Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56047)
    Severidad: ALTA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 12/12/2025
    Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en VibeThemes WPLMS permite la inyección SQL. Este problema afecta a WPLMS: desde n/a antes de 1.9.9.5.3.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56048)
    Severidad: ALTA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de autorización faltante en VibeThemes WPLMS permite acceder a funcionalidades que no están correctamente restringidas por las ACL. Este problema afecta a WPLMS: desde n/a hasta 1.9.9.
  • Vulnerabilidad en Recuperando datos. Espere unos segundos e intente cortar o copiar de nuevo. (CVE-2024-56049)
    Severidad: ALTA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 12/12/2025
    Path Traversal: la vulnerabilidad '.../...//' en VibeThemes WPLMS permite Path Traversal. Este problema afecta a WPLMS: desde n/a antes de 1.9.9.5.2.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56050)
    Severidad: CRÍTICA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en VibeThemes WPLMS permite cargar un shell web a un servidor web. Este problema afecta a WPLMS: desde n/a hasta 1.9.9.5.3.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56051)
    Severidad: ALTA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de control inadecuado de generación de código ('Inyección de código') en VibeThemes WPLMS permite la inyección de código. Este problema afecta a WPLMS: desde n/a antes de 1.9.9.5.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56052)
    Severidad: CRÍTICA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en VibeThemes WPLMS permite cargar un shell web a un servidor web. Este problema afecta a WPLMS: desde n/a hasta 1.9.9.5.2.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56053)
    Severidad: ALTA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 12/12/2025
    Vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('Inyección SQL') en VibeThemes WPLMS permite la inyección SQL. Este problema afecta a WPLMS: desde n/a antes de 1.9.9.5.3.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56054)
    Severidad: CRÍTICA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en VibeThemes WPLMS permite cargar un shell web a un servidor web. Este problema afecta a WPLMS: desde n/a hasta 1.9.9.5.2.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56055)
    Severidad: ALTA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 12/12/2025
    Path Traversal: la vulnerabilidad '.../...//' en VibeThemes WPLMS permite Path Traversal. Este problema afecta a WPLMS: desde n/a antes de 1.9.9.5.2.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56057)
    Severidad: CRÍTICA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de carga sin restricciones de archivos con tipos peligrosos en VibeThemes WPLMS permite cargar un shell web a un servidor web. Este problema afecta a WPLMS: desde n/a hasta 1.9.9.5.2.
  • Vulnerabilidad en Nomad Community y Nomad Enterprise (CVE-2024-12678)
    Severidad: MEDIA
    Fecha de publicación: 20/12/2024
    Fecha de última actualización: 12/12/2025
    Las asignaciones de Nomad Community y Nomad Enterprise ("Nomad") son vulnerables a la escalada de privilegios dentro de un espacio de nombres a través de tokens de identidad de carga de trabajo sin redactar. Esta vulnerabilidad, identificada como CVE-2024-12678, se solucionó en Nomad Community Edition 1.9.4 y Nomad Enterprise 1.9.4, 1.8.8 y 1.7.16.
  • Vulnerabilidad en VibeThemes WPLMS (CVE-2024-56045)
    Severidad: CRÍTICA
    Fecha de publicación: 31/12/2024
    Fecha de última actualización: 12/12/2025
    Path Traversal: la vulnerabilidad '.../...//' en VibeThemes WPLMS permite el Path Traversal. Este problema afecta a WPLMS: desde n/a antes de 1.9.9.5.
  • Vulnerabilidad en Modula Image Gallery para WordPress (CVE-2024-12853)
    Severidad: ALTA
    Fecha de publicación: 08/01/2025
    Fecha de última actualización: 12/12/2025
    El complemento Modula Image Gallery para WordPress es vulnerable a la carga de archivos arbitrarios debido a la falta de validación del tipo de archivo en la función de carga de archivos zip en todas las versiones hasta la 2.11.10 incluida. Esto hace posible que atacantes autenticados, con acceso de nivel de autor o superior, carguen archivos arbitrarios en el servidor del sitio afectado, lo que puede hacer posible la ejecución remota de código.
