Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en ForU CMS (CVE-2023-5221)
    Severidad: MEDIA
    Fecha de publicación: 27/09/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad ha sido encontrada en ForU CMS y clasificada como crítica. Esto afecta a una parte desconocida del archivo /install/index.php. La manipulación del argumento db_name conduce a la inyección de código. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. Este producto no utiliza versiones. Esta es la razón por la que la información sobre las versiones afectadas y no afectadas no está disponible. El identificador asociado de esta vulnerabilidad es VDB-240363. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en ZZZCMS 2.1.7 (CVE-2023-5263)
    Severidad: MEDIA
    Fecha de publicación: 29/09/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad fue encontrada en ZZZCMS 2.1.7 y clasificada como crítica. La función restaurar del archivo /admin/save.php del componente Database Backup File Handler es afectada por esta vulnerabilidad. La manipulación conduce a problemas de permisos. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-240872.
  • Vulnerabilidad en eeroOS (CVE-2023-5324)
    Severidad: BAJA
    Fecha de publicación: 01/10/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad ha sido encontrada en eeroOS hasta 6.16.4-11 y clasificada como crítica. Esta vulnerabilidad afecta a código desconocido del componente Ethernet Interface. La manipulación conduce a la denegación del servicio. El ataque debe abordarse dentro de la red local. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-241024.
  • Vulnerabilidad en SATO CL4NX-J Plus 1.13.2-u455_r2 (CVE-2023-5326)
    Severidad: MEDIA
    Fecha de publicación: 01/10/2023
    Fecha de última actualización: 04/10/2023
    Se encontró una vulnerabilidad en SATO CL4NX-J Plus 1.13.2-u455_r2. Ha sido declarada crítica. Una función desconocida del componente WebConfig es afectada por esta vulnerabilidad. La manipulación conduce a una autenticación incorrecta. El ataque debe realizarse dentro de la red local. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-241027.
  • Vulnerabilidad en SATO CL4NX-J Plus 1.13.2-u455_r2 (CVE-2023-5327)
    Severidad: BAJA
    Fecha de publicación: 01/10/2023
    Fecha de última actualización: 04/10/2023
    Se encontró una vulnerabilidad en SATO CL4NX-J Plus 1.13.2-u455_r2. Ha sido calificada como problemática. Una función desconocida del archivo /rest/dir/ es afectada por esta vulnerabilidad. La manipulación del argumento completo conduce al path traversal. El ataque debe iniciarse dentro de la red local. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-241028.
  • Vulnerabilidad en SATO CL4NX-J Plus 1.13.2-u455_r2 (CVE-2023-5328)
    Severidad: MEDIA
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Una vulnerabilidad ha sido encontrada en SATO CL4NX-J Plus 1.13.2-u455_r2 y clasificada como crítica. Una parte desconocida del componente Cookie Handler afecta a una parte desconocida. La manipulación con la entrada auth=user,level1,settings; web=true conduce a una autenticación incorrecta. Se requiere acceso a la red local para este ataque. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-241029.
  • Vulnerabilidad en UniConsent UniConsent CMP (CVE-2023-41800)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en UniConsent UniConsent CMP para el complemento GDPR CPRA GPP TCF en versiones <= 1.4.2.
  • Vulnerabilidad en WEN Solutions Notice Bar (CVE-2023-41847)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de colaboradores o superiores) almacenada en el complemento WEN Solutions Notice Bar en versiones <= 3.1.0.
  • Vulnerabilidad en Regpacks Regpack (CVE-2023-41855)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento Regpacks Regpack en versiones <= 0.1.
  • Vulnerabilidad en Renzo Johnson Blocks (CVE-2023-44262)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento Renzo Johnson Blocks en versiones <= 1.6.41.
  • Vulnerabilidad en Riyaz Social Metrics (CVE-2023-44263)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento Riyaz Social Metrics en versiones <= 2.2.
  • Vulnerabilidad en Gopi Ramasamy Onclick (CVE-2023-44228)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento emergente Gopi Ramasamy Onclick en versiones <= 8.1.
  • Vulnerabilidad en Gopi Ramasamy Popup (CVE-2023-44230)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Coss-Site Scripting (XSS) autenticada (con permisos de admin o superiores) almacenada en el complemento de formulario de contacto Gopi Ramasamy Popup en versiones <= 7.1.
  • Vulnerabilidad en Most Popular Posts Widget para WordPress (CVE-2015-10124)
    Severidad: MEDIA
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Se encontró una vulnerabilidad en el complemento Most Popular Posts Widget hasta la versión 0.8 en WordPress. Ha sido clasificada como crítica. La función add_views/show_views del archivo functions.php es afectada por la vulnerabilidad. La manipulación conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. La actualización a la versión 0.9 puede solucionar este problema. El parche se identifica como a99667d11ac8d320006909387b100e9a8b5c12e1. Se recomienda actualizar el componente afectado. VDB-241026 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SLims (CVE-2023-3744)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de Server-Side Request Forgery en SLims versión 9.6.0. Esta vulnerabilidad podría permitir a un atacante autenticado enviar solicitudes a servicios internos o cargar el contenido de archivos relevantes a través del archivo "scrape_image.php" en el parámetro imageURL.
  • Vulnerabilidad en Ingeteam (CVE-2023-3769)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Vulnerabilidad de validación de entrada de datos incorrecta, que podría permitir a un atacante con acceso a la red implementar técnicas de fuzzing que le permitirían obtener conocimiento sobre paquetes especialmente manipulados que crearían una condición DoS a través del protocolo MMS al iniciar la comunicación, logrando un reinicio completo del sistema del dispositivo y sus servicios.
  • Vulnerabilidad en pretix (CVE-2023-44463)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Se descubrió un problema en el pretix antes de 2023.7.1. El análisis incorrecto de los archivos de configuración hace que la aplicación confíe en encabezados X-Fordered-For no verificados aunque no haya sido configurada para hacerlo. Esto puede provocar que los usuarios de la aplicación suplanten la dirección IP.
  • Vulnerabilidad en vim/vim de GitHub (CVE-2023-5344)
    Severidad: Pendiente de análisis
    Fecha de publicación: 02/10/2023
    Fecha de última actualización: 04/10/2023
    Desbordamiento de búfer basado en montón en el repositorio de GitHub vim/vim anterior a 9.0.1969.