Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en SSZipArchive (CVE-2022-36943)
    Severidad: ALTA
    Fecha de publicación: 03/01/2023
    Fecha de última actualización: 28/01/2026
    Las versiones 2.5.3 y anteriores de SSZipArchive contienen una vulnerabilidad de escritura de archivos arbitraria debido a la falta de sanitización en rutas que son enlaces simbólicos. SSZipArchive sobrescribirá archivos en el sistema de archivos al abrir un ZIP malicioso que contenga un enlace simbólico como primer elemento.
  • Vulnerabilidad en WebberZone Better Search (CVE-2024-29142)
    Severidad: ALTA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 28/01/2026
    Neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') en WebberZone Better Search: los resultados de búsqueda relevantes para WordPress permiten almacenar XSS. Este problema afecta a Better Search: resultados de búsqueda relevantes para WordPress: desde n/a hasta 3.3. 0.
  • Vulnerabilidad en HasThemes Extensions For CF7 (CVE-2024-29102)
    Severidad: ALTA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en HasThemes Extensions For CF7 permite almacenar XSS. Este problema afecta a Extensions For CF7: desde n/a hasta 3.0.6.
  • Vulnerabilidad en HasThemes HT Easy GA4 (CVE-2024-29094)
    Severidad: ALTA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en HasThemes HT Easy GA4 (Google Analytics 4) permite almacenar XSS. Este problema afecta a HT Easy GA4 (Google Analytics 4): desde n/a hasta 1.1. 7.
  • Vulnerabilidad en HasThemes WC Builder de WordPress (CVE-2024-29926)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-site Scripting') en HasThemes WC Builder permite XSS almacenado. Este problema afecta a WC Builder: desde n/a hasta 1.0.18.
  • Vulnerabilidad en HasTheme WishSuite de WordPress (CVE-2024-29927)
    Severidad: MEDIA
    Fecha de publicación: 27/03/2024
    Fecha de última actualización: 28/01/2026
    Una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web ('cross-site Scripting') en HasTheme WishSuite de WoprdPress permite XSS almacenado. Este problema afecta a WishSuite: desde n/a hasta 1.3.7.
  • Vulnerabilidad en wpweb WooCommerce Social Login (CVE-2024-37502)
    Severidad: MEDIA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 28/01/2026
    Vulnerabilidad de deserialización de datos no confiables en wpweb WooCommerce Social Login. Este problema afecta a WooCommerce Social Login: desde n/a hasta 2.6.3.
  • Vulnerabilidad en WooCommerce PDF Vouchers (CVE-2024-39652)
    Severidad: ALTA
    Fecha de publicación: 01/08/2024
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en WPWeb Elite WooCommerce PDF Vouchers permite el XSS reflejado. Este problema afecta a WooCommerce PDF Vouchers: desde n/a antes de 4.9.5.
  • Vulnerabilidad en WPWeb WooCommerce PDF Vouchers (CVE-2024-39651)
    Severidad: ALTA
    Fecha de publicación: 13/08/2024
    Fecha de última actualización: 28/01/2026
    La limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido ("Path Traversal") en WPWeb WooCommerce PDF Vouchers permite la manipulación de archivos. Este problema afecta a WooCommerce PDF Vouchers: desde n/a antes de 4.9.5.
  • Vulnerabilidad en WPWeb Docket (CVE-2024-43131)
    Severidad: ALTA
    Fecha de publicación: 13/08/2024
    Fecha de última actualización: 28/01/2026
    Vulnerabilidad de autorización incorrecta en WPWeb Docket (Colecciones de WooCommerce/Lista de deseos/Lista de seguimiento) permite acceder a funciones que no están correctamente restringidas por las ACL. Este problema afecta a Docket (Colecciones de WooCommerce/Lista de deseos/Lista de seguimiento): desde n/a antes de 1.7.0.
  • Vulnerabilidad en WPWeb Social Auto Poster (CVE-2024-47369)
    Severidad: ALTA
    Fecha de publicación: 05/10/2024
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web (XSS o 'Cross-site Scripting') en WPWeb Social Auto Poster permite XSS reflejado. Este problema afecta a Social Auto Poster: desde n/a hasta 5.3.15.
  • Vulnerabilidad en WebberZone Top 10 (CVE-2023-25993)
    Severidad: MEDIA
    Fecha de publicación: 09/12/2024
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de autorización faltante en WebberZone Top 10 permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a Top 10: desde n/a hasta 3.2.3.
  • Vulnerabilidad en JoomSky JS Job Manager (CVE-2023-28689)
    Severidad: MEDIA
    Fecha de publicación: 09/12/2024
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de autorización faltante en JoomSky JS Job Manager permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a JS Job Manager: desde n/a hasta 2.0.0.
  • Vulnerabilidad en wpweb WooCommerce PDF Vouchers (CVE-2024-54383)
    Severidad: CRÍTICA
    Fecha de publicación: 18/12/2024
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de asignación incorrecta de privilegios en wpweb WooCommerce PDF Vouchers permite la escalada de privilegios. Este problema afecta a los vales PDF de WooCommerce: desde n/a hasta 4.9.9.
