Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Snap Creek Duplicator (CVE-2018-17207)
    Severidad: CRÍTICA
    Fecha de publicación: 19/09/2018
    Fecha de última actualización: 02/02/2026
    Se ha descubierto un problema en Snap Creek Duplicator en versiones anteriores a la 1.2.42. Al acceder a los archivos de instalación sobrantes (installer.php e installer-backup.php), un atacante puede inyectar código PHP en wp-config.php durante el paso de configuración de la base de datos, conduciendo a una ejecución de código arbitrario.
  • Vulnerabilidad en el plugin SnapCreek Duplicator en WordPress (CVE-2018-7543)
    Severidad: MEDIA
    Fecha de publicación: 26/03/2018
    Fecha de última actualización: 02/02/2026
    Vulnerabilidad de Cross-Site Scripting (XSS) en installer/build/view.step4.php del plugin SnapCreek Duplicator 1.2.32 para WordPress permite a atacantes remotos ejecutar código JavaScript o HTML arbitrario mediante el parámetro json.
  • Vulnerabilidad en el parámetro file en duplicator_download o duplicator_init en el plugin Snap Creek Duplicator para WordPress (CVE-2020-11738)
    Severidad: ALTA
    Fecha de publicación: 13/04/2020
    Fecha de última actualización: 02/02/2026
    El plugin Snap Creek Duplicator versiones anteriores a 1.3.28 para WordPress, (y Duplicator Pro versiones anteriores a 3.8.7.1), permite un Salto de Directorio por medio de ../ en el parámetro file en duplicator_download o duplicator_init.
  • Vulnerabilidad en el plugin Duplicator de WordPress (CVE-2022-2551)
    Severidad: ALTA
    Fecha de publicación: 22/08/2022
    Fecha de última actualización: 02/02/2026
    El plugin Duplicator de WordPress versiones anteriores a 1.4.7, divulga la url de la copia de seguridad a visitantes no autenticados que acceden al endpoint del instalador principal del plugin, si el script del instalador ha sido ejecutado una vez por un administrador, permitiendo la descarga de la copia de seguridad completa del sitio sin autenticarse.
  • Vulnerabilidad en el plugin Duplicator de WordPress (CVE-2022-2552)
    Severidad: MEDIA
    Fecha de publicación: 22/08/2022
    Fecha de última actualización: 02/02/2026
    El plugin Duplicator de WordPress versiones anteriores a 1.4.7.1, no autentica ni autoriza a visitantes antes de mostrar información sobre el sistema, como el software del servidor, la versión de php y la ruta completa del sistema de archivos del sitio.
  • Vulnerabilidad en Duplicator de WordPress (CVE-2018-25095)
    Severidad: CRÍTICA
    Fecha de publicación: 08/01/2024
    Fecha de última actualización: 02/02/2026
    El complemento Duplicator de WordPress anterior a 1.3.0 no escapa correctamente de los valores cuando su script de instalación reemplaza los valores en los archivos de configuración de WordPress. Si este script de instalación se deja en el sitio después de su uso, podría usarse para ejecutar código arbitrario en el servidor.
  • Vulnerabilidad en Lenovo PC Manager (CVE-2025-2501)
    Severidad: ALTA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 02/02/2026
    Se informó de una vulnerabilidad de ruta de búsqueda no confiable en Lenovo PC Manager que podría permitir que un atacante local eleve privilegios.
  • Vulnerabilidad en Lenovo PC Manager (CVE-2025-2502)
    Severidad: ALTA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 02/02/2026
    Se informó de una vulnerabilidad de permisos predeterminados incorrectos en Lenovo PC Manager que podría permitir que un atacante local eleve privilegios.
  • Vulnerabilidad en Lenovo PC Manager (CVE-2025-2503)
    Severidad: MEDIA
    Fecha de publicación: 30/05/2025
    Fecha de última actualización: 02/02/2026
    Se informó de una vulnerabilidad de manejo inadecuado de permisos en Lenovo PC Manager que podría permitir que un atacante local realice eliminaciones arbitrarias de archivos como un usuario elevado.
