Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en el plugin MC4WP de ibericode en WordPress (CVE-2021-36833)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2022
    Fecha de última actualización: 20/01/2026
    Una vulnerabilidad de tipo Cross-Site Scripting (XSS) almacenado y autenticado (rol de administrador o usuario superior) en el plugin MC4WP de ibericode versiones anteriores a 4.8.6 incluyéndola, en WordPress
  • Vulnerabilidad en el plugin Business Manager de WordPress (CVE-2021-39332)
    Severidad: MEDIA
    Fecha de publicación: 15/10/2021
    Fecha de última actualización: 20/01/2026
    El plugin Business Manager de WordPress es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado debido a una comprobación insuficiente y saneamiento de entradas encontradas en todo el plugin, que permite a atacantes con acceso de usuario administrativo inyectar scripts web arbitrarios, en versiones hasta la 1.4.5 incluyéndola. Esto afecta a las instalaciones multi-sitio en las que unfiltered_html está deshabilitado para los administradores, y a los sitios en los que unfiltered_html está deshabilitado
  • Vulnerabilidad en The Chatbot with ChatGPT de WordPress (CVE-2024-6845)
    Severidad: MEDIA
    Fecha de publicación: 25/09/2024
    Fecha de última actualización: 20/01/2026
    El complemento The Chatbot with ChatGPT de WordPress anterior a la versión 2.4.6 no tiene la autorización adecuada en uno de sus endpoints REST, lo que permite que usuarios no autenticados recuperen la clave codificada y luego la decodifiquen, filtrando así la clave API de OpenAI.
  • Vulnerabilidad en Koa (CVE-2025-25200)
    Severidad: CRÍTICA
    Fecha de publicación: 12/02/2025
    Fecha de última actualización: 20/01/2026
    Koa es un middleware expresivo para Node.js que utiliza funciones asincrónicas ES2017. En versiones anteriores a las 0.21.2, 1.7.1, 2.15.4 y 3.0.0-alpha.3, Koa utiliza una expresión regular maliciosa para analizar los encabezados HTTP `X-Forwarded-Proto` y `X-Forwarded-Host`. Esto se puede aprovechar para llevar a cabo un ataque de denegación de servicio. Las versiones 0.21.2, 1.7.1, 2.15.4 y 3.0.0-alpha.3 solucionan el problema.
  • Vulnerabilidad en slackero phpwcms (CVE-2025-5498)
    Severidad: MEDIA
    Fecha de publicación: 03/06/2025
    Fecha de última actualización: 20/01/2026
    Se encontró una vulnerabilidad en slackero phpwcms hasta la versión 1.9.45/1.10.8. Se ha clasificado como crítica. Este problema afecta a la función file_get_contents/is_file del archivo include/inc_lib/content/cnt21.readform.inc.php del componente Custom Source Tab. La manipulación del argumento cpage_custom provoca la deserialización. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Actualizar a las versiones 1.9.46 y 1.10.9 puede solucionar este problema. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en slackero phpwcms (CVE-2025-5499)
    Severidad: MEDIA
    Fecha de publicación: 03/06/2025
    Fecha de última actualización: 20/01/2026
    Se ha detectado una vulnerabilidad crítica en slackero phpwcms hasta la versión 1.9.45/1.10.8. La función is_file/getimagesize del archivo image_resized.php se ve afectada. La manipulación del argumento imgfile provoca la deserialización. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. Actualizar a las versiones 1.9.46 y 1.10.9 puede solucionar este problema. Se recomienda actualizar el componente afectado.
  • Vulnerabilidad en HP Universal Print Driver (CVE-2025-43025)
    Severidad: MEDIA
    Fecha de publicación: 02/07/2025
    Fecha de última actualización: 20/01/2026
    HP Universal Print Driver es potencialmente vulnerable a la denegación de servicio debido al desbordamiento del búfer en versiones de UPD 7.4 o anteriores (por ejemplo, v7.3.x, v7.2.x, v7.1.x, etc.).
  • Vulnerabilidad en Galaxy Watch (CVE-2025-20997)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 20/01/2026
    El permiso predeterminado incorrecto en Framework para Galaxy Watch anterior a SMR Jul-2025 Release 1 permite que atacantes locales restablezcan alguna configuración de Galaxy Watch.
  • Vulnerabilidad en Galaxy Watch (CVE-2025-20998)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 20/01/2026
    El control de acceso inadecuado en SamsungAccount para Galaxy Watch anterior a SMR Jul-2025 Release 1 permite que atacantes locales accedan al número de teléfono.
  • Vulnerabilidad en Galaxy Watch (CVE-2025-21004)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 20/01/2026
    La verificación incorrecta de la intención por parte del receptor de transmisión en la interfaz de usuario del sistema para Galaxy Watch anterior a la versión 1 de SMR de julio de 2025 permite que atacantes locales apaguen el dispositivo.
  • Vulnerabilidad en HP Support Assistant (CVE-2025-43019)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 20/01/2026
    Se ha identificado una posible vulnerabilidad de seguridad en HP Support Assistant, que permite a un atacante local aumentar los privilegios mediante la eliminación arbitraria de un archivo.
  • Vulnerabilidad en JetBrains Junie (CVE-2025-59458)
    Severidad: ALTA
    Fecha de publicación: 17/09/2025
    Fecha de última actualización: 20/01/2026
    En JetBrains Junie antes de 252.284.66, 251.284.66, 243.284.66, 252.284.61, 251.284.61, 243.284.61, 252.284.50, 252.284.54, 251.284.54, 251.284.50, 243.284.54, 243.284.50 la ejecución de código fue posible debido a una validación de comandos indebida.