Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en GitHub (CVE-2024-5926)
    Severidad: CRÍTICA
    Fecha de publicación: 30/06/2024
    Fecha de última actualización: 10/07/2025
    Path Traversal: '\..\filename' en el repositorio de GitHub stitionai/devika antes de -.
  • Vulnerabilidad en rjrodger jsonic-next v2.12.1 (CVE-2024-38993)
    Severidad: CRÍTICA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 10/07/2025
    Se descubrió que rjrodger jsonic-next v2.12.1 contenía un prototipo de contaminación a través de la función vacía. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario o provocar una denegación de servicio (DoS) mediante la inyección de propiedades arbitrarias.
  • Vulnerabilidad en adolph_dudu ratio-swiper 0.0.2 (CVE-2024-39853)
    Severidad: MEDIA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 10/07/2025
    Se descubrió que adolph_dudu ratio-swiper 0.0.2 contiene un prototipo de contaminación a través de la función de análisis. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario o provocar una denegación de servicio (DoS) mediante la inyección de propiedades arbitrarias.
  • Vulnerabilidad en WebSocket (CVE-2024-36387)
    Severidad: MEDIA
    Fecha de publicación: 01/07/2024
    Fecha de última actualización: 10/07/2025
    Ofrecer actualizaciones del protocolo WebSocket a través de una conexión HTTP/2 podría provocar una desreferencia del puntero nulo, lo que provocaría una falla del proceso del servidor y degradaría el rendimiento.
  • Vulnerabilidad en LA-Studio LA-Studio Element Kit para Elementor (CVE-2024-37479)
    Severidad: ALTA
    Fecha de publicación: 02/07/2024
    Fecha de última actualización: 10/07/2025
    Vulnerabilidad de inclusión de archivos locales en LA-Studio LA-Studio Element Kit para Elementor a través del widget "LaStudioKit Progress Bar" en Nueva publicación, específicamente en el atributo "progress_type". Este problema afecta a LA-Studio Element Kit para Elementor: desde n/a hasta 1.3.8.1.
  • Vulnerabilidad en Exim (CVE-2024-39929)
    Severidad: MEDIA
    Fecha de publicación: 04/07/2024
    Fecha de última actualización: 10/07/2025
    Exim hasta la versión 4.97.1 analiza erróneamente un nombre de archivo de encabezado RFC 2231 multilínea y, por lo tanto, atacantes remotos pueden eludir un mecanismo de protección de bloqueo de extensión $mime_filename y potencialmente entregar archivos adjuntos ejecutables a los buzones de correo de los usuarios finales.
  • Vulnerabilidad en Wallet for WooCommerce para WordPress (CVE-2024-6353)
    Severidad: ALTA
    Fecha de publicación: 12/07/2024
    Fecha de última actualización: 10/07/2025
    El complemento Wallet for WooCommerce para WordPress es vulnerable a la inyección SQL a través del parámetro 'search[value]' en todas las versiones hasta la 1.5.4 incluida debido a un escape insuficiente en el parámetro proporcionado por el usuario y a la falta de preparación suficiente en el existente. Consulta SQL. Esto hace posible que los atacantes autenticados, con acceso a nivel de suscriptor y superior, agreguen consultas SQL adicionales a consultas ya existentes que pueden usarse para extraer información confidencial de la base de datos.
  • Vulnerabilidad en Syncope Console (CVE-2024-45031)
    Severidad: MEDIA
    Fecha de publicación: 24/10/2024
    Fecha de última actualización: 10/07/2025
    Al editar objetos en Syncope Console, se podían usar etiquetas HTML incompletas para evitar la desinfección de HTML. Esto hacía posible inyectar payloads XSS almacenados que se activaban para otros usuarios durante el uso normal de la aplicación. Los payloads XSS también se podían inyectar en Syncope Enduser al editar “Información personal” o “Solicitudes de usuario”: dichos payloads se activaban para los administradores en Syncope Console, lo que permitía el secuestro de sesiones. Se recomienda a los usuarios que actualicen a la versión 3.0.9, que soluciona este problema.
  • Vulnerabilidad en RAGFlow 0.13.0 (CVE-2024-53450)
    Severidad: ALTA
    Fecha de publicación: 09/12/2024
    Fecha de última actualización: 10/07/2025
    RAGFlow 0.13.0 sufre un control de acceso inadecuado en document-hooks.ts, lo que permite el acceso no autorizado a los documentos del usuario.
  • Vulnerabilidad en elestio memos v0.23.0 (CVE-2025-22952)
    Severidad: CRÍTICA
    Fecha de publicación: 27/02/2025
    Fecha de última actualización: 10/07/2025
    elestio memos v0.23.0 es vulnerable a Server-Side Request Forgery (SSRF) debido a una validación insuficiente de las URL proporcionadas por el usuario, lo que puede explotarse para realizar ataques SSRF.
  • Vulnerabilidad en Apryse WebViewer (CVE-2024-57240)
    Severidad: MEDIA
    Fecha de publicación: 03/03/2025
    Fecha de última actualización: 10/07/2025
    Una vulnerabilidad de cross-site scripting (XSS) en el componente Rendering Engine en Apryse WebViewer v11.1 y versiones anteriores permite a los atacantes ejecutar código arbitrario a través de un archivo PDF manipulado.