Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en XStream (CVE-2016-3674)
    Severidad: ALTA
    Fecha de publicación: 17/05/2016
    Fecha de última actualización: 23/05/2025
    Múltiples vulnerabilidades de entidad externa (XXE) en (1) Dom4JDriver, (2) DomDriver, (3) JDom Driver, (4) JDom2Driver, (5) SjsxpDriver, (6) StandardStaxDriver y (7) WstxDriver drivers en XStream en versiones anteriores a 1.4.9 permiten a atacantes remotos leer archivos arbitrarios a través de un documento XML manipulado.
  • Vulnerabilidad en XStream (CVE-2017-7957)
    Severidad: ALTA
    Fecha de publicación: 29/04/2017
    Fecha de última actualización: 23/05/2025
    XStream a través de 1.4.9, cuando no se utiliza una solución de denyTypes, mishandles intenta crear una instancia del tipo primitivo 'void' durante unmarshalling, dando lugar a un fallo de aplicación remota, como lo demuestra una llamda a xstream.fromXML (" > ").
  • Vulnerabilidad en Xstream API (CVE-2013-7285)
    Severidad: CRÍTICA
    Fecha de publicación: 15/05/2019
    Fecha de última actualización: 23/05/2025
    Xstream API versiones hasta la 1.4.6 y versión 1.4.10, Si la security framework no ha sido inicializada, estas vulnerabilidades podrían permitir que un atacante remoto ejecute comandos arbitrarios de shell mediante la manipulación de la secuencia de entrada procesada al desclasificar un XML o cualquier formato compatible. p.ej. JSON.
  • Vulnerabilidad en lista negra predeterminada del Framework de Seguridad en XStream (CVE-2021-21343)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad en el que el flujo procesado en el momento de la descompensación contiene información de tipo para recrear los objetos escritos anteriormente. XStream crea, por tanto, nuevas instancias basadas en este tipo de información. Un atacante puede manipular el flujo de entrada procesado y reemplazar o inyectar objetos, que resulta en la eliminación de un archivo en el host local. Ningún usuario está afectado, si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en lista negra predeterminada del Framework de Seguridad en XStream (CVE-2021-21344)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad que puede permitir a un atacante remoto cargar y ejecutar código arbitrario desde un host remoto solo manipulando el flujo de entrada procesado. Ningún usuario está afectado, si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en lista negra predeterminada del Framework de Seguridad en XStream (CVE-2021-21346)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad que puede permitir a un atacante remoto cargar y ejecutar código arbitrario desde un host remoto solo manipulando el flujo de entrada procesado. Ningún usuario está afectado, si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en lista negra predeterminada del Framework de Seguridad en XStream (CVE-2021-21347)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad que puede permitir a un atacante remoto cargar y ejecutar código arbitrario desde un host remoto solo manipulando el flujo de entrada procesado. Ningún usuario está afectado, si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en lista negra predeterminada del Framework de Seguridad en XStream (CVE-2021-21349)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad que puede permitir que un atacante remoto solicite datos de recursos internos que no están disponibles públicamente solo mediante la manipulación del flujo de entrada procesado. Ningún usuario está afectado, si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en lista negra predeterminada del Framework de Seguridad en XStream (CVE-2021-21350)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad que puede permitir que un atacante remoto ejecute código arbitrario solo manipulando el flujo de entrada procesado. Ningún usuario está afectado, si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en lista negra predeterminada del Framework de Seguridad en XStream (CVE-2021-21351)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad que puede permitir a un atacante remoto cargar y ejecutar código arbitrario desde un host remoto solo manipulando el flujo de entrada procesado. Ningún usuario está afectado, si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en el archivo dmarc.c en la función dmarc_dns_lookup del componente DMARC Handler en Exim (CVE-2022-3620)
    Severidad: MEDIA
    Fecha de publicación: 20/10/2022
    Fecha de última actualización: 23/05/2025
    Se ha encontrado una vulnerabilidad en Exim y se ha clasificado como problemática. Este problema afecta a la función dmarc_dns_lookup del archivo dmarc.c del componente DMARC Handler. La manipulación conlleva a un uso de memoria previamente liberada. El ataque puede ser iniciado remotamente. El nombre del parche es 12fb3842f81bcbd4a4519d5728f2d7e0e3ca1445. Es recomendado aplicar el parche para corregir este problema. El identificador asociado a esta vulnerabilidad es VDB-211919
