Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Checkout Field Editor para WooCommerce para WordPress (CVE-2024-8499)
    Severidad: MEDIA
    Fecha de publicación: 04/10/2024
    Fecha de última actualización: 17/02/2026
    El complemento Checkout Field Editor (Administrador de pago) para WooCommerce para WordPress es vulnerable a Cross-Site Scripting Reflejado a través de la función 'render_review_request_notice' en todas las versiones hasta la 2.0.3 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes no autenticados inyecten secuencias de comandos web arbitrarias en páginas que se ejecutan si logran engañar a un usuario para que realice una acción, como hacer clic en un enlace.
  • Vulnerabilidad en AutoGPT de Significant-Gravitas (CVE-2025-62615)
    Severidad: CRÍTICA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 17/02/2026
    AutoGPT es una plataforma que permite a los usuarios crear, desplegar y gestionar agentes de inteligencia artificial continuos que automatizan flujos de trabajo complejos. Antes de autogpt-platform-beta-v0.6.34, en RSSFeedBlock, la librería de terceros urllib.request.urlopen se utiliza directamente para acceder a la URL, pero la URL de entrada no se filtra, lo que causará una vulnerabilidad SSRF. Este problema ha sido parcheado en autogpt-platform-beta-v0.6.34.
  • Vulnerabilidad en AutoGPT de Significant-Gravitas (CVE-2025-62616)
    Severidad: CRÍTICA
    Fecha de publicación: 04/02/2026
    Fecha de última actualización: 17/02/2026
    AutoGPT es una plataforma que permite a los usuarios crear, desplegar y gestionar agentes de inteligencia artificial continuos que automatizan flujos de trabajo complejos. Antes de autogpt-platform-beta-v0.6.34, en SendDiscordFileBlock, se utiliza directamente la librería de terceros aiohttp.ClientSession().get para acceder a la URL, pero la URL de entrada no se filtra, lo que causará una vulnerabilidad SSRF. Este problema ha sido parcheado en autogpt-platform-beta-v0.6.34.
  • Vulnerabilidad en FortiClientEMS de Fortinet (CVE-2026-21643)
    Severidad: CRÍTICA
    Fecha de publicación: 06/02/2026
    Fecha de última actualización: 17/02/2026
    Una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL ('inyección SQL') en Fortinet FortiClientEMS 7.4.4 podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes HTTP específicamente diseñadas.