Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Testimonials de WordPress (CVE-2022-3539)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2022
    Fecha de última actualización: 07/01/2026
    El complemento Testimonials WordPress anterior a 2.7 y el complemento super-testimonial-pro de WordPress anterior a 1.0.8 no sanitiza y escapan de su configuración, lo que permite a usuarios con altos privilegios, como el administrador, realizar ataques de Cross-Site Scripting incluso cuando la capacidad unfiltered_html no está permitida.
  • Vulnerabilidad en Super Testimonials para WordPress (CVE-2023-5613)
    Severidad: MEDIA
    Fecha de publicación: 20/10/2023
    Fecha de última actualización: 07/01/2026
    El complemento Super Testimonials para WordPress es vulnerable a Cross-Site Scripting (XSS) Almacenado a través del shortcode 'tpsscode' del complemento en todas las versiones hasta la 2.9 incluida debido a una sanitización de entrada y a un escape de salida en los atributos proporcionados por el usuario insuficientes. Esto hace posible que atacantes autenticados con permisos de nivel de colaborador y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en EasyPHP (CVE-2024-11215)
    Severidad: MEDIA
    Fecha de publicación: 14/11/2024
    Fecha de última actualización: 07/01/2026
    Vulnerabilidad de path traversal absoluto (restricción incorrecta de una ruta a un directorio restringido) en el servidor web EasyPHP, que afecta a la versión 14.1. Esta vulnerabilidad podría permitir a usuarios remotos eludir las restricciones de SecurityManager y recuperar cualquier archivo almacenado en el servidor estableciendo únicamente cadenas consecutivas '/...%5c'.
  • Vulnerabilidad en Super Testimonials para WordPress (CVE-2024-13704)
    Severidad: ALTA
    Fecha de publicación: 18/02/2025
    Fecha de última actualización: 07/01/2026
    El complemento Super Testimonials para WordPress es vulnerable a Cross-Site Scripting Almacenado a través del parámetro 'ST_USER_TITLE' en todas las versiones hasta 4.0.1 incluida, debido a una depuración de entrada insuficiente y al escape de salida. Esto hace posible que los atacantes no autenticados inyecten una web arbitraria scripts en páginas que se ejecutarán siempre que un usuario acceda a una página inyectada.
  • Vulnerabilidad en kernel de Linux (CVE-2025-38561)
    Severidad: MEDIA
    Fecha de publicación: 19/08/2025
    Fecha de última actualización: 07/01/2026
    En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: ksmbd: se corrige la condición de ejecución Preauh_HashValue. Si el cliente envía varias solicitudes de configuración de sesión a ksmbd, podría producirse la condición de ejecución Preauh_HashValue. No es necesario liberar sess->Preauh_HashValue durante la configuración de la sesión. Se puede liberar junto con la sesión al finalizar la conexión.