Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Perch Content Management System (CVE-2017-15948)
    Severidad: MEDIA
    Fecha de publicación: 28/10/2017
    Fecha de última actualización: 16/01/2026
    Perch Content Management System 3.0.3 permite que se suban archivos sin restricción (con un XSS resultante) mediante el campo Asset Title junto con el campo Select File. Esto es explotable con una cuenta Limited Admin.
  • Vulnerabilidad en los parámetros GET order y orderby en el plugin StopBadBots de WordPress (CVE-2021-24727)
    Severidad: ALTA
    Fecha de publicación: 13/09/2021
    Fecha de última actualización: 16/01/2026
    El plugin StopBadBots de WordPress versiones anteriores a 6.60, no comprueba ni escapa de los parámetros GET order y orderby en algunas de sus páginas del panel de control de administración, conllevando a Inyecciones SQL Autenticadas
  • Vulnerabilidad en el User Agent en el plugin WP Block and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection Plugin StopBadBots de WordPress (CVE-2021-24863)
    Severidad: CRÍTICA
    Fecha de publicación: 13/12/2021
    Fecha de última actualización: 16/01/2026
    El plugin WP Block and Stop Bad Bots Crawlers and Spiders and Anti Spam Protection Plugin StopBadBots de WordPress versiones anteriores a 6.67, no sanea y escapa el User Agent antes de usarlo en una sentencia SQL para guardarlo, conllevando a una inyección SQL
  • Vulnerabilidad en Juniper Networks Paragon Active Assurance Control Center (CVE-2024-30381)
    Severidad: ALTA
    Fecha de publicación: 12/04/2024
    Fecha de última actualización: 16/01/2026
    Una vulnerabilidad de exposición de información confidencial a un actor no autorizado en Juniper Networks Paragon Active Assurance Control Center permite a un atacante adyacente a la red con acceso raíz a un dispositivo Test Agent la capacidad de acceder a información confidencial sobre dispositivos descendentes. El daemon "netrounds-probe-login" (también llamado probe_serviced) expone funciones en las que el dispositivo Test Agent (TA) presiona el estado/configuración de la interfaz, se da de baja, etc. El servicio remoto expone accidentalmente un objeto de base de datos interna que se puede usar para acceso directo. acceso a la base de datos en Paragon Active Assurance Control Center. Este problema afecta a Paragon Active Assurance: 4.1.0, 4.2.0.
  • Vulnerabilidad en SAN Host Utilitie (CVE-2025-26513)
    Severidad: ALTA
    Fecha de publicación: 07/08/2025
    Fecha de última actualización: 16/01/2026
    El instalador de SAN Host Utilities para versiones de Windows anteriores a la 8.0 es susceptible a una vulnerabilidad que, si se explota con éxito, podría permitir a un usuario local aumentar sus privilegios.
  • Vulnerabilidad en Injection Guard para WordPress (CVE-2025-8046)
    Severidad: MEDIA
    Fecha de publicación: 14/08/2025
    Fecha de última actualización: 16/01/2026
    El complemento Injection Guard para WordPress anterior a la versión 1.2.8 no escapa al parámetro $_SERVER['REQUEST_URI'] antes de mostrarlo nuevamente en un atributo, lo que podría generar Cross-Site Scripting reflejado en navegadores web antiguos.
  • Vulnerabilidad en WP Talroo para WordPress (CVE-2025-8281)
    Severidad: ALTA
    Fecha de publicación: 22/08/2025
    Fecha de última actualización: 16/01/2026
    El complemento WP Talroo para WordPress hasta la versión 2.4 no depura ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un error de Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios altos, como administradores y usuarios no autenticados.
  • Vulnerabilidad en CloudBoost Virtual Appliance (CVE-2025-46603)
    Severidad: ALTA
    Fecha de publicación: 05/12/2025
    Fecha de última actualización: 16/01/2026
    Dell CloudBoost Virtual Appliance, versiones 19.13.0.0 y anteriores, contiene una vulnerabilidad de Restricción Inadecuada de Intentos Excesivos de Autenticación. Un atacante no autenticado con acceso remoto podría potencialmente explotar esta vulnerabilidad, lo que llevaría a un acceso no autorizado.