Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en MediaElement.js de WordPress (CVE-2022-4699)
    Severidad: MEDIA
    Fecha de publicación: 30/01/2023
    Fecha de última actualización: 21/04/2025
    El complemento MediaElement.js de WordPress hasta la versión 4.2.8 no valida ni escapa algunos de sus atributos de código corto antes de devolverlos a la página, lo que podría permitir a los usuarios con un rol tan bajo como el de colaborador realizar ataques de cross-site scripting almacenado que podrían ser utilizados contra usuarios con altos privilegios, como administradores.
  • Vulnerabilidad en Post Grid, Post Carousel y List Category Posts de WordPress (CVE-2023-0097)
    Severidad: MEDIA
    Fecha de publicación: 30/01/2023
    Fecha de última actualización: 21/04/2025
    El complemento Post Grid, Post Carousel y List Category Posts de WordPress anterior a la versión 2.4.19 no valida ni escapa algunas de sus opciones de bloque antes de mostrarlas nuevamente en una página/publicación donde está incrustado el bloque, lo que podría permitir a los usuarios con el rol de colaborador y superior realizar ataques de Cross-Site Scripting almacenado.
  • Vulnerabilidad en libvips (CVE-2023-40032)
    Severidad: MEDIA
    Fecha de publicación: 11/09/2023
    Fecha de última actualización: 21/04/2025
    libvips es una librería de procesamiento de imágenes con subprocesos horizontales y basada en la demanda. Una entrada SVG manipulada puede provocar que las versiones 8.14.3 o anteriores de libvips generen un error de segmentación al intentar analizar un carácter UTF-8 con formato incorrecto. Los usuarios deben actualizar a libvips versión 8.14.4 (o posterior) cuando procesen entradas que no sean de confianza.
  • Vulnerabilidad en Neo4j (CVE-2024-34517)
    Severidad: MEDIA
    Fecha de publicación: 07/05/2024
    Fecha de última actualización: 21/04/2025
    El componente Cypher en Neo4j anterior a 5.19.0 maneja mal los privilegios IMMUTABLES.
  • Vulnerabilidad en code-projects Simple Car Rental System 1.0 (CVE-2024-10702)
    Severidad: MEDIA
    Fecha de publicación: 02/11/2024
    Fecha de última actualización: 21/04/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en code-projects Simple Car Rental System 1.0. Se ve afectada una función desconocida del archivo /signup.php. La manipulación del argumento fname provoca una inyección SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.