Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Confluence Data Center (CVE-2024-21678)
    Severidad: ALTA
    Fecha de publicación: 20/02/2024
    Fecha de última actualización: 06/05/2025
    Esta vulnerabilidad XSS almacenada de alta gravedad se introdujo en la versión 2.7.0 de Confluence Data Center. Esta vulnerabilidad XSS almacenada, con una puntuación CVSS de 8,5, permite a un atacante autenticado ejecutar código HTML o JavaScript arbitrario en el navegador de una víctima, lo que tiene un alto impacto en la confidencialidad, un bajo impacto en la integridad, ningún impacto en la disponibilidad y no requiere interacción del usuario. Centro de datos Atlassian recomienda que los clientes de Confluence Data Center actualicen a la última versión. Si no puede hacerlo, actualice su instancia a una de las versiones fijas admitidas especificadas: ||Versiones afectadas||Versiones fijas|| |de 8.7.0 a 8.7.1|se recomienda 8.8.0 o 8.7.2| |de 8.6.0 a 8.6.1|se recomienda 8.8.0| |de 8.5.0 a 8.5.4 LTS|se recomienda 8.8.0 o 8.5.5 LTS o 8.5.6 LTS| |de 8.4.0 a 8.4.5|se recomienda 8.8.0 o 8.5.6 LTS| |de 8.3.0 a 8.3.4|se recomienda 8.8.0 o 8.5.6 LTS| |de 8.2.0 a 8.2.3|se recomienda 8.8.0 o 8.5.6 LTS| |de 8.1.0 a 8.1.4|se recomienda 8.8.0 o 8.5.6 LTS| |de 8.0.0 a 8.0.4|se recomienda 8.8.0 o 8.5.6 LTS| |de 7.20.0 a 7.20.3|se recomienda 8.8.0 o 8.5.6 LTS| |de 7.19.0 a 7.19.17 LTS|se recomienda 8.8.0 o 8.5.6 LTS o 7.19.18 LTS o 7.19.19 LTS| |de 7.18.0 a 7.18.3|se recomienda 8.8.0 o 8.5.6 LTS o 7.19.19 LTS| |de 7.17.0 a 7.17.5|se recomienda 8.8.0 o 8.5.6 LTS o 7.19.19 LTS| |Cualquier versión anterior|se recomienda 8.8.0 o 8.5.6 LTS o 7.19.19 LTS| Server Atlassian recomienda que los clientes de Confluence Server actualicen a la última versión 8.5.x LTS. Si no puede hacerlo, actualice su instancia a una de las versiones fijas admitidas especificadas: ||Versiones afectadas||Versiones fijas|| |de 8.5.0 a 8.5.4 LTS|Se recomienda 8.5.5 LTS o 8.5.6 LTS | |de 8.4.0 a 8.4.5|se recomienda 8.5.6 LTS| |de 8.3.0 a 8.3.4|se recomienda 8.5.6 LTS| |de 8.2.0 a 8.2.3|se recomienda 8.5.6 LTS| |de 8.1.0 a 8.1.4|se recomienda 8.5.6 LTS| |de 8.0.0 a 8.0.4|se recomienda 8.5.6 LTS| |de 7.20.0 a 7.20.3|se recomienda 8.5.6 LTS| |de 7.19.0 a 7.19.17 LTS|Se recomienda 8.5.6 LTS o 7.19.18 LTS o 7.19.19 LTS| |de 7.18.0 a 7.18.3|Se recomienda 8.5.6 LTS o 7.19.19 LTS| |de 7.17.0 a 7.17.5|Se recomienda 8.5.6 LTS o 7.19.19 LTS| |Cualquier versión anterior|se recomienda 8.5.6 LTS o 7.19.19 LTS| Consulte las notas de la versión ([https://confluence.atlassian.com/doc/confluence-release-notes-327.html]). Puede descargar la última versión de Confluence Data Center desde el centro de descargas ([https://www.atlassian.com/software/confluence/download-archives]). Esta vulnerabilidad se informó a través de nuestro programa Bug Bounty.