  • Vulnerabilidad en Xstream (CVE-2022-40152)
    Severidad: MEDIA
    Fecha de publicación: 16/09/2022
    Fecha de última actualización: 23/05/2025
    Los que usan Xstream para seralizar datos XML pueden ser vulnerables a ataques de Denegación de Servicio (DOS). Si el analizador es ejecutado con la entrada suministrada por el usuario, un atacante puede suministrar contenido que cause el bloqueo del analizador por desbordamiento de pila. Este efecto puede soportar un ataque de denegación de servicio
  • Vulnerabilidad en el flujo procesado en el momento de la descompensación en XStream (CVE-2021-21342)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad en el que el flujo procesado en el momento de la descompensación contiene información de tipo para recrear los objetos escritos anteriormente. XStream crea, por tanto, nuevas instancias basadas en este tipo de información. Un atacante puede manipular el flujo de entrada procesado y reemplazar o inyectar objetos, que resulta en una petición de falsificación del lado del servidor. Ningún usuario está afectado, si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en el security framework de Xstream (CVE-2021-29505)
    Severidad: ALTA
    Fecha de publicación: 28/05/2021
    Fecha de última actualización: 23/05/2025
    XStream es un software para serializar objetos Java a XML y viceversa. Una vulnerabilidad en las versiones de XStream anteriores a la versión 1.4.17 puede permitir a un atacante remoto que tenga derechos suficientes ejecutar comandos del host sólo manipulando el flujo de entrada procesado. Ningún usuario que haya seguido la recomendación de configurar el marco de seguridad de XStream con una lista blanca limitada a los tipos mínimos necesarios está afectado. La vulnerabilidad está parcheada en la versión 1.4.17
  • Vulnerabilidad en lista negra predeterminada del Framework de Seguridad en XStream (CVE-2021-21341)
    Severidad: ALTA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad que puede permitir a un atacante remoto asignar el 100% del tiempo de CPU en el sistema de destino según el tipo de CPU o la ejecución paralela de dicha carga útil, resultando en una denegación de servicio solo mediante la manipulación del flujo de entrada procesado. Ningún usuario está afectado si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en Xstream (CVE-2021-43859)
    Severidad: ALTA
    Fecha de publicación: 01/02/2022
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca java de código abierto para serializar objetos a XML y viceversa. Las versiones anteriores a 1.4.19, pueden permitir a un atacante remoto asignar el 100% del tiempo de la CPU en el sistema de destino, dependiendo del tipo de CPU o de la ejecución en paralelo de dicha carga útil, resultando en una denegación de servicio únicamente mediante la manipulación del flujo de entrada procesado. XStream versión 1.4.19 monitoriza y acumula el tiempo que tarda en añadir elementos a las colecciones y lanza una excepción si es superado un umbral establecido. Se recomienda a usuarios que actualicen lo antes posible. Los usuarios que no puedan actualizar pueden establecer el modo NO_REFERENCE para impedir una recursión. Ver GHSA-rmr5-cpv2-vgjf para más detalles sobre una medida de mitigación adicional si una actualización no es posible
  • Vulnerabilidad en la lista de permitidos del Security Framework de XStream (CVE-2020-26217)
    Severidad: ALTA
    Fecha de publicación: 16/11/2020
    Fecha de última actualización: 23/05/2025
    XStream anterior a versión 1.4.14, es vulnerable a una ejecución de código remota. La vulnerabilidad puede permitir a un atacante remoto ejecutar comandos de shell arbitrarios solo manipulando el flujo de entrada procesado. Solo los usuarios que dependen de las listas de bloqueo están afectados. Cualquiera que utilice la lista de permitidos del Security Framework de XStream no estará afectado. El aviso vinculado proporciona soluciones de código para usuarios que no pueden actualizar. El problema se corrigió en la versión 1.4.14
  • Vulnerabilidad en la lista negra predeterminada del Security Framework en XStream (CVE-2020-26258)
    Severidad: MEDIA
    Fecha de publicación: 16/12/2020
