Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en node-tar (CVE-2018-20834)
    Severidad: ALTA
    Fecha de publicación: 30/04/2019
    Fecha de última actualización: 04/02/2026
    Se detecto una vulnerabilidad en node-tar en versiones anteriores a la 4.4.2 (excluyendo la versión 2.2.2). Existe un problema de sobrescritura arbitraria de archivos cuando se extrae un tarball que contiene un enlace físico a un archivo que ya existe en el sistema, junto con un archivo plano posterior con el mismo nombre que el enlace físico. Este contenido de archivo simple reemplaza el contenido de archivo existente. Se ha aplicado un parche a node-tar v2.2.2).
  • Vulnerabilidad en el plugin Elegant Themes Bloom para WordPress (CVE-2016-11003)
    Severidad: ALTA
    Fecha de publicación: 20/09/2019
    Fecha de última actualización: 04/02/2026
    El plugin Elegant Themes Bloom versiones anteriores a 1.1.1 para WordPress, presenta una escalada de privilegios.
  • Vulnerabilidad en la comprobación de extensiones de archivo en el plugin Divi Builder, Divi theme y Divi Extra theme para WordPress (CVE-2020-35945)
    Severidad: CRÍTICA
    Fecha de publicación: 01/01/2021
    Fecha de última actualización: 04/02/2026
    Se detectó un problema en el plugin Divi Builder, Divi theme y Divi Extra theme versiones anteriores a 4.5.3 para WordPress. Los atacantes autenticados, con capacidades de nivel de colaborador o superiores, pueden cargar archivos arbitrarios, incluyendo archivos .php. Esto ocurre porque la comprobación de extensiones de archivo está en el lado del cliente.
  • Vulnerabilidad en el parámetro name en el archivo ~/inc/overrides/lite/rest/Folder.php en el plugin de WordPress Real Media Library (CVE-2021-34668)
    Severidad: MEDIA
    Fecha de publicación: 30/08/2021
    Fecha de última actualización: 04/02/2026
    El plugin Real Media Library de WordPress, es vulnerable a un ataque de tipo Cross-Site Scripting Almacenado por medio del parámetro name en el archivo ~/inc/overrides/lite/rest/Folder.php que permite a atacantes a nivel de autor inyectar scripts web arbitrario en los nombres de las carpetas, en versiones hasta 4.14.1 incluyéndola.
  • Vulnerabilidad en Defense Platform Home Edition (CVE-2025-22890)
    Severidad: ALTA
    Fecha de publicación: 06/02/2025
    Fecha de última actualización: 04/02/2026
    Existe un problema de ejecución con privilegios innecesarios en Defense Platform Home Edition Ver.3.9.51.x y versiones anteriores. Si un atacante realiza una operación específica, puede obtener el privilegio SYSTEM del sistema Windows en el que se ejecuta el producto.
  • Vulnerabilidad en Defense Platform Home Edition (CVE-2025-20094)
    Severidad: ALTA
    Fecha de publicación: 06/02/2025
    Fecha de última actualización: 04/02/2026
    Existe un problema de canal de mensajería de Windows desprotegido ("Shatter") en Defense Platform Home Edition Ver.3.9.51.x y versiones anteriores. Si un atacante envía un mensaje especialmente manipulado al proceso específico del sistema Windows donde se ejecuta el producto, se puede ejecutar código arbitrario con privilegio SYSTEM.
  • Vulnerabilidad en Defense Platform Home Edition (CVE-2025-22894)
    Severidad: ALTA
    Fecha de publicación: 06/02/2025
    Fecha de última actualización: 04/02/2026
    Existe un problema de canal de mensajería de Windows desprotegido ("Shatter") en Defense Platform Home Edition Ver.3.9.51.x y versiones anteriores. Si un atacante envía un mensaje especialmente manipulado al proceso específico del sistema Windows donde se ejecuta el producto, se pueden alterar archivos arbitrarios del sistema. Como resultado, se puede ejecutar una DLL arbitraria con privilegio SYSTEM.
  • Vulnerabilidad en Defense Platform Home Edition (CVE-2025-23236)
    Severidad: ALTA
    Fecha de publicación: 06/02/2025
    Fecha de última actualización: 04/02/2026
    Existe una vulnerabilidad de desbordamiento de búfer en Defense Platform Home Edition Ver.3.9.51.x y versiones anteriores. Si un atacante realiza una operación específica, puede obtener el privilegio SYSTEM del sistema Windows en el que se ejecuta el producto.
  • Vulnerabilidad en Salesforce Mulesoft Anypoint Code Builder (CVE-2025-64318)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2025
    Fecha de última actualización: 04/02/2026
    La vulnerabilidad de neutralización inadecuada de la entrada utilizada para el prompting de LLM en Salesforce Mulesoft Anypoint Code Builder permite manipular archivos de configuración escribibles. Este problema afecta a Mulesoft Anypoint Code Builder: antes de la versión 1.11.6.
  • Vulnerabilidad en Salesforce Mulesoft Anypoint Code Builder (CVE-2025-64319)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2025
    Fecha de última actualización: 04/02/2026
    Vulnerabilidad de Asignación Incorrecta de Permisos para Recurso Crítico en Salesforce Mulesoft Anypoint Code Builder permite manipular archivos de configuración escribibles. Este problema afecta a Mulesoft Anypoint Code Builder: antes de la 1.11.6.
  • Vulnerabilidad en Salesforce Agentforce Vibes Extension (CVE-2025-64320)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2025
    Fecha de última actualización: 04/02/2026
    Vulnerabilidad de neutralización incorrecta de la entrada utilizada para la creación de prompts de LLM en la Extensión Salesforce Agentforce Vibes permite la inyección de código. Este problema afecta a la Extensión Agentforce Vibes: anteriores a la 3.2.0.
  • Vulnerabilidad en Salesforce Agentforce Vibes Extension (CVE-2025-64321)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2025
    Fecha de última actualización: 04/02/2026
    La vulnerabilidad de neutralización incorrecta de la entrada utilizada para el prompting de LLM en la Extensión Salesforce Agentforce Vibes permite manipular archivos de configuración escribibles. Este problema afecta a la Extensión Agentforce Vibes: antes de la 3.2.0.
  • Vulnerabilidad en Salesforce Agentforce Vibes Extension (CVE-2025-64322)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2025
    Fecha de última actualización: 04/02/2026
    La vulnerabilidad de Asignación Incorrecta de Permisos para Recurso Crítico en la Extensión Agentforce Vibes de Salesforce permite manipular archivos de configuración escribibles. Este problema afecta a la Extensión Agentforce Vibes: anterior a 3.2.0.
  • Vulnerabilidad en FreePBX Endpoint Manager (CVE-2025-64328)
    Severidad: ALTA
    Fecha de publicación: 07/11/2025
    Fecha de última actualización: 04/02/2026
    FreePBX Endpoint Manager es un módulo para gestionar puntos finales de telefonía en sistemas FreePBX. En las versiones 17.0.2.36 y superiores anteriores a la 17.0.3, el módulo filestore dentro de la interfaz Administrativa es vulnerable a una inyección de comandos post-autenticación por un usuario conocido autenticado a través de la función testconnection -> check_ssh_connect(). Un atacante puede aprovechar esta vulnerabilidad para obtener acceso remoto al sistema como usuario asterisk. Este problema está solucionado en la versión 17.0.3.