Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Howard Ehrenberg Parallax Image (CVE-2023-47854)
    Severidad: MEDIA
    Fecha de publicación: 30/11/2023
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en Howard Ehrenberg Parallax Image permite almacenar XSS. Este problema afecta a Parallax Image: desde n/a hasta 1.7.1.
  • Vulnerabilidad en The Ultimate WordPress Toolkit – WP Extended para WordPress (CVE-2024-9347)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 12/12/2025
    El complemento The Ultimate WordPress Toolkit – WP Extended para WordPress es vulnerable a ataques de Cross-Site Scripting Reflejado a través del parámetro 'wpext-export' en todas las versiones hasta la 3.0.9 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
  • Vulnerabilidad en Parallax Image para WordPress (CVE-2024-9898)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2024
    Fecha de última actualización: 12/12/2025
    El complemento Parallax Image para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del código corto dd-parallax del complemento en todas las versiones hasta la 1.8 incluida, debido a una desinfección de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Contact Form 7 – Repeatable Fields para WordPress (CVE-2024-10180)
    Severidad: MEDIA
    Fecha de publicación: 24/10/2024
    Fecha de última actualización: 12/12/2025
    El complemento Contact Form 7 – Repeatable Fields para WordPress es vulnerable a cross-site scripting almacenado a través del shortcode field_group del complemento en todas las versiones hasta la 2.0.1 incluida, debido a una desinfección de entrada insuficiente y al escape de salida en los atributos proporcionados por el usuario. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56042)
    Severidad: CRÍTICA
    Fecha de publicación: 31/12/2024
    Fecha de última actualización: 12/12/2025
    Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en VibeThemes WPLMS permite la inyección SQL. Este problema afecta a WPLMS: desde n/a antes de 1.9.9.5.3.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56046)
    Severidad: CRÍTICA
    Fecha de publicación: 31/12/2024
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en VibeThemes WPLMS permite cargar un shell web a un servidor web. Este problema afecta a WPLMS: desde n/a hasta 1.9.9.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56043)
    Severidad: CRÍTICA
    Fecha de publicación: 31/12/2024
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de asignación incorrecta de privilegios en VibeThemes WPLMS permite la escalada de privilegios. Este problema afecta a WPLMS: desde n/a hasta 1.9.9.
  • Vulnerabilidad en Liferay Portal (CVE-2025-3594)
    Severidad: ALTA
    Fecha de publicación: 16/06/2025
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de path traversal con la descarga e instalación de Xuggler en Liferay Portal 7.0.0 a 7.4.3.4, y Liferay DXP 7.4 GA, 7.3 GA a través de la actualización 34, y versiones anteriores no compatibles permite a atacantes remotos (1) agregar archivos a ubicaciones arbitrarias en el servidor y (2) descargar y ejecutar archivos arbitrarios desde el servidor de descarga a través del parámetro `_com_liferay_server_admin_web_portlet_ServerAdminPortlet_jarName`.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43762)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2025
    Fecha de última actualización: 12/12/2025
    Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q1.0 a 2025.Q1.1, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.14 y 7.4 GA hasta la actualización 92 permiten a los usuarios cargar una cantidad ilimitada de archivos a través de los formularios, los archivos se almacenan en document_library lo que permite a un atacante provocar un posible DDoS.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43761)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2025
    Fecha de última actualización: 12/12/2025
    Una vulnerabilidad de cross-site scripting (XSS) reflejado en Liferay Portal 7.4.0 a 7.4.3.131, y Liferay DXP 2024.Q4.0 a 2024.Q4.4, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.12 y 7.4 GA hasta la actualización 92 permite a un atacante remoto no autenticado inyectar JavaScript en la ruta frontend-editor-ckeditor-web/ckeditor/samples/old/ajax.html
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43770)
    Severidad: MEDIA
    Fecha de publicación: 23/08/2025
    Fecha de última actualización: 12/12/2025
    Una vulnerabilidad de cross-site scripting (XSS) reflejado en Liferay Portal 7.4.0 a 7.4.3.131, y Liferay DXP 2024.Q4.0 a 2024.Q4.3, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.12 y 7.4 GA hasta la actualización 92 permite que un atacante remoto no autenticado inyecte JavaScript en el referente o FORWARD_URL utilizando %00 en esos parámetros.
  • CVE-2025-43768
    Severidad: MEDIA
    Fecha de publicación: 23/08/2025
    Fecha de última actualización: 12/12/2025
    Liferay Portal 7.4.0 a 7.4.3.131, y Liferay DXP 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.15 y 7.4 GA hasta la actualización 92 permiten a los usuarios autenticados sin ningún permiso acceder a información confidencial de usuarios administradores mediante las API JSONWS.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43769)
    Severidad: MEDIA
    Fecha de publicación: 23/08/2025
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de cross-site scripting (XSS) almacenado en Liferay Portal 7.4.0 a 7.4.3.131, y Liferay DXP 2024.Q3.1 a 2024.Q3.8, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.12 y 7.4 GA hasta la actualización 92 permite a atacantes remotos ejecutar scripts web o HTML arbitrarios a través de la pestaña de componentes.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43767)
    Severidad: MEDIA
    Fecha de publicación: 23/08/2025
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de redirección abierta en el parámetro /c/portal/edit_info_item en Liferay Portal 7.4.3.86 a 7.4.3.131, y Liferay DXP 2024.Q3.1 a 2024.Q3.9, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.12 y 7.4 actualización 86 a 92 permite a un atacante explotar esta vulnerabilidad de seguridad para redirigir a los usuarios a un sitio malicioso.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43764)
    Severidad: MEDIA
    Fecha de publicación: 23/08/2025
    Fecha de última actualización: 12/12/2025
    Existe Self-ReDoS (denegación de servicio por expresión regular) con el campo de búsqueda de nombre de rol del portlet JavaScript de Kaleo Designer en Liferay Portal 7.4.0 a 7.4.3.131, y Liferay DXP 2024.Q4.0 a 2024.Q4.1, 2024.Q3.0 a 2024.Q3.13, 2024.Q2.1 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.20 y 7.4 GA hasta la actualización 92, lo que permite que los usuarios autenticados con permisos para actualizar los flujos de trabajo de Kaleo ingresen un patrón Regex malicioso que provoca que su navegador se cuelgue durante mucho tiempo.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43765)
    Severidad: MEDIA
    Fecha de publicación: 23/08/2025
    Fecha de última actualización: 12/12/2025
    Una vulnerabilidad de cross-site scripting almacenados en Liferay Portal 7.4.0 a 7.4.3.131, y Liferay DXP 2024.Q4.0, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.13 y 7.4 GA hasta la actualización 92 permite a un atacante remoto no autenticado inyectar JavaScript en el campo de texto de un contenido web.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43766)
    Severidad: MEDIA
    Fecha de publicación: 23/08/2025
    Fecha de última actualización: 12/12/2025
    Liferay Portal 7.4.0 a 7.3.3.131, y Liferay DXP 2024.Q4.0, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.12 y 7.4 GA hasta la actualización 92 permiten la carga de archivos sin restricciones en el componente de libros de estilo que se procesan dentro del entorno, lo que permite la ejecución de código arbitrario por parte de atacantes.