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream versiones anteriores a 1.4.15, puede ser activada una vulnerabilidad de tipo Server-Side Forgery Request al desagrupar. La vulnerabilidad puede permitir a un atacante remoto solicitar datos de recursos internos que no están disponibles públicamente solo mediante la manipulación del flujo de entrada procesado. Si confía en la lista negra predeterminada de XStream del Security Framework, tendrá que usar al menos la versión 1.4.15. La vulnerabilidad reportada no existe si se ejecuta Java versión 15 o superior. Ningún usuario es afectado si siguió la recomendación de configurar el Security Framework de XStream con una lista blanca! Cualquiera que confíe en la lista negra predeterminada de XStream puede cambiar inmediatamente a una lista blanca para los tipos permitidos para evitar la vulnerabilidad. Usuarios de XStream 1.4 o por debajo, quienes aún quieran usar la lista negra predeterminada de XStream pueden usar una solución alternativa que se describe con más detalle en los avisos a los que se hace referencia
  • Vulnerabilidad en la lista negra predeterminada del Security Framework en XStream (CVE-2020-26259)
    Severidad: MEDIA
    Fecha de publicación: 16/12/2020
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream versiones anteriores a 1.4.15, es vulnerable a una Eliminación Arbitraria de Archivos en el host local al desagrupar. La vulnerabilidad puede permitir a un atacante remoto eliminar archivos conocidos arbitrarios en el host como registro, ya que el proceso en ejecución posee derechos suficientes solo mediante la manipulación del flujo de entrada procesado. Si confía en la lista negra predeterminada de XStream del Security Framework, tendrá que usar al menos la versión 1.4.15. La vulnerabilidad reportada no se presenta al ejecutar Java versión 15 o superior. Ningún usuario está afectado, si siguió la recomendación de configurar el Security Framework de XStream con una lista blanca! Cualquiera que confíe en la lista negra predeterminada de XStream puede cambiar inmediatamente a una lista blanca para los tipos permitidos para evitar la vulnerabilidad. Usuarios de XStream 1.4 o por debajo, quienes aún quieran usar la lista negra predeterminada de XStream pueden usar una solución alternativa que se describe con más detalle en los avisos a los que se hace referencia
  • Vulnerabilidad en Xstream (CVE-2022-40151)
    Severidad: MEDIA
    Fecha de publicación: 16/09/2022
    Fecha de última actualización: 23/05/2025
    Los que usan Xstream para seralizar datos XML pueden ser vulnerables a ataques de Denegación de Servicio (DOS). Si el analizador es ejecutado con la entrada suministrada por el usuario, un atacante puede suministrar contenido que cause el bloqueo del analizador por desbordamiento de pila. Este efecto puede soportar un ataque de denegación de servicio
  • Vulnerabilidad en Xstream (CVE-2021-39140)
    Severidad: MEDIA
    Fecha de publicación: 23/08/2021
    Fecha de última actualización: 23/05/2025
    XStream es una sencilla biblioteca para serializar objetos a XML y viceversa. En las versiones afectadas, esta vulnerabilidad puede permitir a un atacante remoto asignar el 100% del tiempo de la CPU en el sistema de destino, dependiendo del tipo de CPU o de una ejecución en paralelo de dicha carga útil, resultando en una denegación de servicio sólo al manipular el flujo de entrada procesado. No está afectado ningún usuario que haya seguido la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos necesarios. XStream versión 1.4.18 ya no usa una lista negra por defecto, ya que no puede ser asegurada para fines generales.
  • Vulnerabilidad en Xstream (CVE-2021-39141)
    Severidad: ALTA
    Fecha de publicación: 23/08/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca sencilla para serializar objetos a XML y viceversa. En las versiones afectadas, esta vulnerabilidad puede permitir que un atacante remoto cargue y ejecute código arbitrario desde un host remoto sólo al manipular el flujo de entrada procesado. No está afectado ningún usuario que haya seguido la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos necesarios. XStream versión 1.4.18 ya no usa una lista negra por defecto, ya que no puede ser asegurada para fines generales.
  • Vulnerabilidad en Xstream (CVE-2021-39139)
    Severidad: ALTA
    Fecha de publicación: 23/08/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca sencilla para serializar objetos a XML y viceversa. En las versiones afectadas, esta vulnerabilidad puede permitir a un atacante remoto cargar y ejecutar código arbitrario desde un host remoto sólo al manipular el flujo de entrada procesado. Un usuario sólo se ve afectado si esta usando la versión out of the box con JDK versión 1.7u21 o por debajo. Sin embargo, este escenario se puede ajustar fácilmente a un Xalan externo que funciona independientemente de la versión del tiempo de ejecución de Java. No está afectado ningún usuario que haya seguido la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos necesarios. XStream versión 1.4.18 ya no usa una lista negra por defecto, ya que no puede ser asegurada para fines generales.