  • Vulnerabilidad en Unisoc (CVE-2023-52341)
    Severidad: ALTA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En el mensaje COUNTER CHECK de texto plano aceptado antes de la activación de seguridad de AS, es posible que falte una verificación de permiso. Esto podría conducir a la divulgación remota de información, sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Unisoc (CVE-2023-52342)
    Severidad: ALTA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En modem-ps-nas-ngmm, existe un posible comportamiento indefinido debido a un manejo incorrecto de errores. Esto podría conducir a la divulgación remota de información, sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Unisoc (CVE-2023-52343)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En el mensaje SecurityCommand después de que se haya activado la seguridad, existe una posible validación de entrada incorrecta. Esto podría conducir a la divulgación remota de información, sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Unisoc (CVE-2023-52344)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En modem-ps-nas-ngmm, existe un posible comportamiento indefinido debido a un manejo incorrecto de errores. Esto podría conducir a la divulgación remota de información, sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Unisoc (CVE-2023-52346)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En el controlador del módem, existe una posible falla del sistema debido a una validación de entrada incorrecta. Esto podría conducir a la divulgación de información local con privilegios de ejecución del System necesarios.
  • Vulnerabilidad en Unisoc (CVE-2023-52347)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En el servicio ril, existe una posible escritura fuera de los límites debido a una verificación de los límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución del System necesarios.
  • Vulnerabilidad en Unisoc (CVE-2023-52348)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En el servicio ril, existe una posible escritura fuera de los límites debido a una verificación de los límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución del System necesarios.
  • Vulnerabilidad en Unisoc (CVE-2023-52351)
    Severidad: ALTA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En el servicio ril, existe una posible escritura fuera de los límites debido a una verificación de los límites faltantes. Esto podría provocar una denegación de servicio local con privilegios de ejecución del System necesarios.
  • Vulnerabilidad en Unisoc (CVE-2023-52533)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En modem-ps-nas-ngmm, existe un posible comportamiento indefinido debido a un manejo incorrecto de errores. Esto podría conducir a la divulgación remota de información, sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Unisoc (CVE-2023-52534)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En ngmm, existe un posible comportamiento indefinido debido a un manejo incorrecto de errores. Esto podría provocar una denegación remota del servicio sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Unisoc (CVE-2023-52535)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En el controlador vsp, es posible que falte una entrada incorrecta de verificación. Esto podría provocar una denegación de servicio local sin necesidad de privilegios de ejecución adicionales.
  • Vulnerabilidad en Unisoc (CVE-2024-23658)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 06/05/2025
    En el controlador de la cámara, existe un posible use-after-free debido a un error lógico. Esto podría provocar una denegación de servicio local con privilegios de ejecución del System necesarios.
  • Vulnerabilidad en Real Media Library: Media Library Folder & File Manager para WordPress (CVE-2024-2027)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2024
    Fecha de última actualización: 06/05/2025
    El complemento Real Media Library: Media Library Folder & File Manager para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de sus atributos de estilo en todas las versiones hasta la 4.22.7 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de colaborador o superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-27975)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de use-after-free en el componente WLAvalancheService de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto autenticado ejecutar comandos arbitrarios como SYSTEM.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-27976)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de Path Traversal en el componente web de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto autenticado ejecutar comandos arbitrarios como SYSTEM.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-27977)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de Path Traversal en el componente web de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto autenticado eliminar archivos arbitrarios, lo que lleva a una denegación de servicio.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-27978)
    Severidad: MEDIA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de desreferencia de puntero nulo en el componente WLAvalancheService de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto autenticado realizar ataques de denegación de servicio.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-27984)
    Severidad: ALTA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de Path Traversal en el componente web de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto autenticado eliminar tipos específicos de archivos y/o provocar denegación de servicio.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-29204)
    Severidad: CRÍTICA
    Fecha de publicación: 19/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de desbordamiento de montón en el componente WLAvalancheService de Ivanti Avalanche anterior a 6.4.3 permite a un atacante remoto no autenticado ejecutar comandos arbitrarios
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-23527)
    Severidad: ALTA
    Fecha de publicación: 25/04/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de lectura fuera de los límites en el componente WLAvalancheService de Ivanti Avalanche anterior a 6.4.3, en ciertas condiciones, puede permitir que un atacante remoto no autenticado lea información confidencial en la memoria.
