la función handle_actions() en todas las versiones hasta la 3.2.1 incluida. Esto permite que atacantes no autenticados deshabiliten todas las funciones.
  • Vulnerabilidad en JobCareer | Job Board Responsive WordPress Theme para WordPress (CVE-2024-12810)
    Severidad: ALTA
    Fecha de publicación: 14/03/2025
    Fecha de última actualización: 27/03/2025
    El tema JobCareer | Job Board Responsive WordPress Theme para WordPress es vulnerable al acceso no autorizado, la modificación y la pérdida de datos debido a la falta de comprobaciones de capacidad en múltiples funciones en todas las versiones hasta la 7.1 incluida. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, eliminar archivos arbitrarios, generar y restaurar copias de seguridad, actualizar las opciones del tema y restablecerlas a la configuración predeterminada.
  • Vulnerabilidad en Civi - Job Board & Freelance Marketplace WordPress Theme para WordPress (CVE-2024-13771)
    Severidad: CRÍTICA
    Fecha de publicación: 14/03/2025
    Fecha de última actualización: 27/03/2025
    El complemento Civi - Job Board & Freelance Marketplace WordPress Theme para WordPress es vulnerable a la omisión de la autenticación en todas las versiones hasta la 2.1.4 incluida. Esto se debe a la falta de validación del usuario antes de cambiar la contraseña. Esto permite que atacantes no autenticados cambien la contraseña de usuarios arbitrarios, incluidos administradores, si conocen el nombre de usuario de la víctima.
  • Vulnerabilidad en Civi - Job Board & Freelance Marketplace WordPress Theme para WordPress (CVE-2024-13772)
    Severidad: MEDIA
    Fecha de publicación: 14/03/2025
    Fecha de última actualización: 27/03/2025
    El complemento Civi - Job Board & Freelance Marketplace WordPress Theme para WordPress es vulnerable a la omisión de la autenticación en todas las versiones hasta la 2.1.4 incluida. Esto se debe a la falta de aleatorización de la contraseña creada durante el inicio de sesión único a través de Google o Facebook. Esto permite que atacantes no autenticados cambien la contraseña de usuarios de nivel de candidato arbitrario si conocen el nombre de usuario asignado a la víctima durante la creación de la cuenta.
  • Vulnerabilidad en Civi - Job Board & Freelance Marketplace WordPress Theme para WordPress (CVE-2024-13773)
    Severidad: ALTA
    Fecha de publicación: 14/03/2025
    Fecha de última actualización: 27/03/2025
    El complemento Civi - Job Board & Freelance Marketplace WordPress Theme para WordPress es vulnerable a la Exposición de Información Sensible en todas las versiones hasta la 2.1.4 incluida, mediante credenciales codificadas. Esto permite a atacantes no autenticados extraer datos confidenciales, como claves de cliente y secretas de LinkedIn.
  • Vulnerabilidad en Motors – Car Dealer, Classifieds & Listing para WordPress (CVE-2024-13737)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2025
    Fecha de última actualización: 27/03/2025
    El complemento Motors – Car Dealer, Classifieds & Listing para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobaciones de capacidad en las funciones motors_create_template y motors_delete_template en todas las versiones hasta la 1.4.57 incluida. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, eliminen publicaciones arbitrarias o creen plantillas de listados. Este problema requiere la instalación del complemento Elementor, un complemento obligatorio para el tema Motors Starter.
  • Vulnerabilidad en Newsletters para WordPress (CVE-2024-13739)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2025
    Fecha de última actualización: 27/03/2025
    El complemento Newsletters para WordPress es vulnerable a ataques Cross-Site Scripting Reflejado a través del parámetro "to" en todas las versiones hasta la 4.9.9.7 incluida, debido a una depuración de entrada y al escape de salida insuficiente. Esto permite a atacantes no autenticados inyectar scripts web arbitrarios en páginas que se ejecutan si logran engañar a un usuario administrador para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en ProfileGrid – User Profiles, Groups and Communities para WordPress (CVE-2025-0723)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2025
    Fecha de última actualización: 27/03/2025
    El complemento ProfileGrid – User Profiles, Groups and Communities para WordPress es vulnerable a inyecciones SQL ciegas y temporales mediante los parámetros rid y search en todas las versiones hasta la 5.9.4.7 incluida, debido a un escape insuficiente del parámetro proporcionado por el usuario y a la falta de preparación de la consulta SQL existente. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, añadir consultas SQL adicionales a las consultas existentes, las cuales pueden utilizarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en ProfileGrid – User Profiles, Groups and Communities para WordPress (CVE-2025-0724)
    Severidad: ALTA
    Fecha de publicación: 22/03/2025
    Fecha de última actualización: 27/03/2025
    El complemento ProfileGrid – User Profiles, Groups and Communities para WordPress es vulnerable a la inyección de objetos PHP en todas las versiones hasta la 5.9.4.5 incluida, mediante la deserialización de entradas no confiables en la función get_user_meta_fields_html. Esto permite a atacantes autenticados, con acceso de suscriptor o superior, inyectar un objeto PHP. No se conoce ninguna cadena POP presente en el software vulnerable, por lo que esta vulnerabilidad no tiene impacto a menos que se instale en el sitio otro complemento o tema que contenga una cadena POP. Si una cadena POP está presente a través de un complemento o tema adicional instalado en el sistema objetivo, puede permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos confidenciales o ejecutar código, dependiendo de la cadena POP presente.
  • Vulnerabilidad en ProfileGrid – User Profiles, Groups and Communities para WordPress (CVE-2025-1408)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2025
    Fecha de última actualización: 27/03/2025
    El complemento ProfileGrid – User Profiles, Groups and Communities para WordPress es vulnerable a la modificación no autorizada de datos debido a la falta de comprobación de las funciones pm_decline_join_group_request y pm_approve_join_group_request en todas las versiones hasta la 5.9.4.4 incluida. Esto permite que atacantes autenticados, con acceso de suscriptor o superior, aprueben o rechacen solicitudes de ingreso a grupos, lo cual normalmente debería estar disponible solo para administradores.
  • Vulnerabilidad en westboy CicadasCMS 1.0 (CVE-2025-2625)
    Severidad: MEDIA
    Fecha de publicación: 22/03/2025
    Fecha de última actualización: 27/03/2025
    Se ha detectado una vulnerabilidad crítica en westboy CicadasCMS 1.0. Esta afecta a una parte desconocida del archivo /system/cms/content/page. La manipulación del argumento orderField/orderDirection provoca una inyección SQL. Es posible iniciar el ataque de forma remota. Se ha hecho público el exploit y puede que sea utilizado.