  • Vulnerabilidad en Xstream (CVE-2021-39145)
    Severidad: ALTA
    Fecha de publicación: 23/08/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca sencilla para serializar objetos a XML y viceversa. En las versiones afectadas, esta vulnerabilidad puede permitir a un atacante remoto cargar y ejecutar código arbitrario desde un host remoto sólo al manipular el flujo de entrada procesado. No está afectado ningún usuario que haya seguido la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos necesarios. XStream versión 1.4.18 ya no usa una lista negra por defecto, ya que no puede ser asegurada para fines generales.
  • Vulnerabilidad en Xstream (CVE-2021-39147)
    Severidad: ALTA
    Fecha de publicación: 23/08/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca sencilla para serializar objetos a XML y viceversa. En las versiones afectadas, esta vulnerabilidad puede permitir a un atacante remoto cargar y ejecutar código arbitrario desde un host remoto sólo al manipular el flujo de entrada procesado. No está afectado ningún usuario que haya seguido la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos necesarios. XStream versión 1.4.18 ya no usa una lista negra por defecto, ya que no puede ser asegurada para fines generales.
  • Vulnerabilidad en Xstream (CVE-2021-39149)
    Severidad: ALTA
    Fecha de publicación: 23/08/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca sencilla para serializar objetos a XML y viceversa. En las versiones afectadas, esta vulnerabilidad puede permitir a un atacante remoto cargar y ejecutar código arbitrario desde un host remoto sólo al manipular el flujo de entrada procesado. No está afectado ningún usuario que haya seguido la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos necesarios. XStream versión 1.4.18, ya no usa una lista negra por defecto, ya que no puede ser asegurada para fines generales.
  • Vulnerabilidad en Xstream (CVE-2021-39153)
    Severidad: ALTA
    Fecha de publicación: 23/08/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca sencilla para serializar objetos a XML y viceversa. En las versiones afectadas esta vulnerabilidad puede permitir a un atacante remoto cargar y ejecutar código arbitrario desde un host remoto sólo al manipular el flujo de entrada procesado, si se usa la versión out of the box con Java runtime versión 14 hasta 8 o con JavaFX instalado. No está afectado ningún usuario que haya seguido la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos necesarios. XStream versión 1.4.18 ya no usa una lista negra por defecto, ya que no puede ser asegurada para fines generales.
  • Vulnerabilidad en lista negra predeterminada del Framework de Seguridad en XStream (CVE-2021-21345)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad que puede permitir a un atacante remoto que tenga suficientes derechos ejecutar comandos del host solo manipulando el flujo de entrada procesado. Ningún usuario está afectado, si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en lista negra predeterminada del Framework de Seguridad en XStream (CVE-2021-21348)
    Severidad: MEDIA
    Fecha de publicación: 23/03/2021
    Fecha de última actualización: 23/05/2025
    XStream es una biblioteca de Java para serializar objetos a XML y viceversa. En XStream anterior a la versión 1.4.16, se presenta una vulnerabilidad que puede permitir que un atacante remoto ocupe un hilo que consume el máximo tiempo de CPU y nunca regresará. Ningún usuario está afectado, si siguió la recomendación de configurar el framework de seguridad de XStream con una lista blanca limitada a los tipos mínimos requeridos. Si confía en la lista negra predeterminada de XStream del Framework de Seguridad, tendrá que usar al menos la versión 1.4.16
  • Vulnerabilidad en el componente Regex Handler en Exim (CVE-2022-3559)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2022
    Fecha de última actualización: 23/05/2025
    Se ha encontrado una vulnerabilidad en Exim y se ha clasificado como problemática. Este problema afecta a un procesamiento desconocido del componente Regex Handler. La manipulación conduce a la utilización después de libre. El nombre del parche es 4e9ed49f8f12eb331b29bd5b6dc3693c520fddc2. Se recomienda aplicar un parche para solucionar este problema. El identificador VDB-211073 fue asignado a esta vulnerabilidad
  • Vulnerabilidad en XStream (CVE-2022-41966)
    Severidad: ALTA
    Fecha de publicación: 28/12/2022
    Fecha de última actualización: 23/05/2025
    XStream serializa objetos Java a XML y viceversa. Las versiones anteriores a la 1.4.20 pueden permitir que un atacante remoto finalice la aplicación con un error de desbordamiento de pila, lo que resulta en una denegación de servicio únicamente mediante la manipulación del flujo de entrada procesado. El ataque utiliza la implementación del código hash para colecciones y mapas para forzar el cálculo hash recursivo provocando un desbordamiento de la pila. Este problema se solucionó en la versión 1.4.20, que maneja el desbordamiento de la pila y genera una excepción InputManipulationException. Una posible solución para los usuarios que solo usan HashMap o HashSet y cuyo XML los refiere solo como mapa o conjunto predeterminado, es cambiar la implementación predeterminada de java.util.Map y java.util según el ejemplo de código en el aviso al que se hace referencia. Sin embargo, esto implica que a su aplicación no le importa la implementación del mapa y todos los elementos son comparables.