  • Vulnerabilidad en Real Media Library: Media Library Folder & File Manager para WordPress (CVE-2024-2328)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 06/05/2025
    El complemento Real Media Library: Media Library Folder & File Manager para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del título de la imagen y el texto alternativo en todas las versiones hasta la 4.22.11 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados, con acceso de autor y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Ivanti Avalanche (CVE-2024-29848)
    Severidad: ALTA
    Fecha de publicación: 31/05/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de carga de archivos sin restricciones en el componente web de Ivanti Avalanche anterior a 6.4.x permite a un usuario privilegiado y autenticado ejecutar comandos arbitrarios como SYSTEM.
  • Vulnerabilidad en FS Product Inquiry de WordPress (CVE-2024-4856)
    Severidad: ALTA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 06/05/2025
    El complemento FS Product Inquiry de WordPress hasta la versión 1.1.1 no sanitiza ni escapa un parámetro antes de devolverlo a la página, lo que genera Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios elevados, como administradores o usuarios no autenticados.
  • Vulnerabilidad en FS Product Inquiry de WordPress (CVE-2024-4857)
    Severidad: MEDIA
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 06/05/2025
    El complemento FS Product Inquiry de WordPress hasta la versión 1.1.1 no sanitiza ni escapa a algunos envíos de formularios, lo que podría permitir a usuarios no autenticados realizar ataques de Cross-Site Scripting Almacenado.
  • Vulnerabilidad en Kashipara Bus Ticket Reservation System v1.0 (CVE-2024-42761)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) Almacenado en "/admin_schedule.php" en Kashipara Bus Ticket Reservation System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro ScheduleDurationPHP.
  • Vulnerabilidad en Kashipara Bus Ticket Reservation System v1.0 (CVE-2024-42762)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) Almacenado en "/history.php" en Kashipara Bus Ticket Reservation System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través de los campos de parámetros Nombre, Teléfono y Correo electrónico.
  • Vulnerabilidad en Kashipara Bus Ticket Reservation System v1.0 (CVE-2024-42763)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) Reflejado en la página "/schedule.php" del Kashipara Bus Ticket Reservation System v1.0, que permite a atacantes remotos ejecutar código arbitrario a través del parámetro "bookingdate".
  • Vulnerabilidad en Kashipara Bus Ticket Reservation System v1.0 (CVE-2024-42764)
    Severidad: CRÍTICA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 06/05/2025
    Kashipara Bus Ticket Reservation System v1.0 es vulnerable a Cross Site Request Forgery (CSRF) a través de /deleteTicket.php.
  • Vulnerabilidad en Kashipara Bus Ticket Reservation System v1.0 (CVE-2024-42765)
    Severidad: CRÍTICA
    Fecha de publicación: 23/08/2024
    Fecha de última actualización: 06/05/2025
    Una vulnerabilidad de inyección SQL en "/login.php" del Kashipara Bus Ticket Reservation System v1.0 permite a atacantes remotos ejecutar comandos SQL arbitrarios y omitir el inicio de sesión a través de los parámetros de la página de inicio de sesión "correo electrónico" o "contraseña".
  • Vulnerabilidad en Kashipara Music Management System v1.0 (CVE-2024-42789)
    Severidad: MEDIA
    Fecha de publicación: 26/08/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) Reflejado en "/music/controller.php?page=test" en Kashipara Music Management System v1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario a través del parámetro "página".
  • Vulnerabilidad en Kashipara Music Management System v1.0 (CVE-2024-42788)
    Severidad: MEDIA
    Fecha de publicación: 26/08/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de cross-site scripting (XSS) almacenado en "/music/ajax.php?action=save_music" en Kashipara Music Management System v1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario a través de los campos de parámetros "título" y "artista".
  • Vulnerabilidad en Kashipara Music Management System v1.0 (CVE-2024-42791)
    Severidad: ALTA
    Fecha de publicación: 26/08/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Kashipara Music Management System v1.0 a través de /music/ajax.php?action=delete_genre.
  • Vulnerabilidad en Kashipara Music Management System v1.0 (CVE-2024-42787)
    Severidad: MEDIA
    Fecha de publicación: 26/08/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) Almacenado en "/music/ajax.php?action=save_playlist" en Kashipara Music Management System v1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario a través de los campos de parámetros "título" y "descripción".
  • Vulnerabilidad en /admin/add_subject.php in KASHIPARA E-learning Management System Project 1.0 (CVE-2024-50839)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) almacenado en /admin/add_subject.php in KASHIPARA E-learning Management System Project 1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar secuencias de comandos arbitrarias a través de los parámetros subject_code y title.