  • Vulnerabilidad en WPWeb WooCommerce PDF Vouchers (CVE-2024-56265)
    Severidad: ALTA
    Fecha de publicación: 31/12/2024
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPWeb WooCommerce PDF Vouchers permite XSS reflejado. Este problema afecta a WooCommerce PDF Vouchers: desde n/a hasta 4.9.9.
  • Vulnerabilidad en AutoGPT (CVE-2025-22603)
    Severidad: ALTA
    Fecha de publicación: 10/03/2025
    Fecha de última actualización: 28/01/2026
    AutoGPT es una plataforma que permite a los usuarios crear, implementar y administrar agentes de inteligencia artificial continuos que automatizan flujos de trabajo complejos. Las versiones anteriores a autogpt-platform-beta-v0.4.2 contienen una vulnerabilidad de server-side request forgery (SSRF) dentro del componente (o bloque) `Send Web Request`. La causa principal es que la dirección IPV6 no está restringida ni filtrada, lo que permite a los atacantes realizar server side request forgery para visitar un servicio IPV6. autogpt-platform-beta-v0.4.2 soluciona el problema.
  • Vulnerabilidad en WPWebinarSystem WebinarPress (CVE-2025-31882)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de falta de autorización en WPWebinarSystem WebinarPress permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a WebinarPress desde n/d hasta la versión 1.33.27.
  • Vulnerabilidad en WPWebinarSystem WebinarPress (CVE-2025-31883)
    Severidad: MEDIA
    Fecha de publicación: 01/04/2025
    Fecha de última actualización: 28/01/2026
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPWebinarSystem WebinarPress permite XSS almacenado. Este problema afecta a WebinarPress desde n/d hasta la versión 1.33.27.
  • Vulnerabilidad en WPWebinarSystem WebinarPress (CVE-2025-32693)
    Severidad: MEDIA
    Fecha de publicación: 09/04/2025
    Fecha de última actualización: 28/01/2026
    Vulnerabilidad de redirección de URL a un sitio no confiable ('Open Redirect') en WPWebinarSystem WebinarPress permite el phishing. Este problema afecta a WebinarPress desde n/d hasta la versión 1.33.27.
  • Vulnerabilidad en WPDeveloper Essential Addons for Elementor (CVE-2025-39589)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 28/01/2026
    Exposición de información sensible del sistema a una vulnerabilidad de esfera de control no autorizada en WPDeveloper Essential Addons for Elementor permite recuperar datos confidenciales incrustados. Este problema afecta a los complementos esenciales para Elementor desde la versión n/d hasta la 6.1.9.
  • Vulnerabilidad en WPDeveloper Essential Addons for Elementor (CVE-2025-39590)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en WPDeveloper Essential Addons for Elementor permite XSS almacenado. Este problema afecta a los complementos esenciales para Elementor desde la versión n/d hasta la 6.1.9.
  • Vulnerabilidad en Easy Appointments v1.5.1 (CVE-2025-29448)
    Severidad: ALTA
    Fecha de publicación: 07/05/2025
    Fecha de última actualización: 28/01/2026
    Una vulnerabilidad de lógica empresarial en Easy Appointments v1.5.1 permite a los atacantes provocar una denegación de servicio (DoS) a través de vectores no especificados.
  • Vulnerabilidad en Mikado-Themes Foton (CVE-2025-39458)
    Severidad: ALTA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 28/01/2026
    Vulnerabilidad de control inadecuado del nombre de archivo para la declaración Include/Require en el programa PHP ('Inclusión de archivos remotos PHP') en Mikado-Themes Foton permite la inclusión de archivos locales PHP. Este problema afecta a Foton: desde n/a hasta 2.5.2.
  • Vulnerabilidad en ThemeGoods Grand Conference (CVE-2025-39354)
    Severidad: CRÍTICA
    Fecha de publicación: 19/05/2025
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de deserialización de datos no confiables en ThemeGoods Grand Conference permite la inyección de objetos. Este problema afecta a Grand Conference: desde n/a hasta 5.2.
  • Vulnerabilidad en ThemeMove Healsoul (CVE-2025-32309)
    Severidad: ALTA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 28/01/2026
    Vulnerabilidad de control inadecuado del nombre de archivo para declaraciones Include/Require en programas PHP ('Inclusión remota de archivos PHP') en ThemeMove Healsoul permite la inclusión local de archivos en PHP. Este problema afecta a Healsoul desde n/d hasta la versión 2.0.2.
  • Vulnerabilidad en ThemeGoods Grand Tour | Travel Agency WordPress (CVE-2025-39485)
    Severidad: CRÍTICA
    Fecha de publicación: 23/05/2025
    Fecha de última actualización: 28/01/2026
    La vulnerabilidad de deserialización de datos no confiables en ThemeGoods Grand Tour | Travel Agency WordPress permite la inyección de objetos. Este problema afecta a Grand Tour | Agencia de Viajes WordPress desde n/d hasta la versión 5.5.1.