  • Vulnerabilidad en DSGVO All in one for WP para WordPress (CVE-2024-13356)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 23/05/2025
    El complemento DSGVO All in one for WP para WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 4.6 y incluida. Esto se debe a la falta o la validación incorrecta de nonce en el archivo user_remove_form.php. Esto hace posible que atacantes no autenticados eliminen cuentas de usuario administrador a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en SKT Blocks – Gutenberg Based Page Builder para WordPress (CVE-2024-13733)
    Severidad: MEDIA
    Fecha de publicación: 04/02/2025
    Fecha de última actualización: 23/05/2025
    El complemento SKT Blocks – Gutenberg Based Page Builder para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del bloque skt-blocks/post-carousel del complemento en todas las versiones hasta la 1.7 y incluida, debido a la falta de entrada desinfección y al escape de salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitraria en las páginas que se ejecutarán siempre que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Mobile Security Framework (CVE-2025-24804)
    Severidad: MEDIA
    Fecha de publicación: 05/02/2025
    Fecha de última actualización: 23/05/2025
    Mobile Security Framework (MobSF) es un framework automatizado y todo en uno para pruebas de penetración, análisis de malware y evaluación de seguridad de aplicaciones móviles (Android/iOS/Windows). Según la documentación de Apple para los identificadores de paquete, estos deben contener solo caracteres alfanuméricos (A–Z, a–z y 0–9), guiones (-) y puntos (.). Sin embargo, un atacante puede modificar manualmente este valor en el archivo `Info.plist` y agregar caracteres especiales al valor `CFBundleIdentifier`. Cuando la aplicación analiza los caracteres incorrectos en el identificador de paquete, encuentra un error. Como resultado, no mostrará el contenido y arrojará un error 500 en su lugar. La única forma de hacer que las páginas vuelvan a funcionar es eliminar manualmente la aplicación maliciosa del sistema. Este problema se ha solucionado en la versión 4.3.1 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Mobile Security Framework (CVE-2025-24805)
    Severidad: ALTA
    Fecha de publicación: 05/02/2025
    Fecha de última actualización: 23/05/2025
    Mobile Security Framework (MobSF) es un framework automatizado y todo en uno para pruebas de penetración, análisis de malware y evaluación de seguridad de aplicaciones móviles (Android/iOS/Windows). Un usuario local con privilegios mínimos puede utilizar un token de acceso para acceder a materiales de ámbitos que no deberían aceptarse. Este problema se ha solucionado en la versión 4.3.1 y se recomienda a todos los usuarios que actualicen la versión. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Trendnet TEG-40128 Web Smart Switch v1(1.00.023) (CVE-2025-25523)
    Severidad: MEDIA
    Fecha de publicación: 11/02/2025
    Fecha de última actualización: 23/05/2025
    Vulnerabilidad de desbordamiento de búfer en Trendnet TEG-40128 Web Smart Switch v1(1.00.023) debido a la falta de verificación de longitud, que está relacionada con la operación de configuración del punto de acceso móvil. El atacante puede controlar directamente el dispositivo de destino remoto explotando con éxito esta vulnerabilidad.
  • Vulnerabilidad en Chalet-Montagne.com Tools de WordPress (CVE-2024-12586)
    Severidad: MEDIA
    Fecha de publicación: 13/02/2025
    Fecha de última actualización: 23/05/2025
    El complemento Chalet-Montagne.com Tools de WordPress hasta la versión 2.7.8 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting Reflejado que podría usarse contra usuarios con privilegios altos, como el administrador.
  • Vulnerabilidad en Northern Beaches Websites IdeaPush (CVE-2025-24607)
    Severidad: MEDIA
    Fecha de publicación: 14/02/2025
    Fecha de última actualización: 23/05/2025
    Vulnerabilidad de falta de autorización en Northern Beaches Websites IdeaPushh permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a IdeaPush: desde n/a hasta 8.71.