  • Vulnerabilidad en Modula Image Gallery para WordPress (CVE-2024-9416)
    Severidad: MEDIA
    Fecha de publicación: 03/04/2025
    Fecha de última actualización: 12/12/2025
    El complemento Modula Image Gallery para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de la librería JavaScript FancyBox incluida (versiones anteriores a la 5.0.36) debido a una depuración de entrada y al escape de salida insuficiente en los atributos proporcionados por el usuario. Esto permite a atacantes autenticados, con acceso de colaborador o superior, inyectar scripts web arbitrarios en páginas que se ejecutarán al acceder un usuario a una página inyectada.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43746)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 12/12/2025
    Una vulnerabilidad de cross-site scripting (XSS) reflejado en Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q2.0 a 2025.Q2.2, 2025.Q1.0 a 2025.Q1.10, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.0 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.18 y 7.4 GA hasta la actualización 92 permite a un atacante autenticado remoto inyectar código JavaScript a través de _com_liferay_dynamic_data_mapping_web_portlet_DDMPortlet_portletNamespace y Parámetro _com_liferay_dynamic_data_mapping_web_portlet_DDMPortlet_namespace.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43757)
    Severidad: MEDIA
    Fecha de publicación: 20/08/2025
    Fecha de última actualización: 12/12/2025
    Una vulnerabilidad de cross-site scripting (XSS) reflejado en Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q2.0 a 2025.Q2.2, 2025.Q1.0 a 2025.Q1.14, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.1 a 2024.Q3.13, 2024.Q2.1 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.18 y 7.4 GA hasta la actualización 92 permite a un atacante autenticado remoto inyectar código JavaScript a través del parámetro _com_liferay_dynamic_data_mapping_web_portlet_DDMPortlet_definition.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43755)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 12/12/2025
    Una vulnerabilidad de Cross-Site Scripting almacenado en Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2025.Q2.0, 2025.Q1.0 a 2025.Q1.13, 2024.Q4.0 a 2024.Q4.7, 2024.Q3.0 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.17 y 7.4 GA hasta la actualización 92 permite a un atacante autenticado remoto inyectar JavaScript en el parámetro _com_liferay_layout_admin_web_portlet_GroupPagesPortlet_type.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43756)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 12/12/2025
    Una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en Liferay Portal 7.4.3.132 y Liferay DXP 2025.Q1.0 a 2025.Q1.15, 2025.Q2.0 a 2025.Q2.2 y 2024.Q1.13 a 2024.Q1.19 permite que un usuario autenticado remoto inyecte código JavaScript a través del parámetro snippet.
  • Vulnerabilidad en Liferay Portal y Liferay DXP (CVE-2025-43754)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 12/12/2025
    La vulnerabilidad de enumeración de nombres de usuario en Liferay Portal 7.4.0 a 7.4.3.132, y Liferay DXP 2024.Q4.0 a 2024.Q4.7, 2024.Q3.0 a 2024.Q3.13, 2024.Q2.0 a 2024.Q2.13, 2024.Q1.1 a 2024.Q1.14 y 7.4 GA hasta la actualización 92 permite a los atacantes determinar si existe una cuenta en la aplicación inspeccionando el tiempo de procesamiento del servidor de la solicitud de inicio de sesión.
  • Vulnerabilidad en Liferay DXP (CVE-2025-43747)
    Severidad: MEDIA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 12/12/2025
    Existe una vulnerabilidad de server-side request forgery (SSRF) en Liferay DXP 2025.Q2.0 a 2025.Q2.3 debido a una validación de dominio insegura en analytics.cloud.domain.allowed, lo que permite a un atacante realizar solicitudes cambiando el dominio y omitiendo el método de validación; esta validación insegura no distingue entre subdominios confiables y dominios maliciosos.