Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Rara Theme Perfect Portfolio (CVE-2024-37435)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 08/01/2026
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Rara Theme Perfect Portfolio permite Cross-Site Request Forgery . Este problema afecta a Perfect Portfolio: desde n/a hasta 1.2.0.
  • Vulnerabilidad en Rara Theme Benevolent (CVE-2024-37450)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 08/01/2026
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Rara Theme Benevolent permite Cross-Site Request Forgery . Este problema afecta a Benevolent: desde n/a hasta 1.3.4.
  • Vulnerabilidad en Rara Theme Travel Agency (CVE-2024-37451)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 08/01/2026
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Rara Theme Travel Agency permite Cross-Site Request Forgery . Este problema afecta a Travel Agency: desde n/a hasta 1.4.9.
  • Vulnerabilidad en Rara ThemeLawyerLanding Page (CVE-2024-37503)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 08/01/2026
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Rara ThemeLawyerLanding Page permite Cross-Site Request Forgery . Este problema afecta a Lawyer Landing Page: desde n/a hasta 1.2.4.
  • Vulnerabilidad en Rara Theme ConstructionLanding Page (CVE-2024-37508)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 08/01/2026
    La vulnerabilidad de Cross-Site Request Forgery (CSRF) en Rara Theme Construction Landing Page permite Cross-Site Request Forgery . Este problema afecta a Construction Landing Page: desde n/a hasta 1.3.5.
  • Vulnerabilidad en Rara Theme Rara Business (CVE-2024-37937)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 08/01/2026
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Rara Theme Rara Business permite Cross-Site Request Forgery . Este problema afecta a Rara Business: desde n/a hasta 1.2.5.
  • Vulnerabilidad en Rara Theme UltraLight (CVE-2025-23998)
    Severidad: ALTA
    Fecha de publicación: 21/01/2025
    Fecha de última actualización: 08/01/2026
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Rara Theme UltraLight permite XSS reflejado. Este problema afecta a UltraLight: desde n/a hasta 1.2.
  • Vulnerabilidad en Xylus Themes WP Event Aggregator (CVE-2025-24700)
    Severidad: ALTA
    Fecha de publicación: 14/02/2025
    Fecha de última actualización: 08/01/2026
    Vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en Xylus Themes WP Event Aggregator permite XSS reflejado. Este problema afecta a WP Event Aggregator: desde n/a hasta 1.8.2.
  • Vulnerabilidad en Xapi (CVE-2024-31144)
    Severidad: BAJA
    Fecha de publicación: 14/02/2025
    Fecha de última actualización: 08/01/2026
    Para obtener un breve resumen de la terminología de Xapi, consulte: https://xapi-project.github.io/xen-api/overview.html#object-model-overview Xapi contiene funcionalidad para realizar copias de seguridad y restaurar metadatos sobre máquinas virtuales y repositorios de almacenamiento (SR). Los metadatos en sí se almacenan en una imagen de disco virtual (VDI) dentro de un SR. Esto se utiliza para dos propósitos: una copia de seguridad general de metadatos (por ejemplo, para recuperarse de una falla del host si el archivador aún está en buen estado) y SR portátiles (por ejemplo, usar un disco duro externo para mover máquinas virtuales a otro host). Los metadatos solo se restauran como una acción explícita del administrador, pero ocurre en los casos en que el host no tiene información sobre el SR y debe ubicar el VDI de metadatos para recuperar los metadatos. El VDI de metadatos se ubica buscando (en orden alfanumérico UUID) cada VDI, montándolo y viendo si hay un archivo de metadatos adecuado presente. El primer VDI coincidente se considera el VDI de metadatos y se restaura desde él. En general, el propietario de la máquina virtual controla el contenido de las VDI y el administrador del host no debería confiar en ellas. Un invitado malintencionado puede manipular su disco para que parezca una copia de seguridad de metadatos. Un invitado no puede elegir los UUID de sus VDI, pero un invitado con un disco tiene un 50 % de posibilidades de clasificarse antes que la copia de seguridad de metadatos legítima. Un invitado con dos discos tiene un 75 % de posibilidades, etc.
  • Vulnerabilidad en frdel Agent-Zero 0.8.1.2 (CVE-2025-3547)
    Severidad: MEDIA
    Fecha de publicación: 14/04/2025
    Fecha de última actualización: 08/01/2026
    Se encontró una vulnerabilidad clasificada como crítica en frdel Agent-Zero 0.8.1.2. Esta vulnerabilidad afecta al código desconocido del archivo /get_work_dir_files. La manipulación del argumento path provoca un path traversal. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.
  • Vulnerabilidad en frdel Agent-Zero (CVE-2025-6166)
    Severidad: MEDIA
    Fecha de publicación: 17/06/2025
    Fecha de última actualización: 08/01/2026
    Se encontró una vulnerabilidad en frdel Agent-Zero hasta la versión 0.8.4. Se ha clasificado como problemática. Este problema afecta a la función image_get del archivo /python/api/image_get.py. La manipulación del argumento path provoca un path traversal. Actualizar a la versión 0.8.4.1 puede solucionar este problema. El identificador del parche es 5db74202d632306a883ccce7339c5bdba0d16c5a. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en Juju (CVE-2025-53512)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 08/01/2026
    El endpoint /log de un controlador Juju carecía de suficientes verificaciones de autorización, lo que permitía que usuarios no autorizados accedieran a mensajes de depuración que podrían contener información confidencial.
  • Vulnerabilidad en Juju (CVE-2025-53513)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 08/01/2026
    El endpoint /charms de un controlador Juju carecía de suficientes comprobaciones de autorización, lo que permitía a cualquier usuario con una cuenta en el controlador cargar un charm. Cargar un charm malicioso que explota una vulnerabilidad de Zip Slip podría permitir a un atacante acceder a una máquina que ejecuta una unidad a través del charm afectado.
  • Vulnerabilidad en Juju (CVE-2025-0928)
    Severidad: ALTA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 08/01/2026
    En versiones de Juju anteriores a la 3.6.8 y la 2.9.52, cualquier usuario autenticado del controlador podía cargar binarios arbitrarios del agente en cualquier modelo o en el propio controlador, sin verificar la pertenencia al modelo ni requerir permisos explícitos. Esto permitía la distribución de binarios envenenados a equipos nuevos o actualizados, lo que podía provocar la ejecución remota de código.
  • Vulnerabilidad en Agent-Zero v0.8.* (CVE-2025-55524)
    Severidad: ALTA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 08/01/2026
    Los permisos inseguros en Agent-Zero v0.8.* permiten a los atacantes restablecer el sistema arbitrariamente a través de vectores no especificados.
  • Vulnerabilidad en Agent-Zero v0.8.* (CVE-2025-55523)
    Severidad: BAJA
    Fecha de publicación: 21/08/2025
    Fecha de última actualización: 08/01/2026
    Un problema en el componente /api/download_work_dir_file.py de Agent-Zero v0.8.* permite a los atacantes ejecutar un directory traversal.