  • Vulnerabilidad en enituretechnology LTL Freight Quotes – Unishippers Edition (CVE-2025-22284)
    Severidad: ALTA
    Fecha de publicación: 16/02/2025
    Fecha de última actualización: 23/05/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en enituretechnology LTL Freight Quotes – Unishippers Edition permite XSS reflejado. Este problema afecta a LTL Freight Quotes – Unishippers Edition: desde n/d hasta 2.5.8.
  • Vulnerabilidad en NotFound LTL Freight Quotes – Unishippers Edition (CVE-2025-22289)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2025
    Fecha de última actualización: 23/05/2025
    La vulnerabilidad de falta de autorización en NotFound LTL Freight Quotes – Unishippers Edition permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a LTL Freight Quotes – Unishippers Edition: desde n/d hasta 2.5.8.
  • Vulnerabilidad en Themeum Qubely – Advanced Gutenberg Blocks (CVE-2025-26767)
    Severidad: MEDIA
    Fecha de publicación: 16/02/2025
    Fecha de última actualización: 23/05/2025
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Themeum Qubely – Advanced Gutenberg Blocks permite XSS almacenado. Este problema afecta a Qubely – Advanced Gutenberg Blocks: desde n/a hasta 1.8.12.
  • Vulnerabilidad en WP Activity Log para WordPress (CVE-2025-0924)
    Severidad: ALTA
    Fecha de publicación: 17/02/2025
    Fecha de última actualización: 23/05/2025
    El complemento WP Activity Log para WordPress es vulnerable a Cross Site Scripting almacenado a través del parámetro 'message' en todas las versiones hasta la 5.2.2 incluida, debido a una depuración de entrada y al escape de salida insuficiente. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en VR-Frases (collect & share quotes) WordPress (CVE-2024-13626)
    Severidad: ALTA
    Fecha de publicación: 17/02/2025
    Fecha de última actualización: 23/05/2025
    El complemento VR-Frases (collect & share quotes) WordPress hasta la versión 3.0.1 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
  • Vulnerabilidad en OWL Carousel Slider de WordPress (CVE-2024-13627)
    Severidad: MEDIA
    Fecha de publicación: 17/02/2025
    Fecha de última actualización: 23/05/2025
    El complemento OWL Carousel Slider de WordPress hasta la versión 2.2 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un Cross-Site Scripting reflejado que podría usarse contra usuarios con altos privilegios, como el administrador.
  • Vulnerabilidad en Tenda FH451 V1.0.0.9 (CVE-2025-44176)
    Severidad: MEDIA
    Fecha de publicación: 12/05/2025
    Fecha de última actualización: 23/05/2025
    Tenda FH451 V1.0.0.9 es vulnerable a la ejecución remota de código en la función formSafeEmailFilter.
  • Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-45858)
    Severidad: CRÍTICA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 23/05/2025
    Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene una vulnerabilidad de inyección de comandos a través de la función FUN_00459fdc.
  • Vulnerabilidad en OpenPubkey (CVE-2025-3757)
    Severidad: CRÍTICA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 23/05/2025
    Las versiones de la librería OpenPubkey anteriores a 0.10.0 contenían una vulnerabilidad que permitiría que un JWS especialmente manipulado eludiera la verificación de firma.
  • Vulnerabilidad en TOTOLINK A3002R v4.0.0-B20230531.1404 (CVE-2025-45863)
    Severidad: CRÍTICA
    Fecha de publicación: 13/05/2025
    Fecha de última actualización: 23/05/2025
    Se descubrió que TOTOLINK A3002R v4.0.0-B20230531.1404 contiene un desbordamiento de búfer a través del parámetro macstr en la interfaz formMapDelDevice.
  • Vulnerabilidad en Calculated Fields Form de WordPress (CVE-2024-13382)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 23/05/2025
    El complemento Calculated Fields Form de WordPress anterior a la versión 5.2.64 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados como el administrador realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en Podlove Podcast Publisher de WordPress (CVE-2024-13729)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 23/05/2025
    El complemento Podlove Podcast Publisher de WordPress anterior a la versión 4.1.24 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
  • Vulnerabilidad en Podlove Podcast Publisher de WordPress (CVE-2024-13730)
    Severidad: MEDIA
    Fecha de publicación: 15/05/2025
    Fecha de última actualización: 23/05/2025
    El complemento Podlove Podcast Publisher de WordPress anterior a la versión 4.2.1 no depura ni escapa de algunas de sus configuraciones, lo que podría permitir a usuarios con privilegios elevados, como el administrador, realizar ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).