  • Vulnerabilidad en Brocade Fabric OS (CVE-2025-4663)
    Severidad: MEDIA
    Fecha de publicación: 08/07/2025
    Fecha de última actualización: 02/02/2026
    Una vulnerabilidad de Comprobación Incorrecta de Condiciones Inusuales o Excepcionales en Brocade Fabric OS anterior a la versión 9.2.2.a podría permitir que un atacante autenticado basado en la red provoque una Denegación de Servicio (DoS). La vulnerabilidad se detecta cuando se invoca supportave remotamente mediante el comando ssh o SANnav inline ssh, y la sesión ssh correspondiente se finaliza con Control C (^c) antes de que se complete supportave. Este problema afecta a Brocade Fabric OS 9.0.0 a 9.2.2.
  • Vulnerabilidad en plan9port de 9fans (CVE-2025-7208)
    Severidad: MEDIA
    Fecha de publicación: 09/07/2025
    Fecha de última actualización: 02/02/2026
    Se encontró una vulnerabilidad en plan9port de 9fans hasta la versión 9da5b44. Se ha clasificado como crítica. Afecta a la función edump de la biblioteca /src/plan9port/src/libsec/port/x509.c. La manipulación provoca un desbordamiento del búfer en el montón. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza el enfoque de versiones continuas para garantizar una entrega continua. Por lo tanto, no se dispone de detalles de las versiones afectadas ni de las actualizadas. El identificador del parche es b3e06559475b0130a7a2fb56ac4d131d13d2012f. Se recomienda aplicar un parche para solucionar este problema.
  • Vulnerabilidad en 9fans plan9port (CVE-2025-7209)
    Severidad: MEDIA
    Fecha de publicación: 09/07/2025
    Fecha de última actualización: 02/02/2026
    Se ha encontrado una vulnerabilidad en 9fans plan9port hasta la versión 9da5b44, clasificada como problemática. Esta vulnerabilidad afecta a la función value_decode de la librería src/libsec/port/x509.c. La manipulación provoca la desreferencia de puntero nulo. Se requiere acceso local para abordar este ataque. Se ha hecho público el exploit y puede que sea utilizado. Este producto utiliza versiones continuas para garantizar una distribución continua. Por lo tanto, no se dispone de información sobre las versiones afectadas ni sobre las actualizadas. El identificador del parche es deae8939583d83fd798fca97665e0e94656c3ee8. Se recomienda aplicar un parche para solucionar este problema.
  • Vulnerabilidad en Brocade ASCG (CVE-2025-6391)
    Severidad: ALTA
    Fecha de publicación: 17/07/2025
    Fecha de última actualización: 02/02/2026
    Brocade ASCG anterior a la versión 3.3.0 registra tokens web JSON (JWT) en archivos de registro. Un atacante con acceso a estos archivos puede extraer los tokens sin cifrar, lo que podría tener consecuencias para la seguridad, como acceso no autorizado, secuestro de sesión y divulgación de información.
  • Vulnerabilidad en Brocade ASCG (CVE-2025-7397)
    Severidad: MEDIA
    Fecha de publicación: 17/07/2025
    Fecha de última actualización: 02/02/2026
    Una vulnerabilidad en ascgshell de Brocade ASCG anterior a la versión 3.3.0 almacena cualquier comando ejecutado en la interfaz de línea de comandos (CLI) en texto plano dentro del historial de comandos. Un usuario local autenticado puede acceder a información confidencial, como contraseñas, dentro del historial de la CLI, lo que provoca accesos no autorizados y posibles filtraciones de datos.
  • Vulnerabilidad en Brocade ASCG (CVE-2025-7398)
    Severidad: ALTA
    Fecha de publicación: 17/07/2025
    Fecha de última actualización: 02/02/2026
    Brocade ASCG anterior a 3.3.0 permite el uso de algoritmos de criptografía de intensidad media en los puertos internos 9000 y 8036.