  • Vulnerabilidad en /admin/class.php in KASHIPARA E-learning Management System Project 1.0 (CVE-2024-50840)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) almacenado en /admin/class.php in KASHIPARA E-learning Management System Project 1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar secuencias de comandos arbitrarias a través del parámetro class_name.
  • Vulnerabilidad en /admin/calendar_of_events.php in KASHIPARA E-learning Management System Project 1.0 (CVE-2024-50841)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) almacenado en /admin/calendar_of_events.php in KASHIPARA E-learning Management System Project 1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar secuencias de comandos arbitrarias a través de los parámetros date_start, date_end y title.
  • Vulnerabilidad en /admin/school_year.php in KASHIPARA E-learning Management System Project 1.0 (CVE-2024-50842)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) almacenado en /admin/school_year.php in KASHIPARA E-learning Management System Project 1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar secuencias de comandos arbitrarias a través del parámetro school_year.
  • Vulnerabilidad en /admin/admin_user.php in KASHIPARA E-learning Management System Project 1.0 (CVE-2024-50837)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) almacenado en /admin/admin_user.php in KASHIPARA E-learning Management System Project 1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar secuencias de comandos arbitrarias a través de los parámetros firstname y username.
  • Vulnerabilidad en /admin/department.php in KASHIPARA E-learning Management System Project 1.0 (CVE-2024-50838)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 06/05/2025
    Se encontró una vulnerabilidad de Cross Site Scripting (XSS) almacenado en /admin/department.php in KASHIPARA E-learning Management System Project 1.0. Esta vulnerabilidad permite a atacantes remotos ejecutar secuencias de comandos arbitrarias a través de los parámetros d y pi.
  • Vulnerabilidad en Unisoc (CVE-2024-39441)
    Severidad: ALTA
    Fecha de publicación: 26/02/2025
    Fecha de última actualización: 06/05/2025
    En la pantalla wifi, es posible que falte una verificación de permisos. Esto podría provocar una escalada local de privilegios sin necesidad de permisos de ejecución adicionales.
  • Vulnerabilidad en Countdown Timer de WordPress (CVE-2024-13864)
    Severidad: ALTA
    Fecha de publicación: 11/03/2025
    Fecha de última actualización: 06/05/2025
    El complemento Countdown Timer de WordPress hasta la versión 1.0 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en WP Project Manager para WordPress (CVE-2025-2541)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2025
    Fecha de última actualización: 06/05/2025
    El plugin WP Project Manager para WordPress es vulnerable a Cross-Site Scripting almacenado al subir archivos SVG en todas las versiones hasta la 2.6.22 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de autor o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario al archivo SVG.
  • Vulnerabilidad en Z Companion para WordPress (CVE-2025-2575)
    Severidad: MEDIA
    Fecha de publicación: 11/04/2025
    Fecha de última actualización: 06/05/2025
    El complemento Z Companion para WordPress es vulnerable a Cross-Site Scripting almacenado al subir archivos SVG en todas las versiones hasta la 1.1.1 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de autor o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario al archivo SVG. Nota: Esto requiere la instalación del tema Royal Shop.
  • Vulnerabilidad en Element Pack Addons for Elementor – Free Templates and Widgets for Your WordPress Websites para WordPress (CVE-2025-1458)
    Severidad: MEDIA
    Fecha de publicación: 26/04/2025
    Fecha de última actualización: 06/05/2025
    El complemento Element Pack Addons for Elementor – Free Templates and Widgets for Your WordPress Websites para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de varios widgets como el Botón Dual, el Botón Creativo, la Pila de Imágenes y más, en todas las versiones hasta la 5.10.29 incluida, debido a una depuración de entrada y un escape de salida insuficientes. Esto permite a atacantes autenticados, con acceso de Colaborador o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.
  • Vulnerabilidad en Gutenverse – Ultimate Block Addons and Page Builder for Site Editor de WordPress (CVE-2025-2893)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2025
    Fecha de última actualización: 06/05/2025
    El complemento Gutenverse – Ultimate Block Addons and Page Builder for Site Editor de WordPress es vulnerable a Cross-Site Scripting almacenado a través del bloque de cuenta regresiva del complemento en todas las versiones hasta la 2.2.1 incluida, debido a una depuración de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en las páginas que se ejecutarán al acceder un usuario a una página inyectada.