Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en LimeSurvey (CVE-2024-28709)
    Severidad: MEDIA
    Fecha de publicación: 07/10/2024
    Fecha de última actualización: 15/10/2024
    La vulnerabilidad de cross-site scripting en LimeSurvey anterior a 6.5.12+240611 permite a un atacante remoto ejecutar código arbitrario a través de una secuencia de comandos manipulado específicamente para los campos de título y comentarios.
  • Vulnerabilidad en LimeSurvey (CVE-2024-28710)
    Severidad: MEDIA
    Fecha de publicación: 07/10/2024
    Fecha de última actualización: 15/10/2024
    Una vulnerabilidad de cross-site scripting en LimeSurvey anterior a la versión 6.5.0+240319 permite a un atacante remoto ejecutar código arbitrario a través de una falta de validación de entrada y codificación de salida en el componente de mensaje del widget de alerta.
  • Vulnerabilidad en QA Analytics – Web Analytics Tool with Heatmaps & Session Replay Across All Pages para WordPress (CVE-2024-8513)
    Severidad: MEDIA
    Fecha de publicación: 10/10/2024
    Fecha de última actualización: 15/10/2024
    El complemento QA Analytics – Web Analytics Tool with Heatmaps & Session Replay Across All Pages para WordPress es vulnerable a la modificación no autorizada de datos debido a una verificación de capacidad faltante en la función ajax_save_plugin_config() en todas las versiones hasta la 4.1.0.0 incluida. Esto hace posible que atacantes no autenticados actualicen la configuración del complemento.
  • Vulnerabilidad en Newsletter, SMTP, Email marketing and Subscribe forms by Brevo de WordPress (CVE-2024-8477)
    Severidad: MEDIA
    Fecha de publicación: 10/10/2024
    Fecha de última actualización: 15/10/2024
    El complemento Newsletter, SMTP, Email marketing and Subscribe forms by Brevo (formely Sendinblue) de WordPress es vulnerable a Cross-Site Request Forgery en todas las versiones hasta la 3.1.87 incluida. Esto se debe a la falta o la validación incorrecta de nonce en la función Init(). Esto hace posible que atacantes no autenticados cierren sesión en una conexión de Brevo a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Checkmk (CVE-2024-6747)
    Severidad: ALTA
    Fecha de publicación: 10/10/2024
    Fecha de última actualización: 15/10/2024
    La fuga de información en mknotifyd en Checkmk anterior a 2.3.0p18, 2.2.0p36, 2.1.0p49 y en 2.0.0p39 (EOL) permite a un atacante obtener datos potencialmente confidenciales