Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en XWP Stream (CVE-2022-43450)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en XWP Stream. Este problema afecta a Stream: desde n/a hasta 3.9.2.
  • Vulnerabilidad en WooCommerce Woo Subscriptions (CVE-2023-35914)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en WooCommerce Woo Subscriptions. Este problema afecta a Woo Subscriptions: desde n/a hasta 5.1.2.
  • Vulnerabilidad en Automattic WooPayments – Fully Integrated Solution Built and Supported by Woo (CVE-2023-35915)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 29/12/2023
    La neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando SQL ('inyección SQL') en Automattic WooPayments – Fully Integrated Solution Built and Supported by Woo. Este problema afecta a WooPayments – Fully Integrated Solution Built and Supported by Woo: desde n/a hasta 5.9 .0.
  • Vulnerabilidad en Automattic WooPayments – Fully Integrated Solution Built and Supported by Woo (CVE-2023-35916)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de omisión de autorización a través de clave controlada por el usuario en Automattic WooPayments – Fully Integrated Solution Built and Supported by Woo. Este problema afecta a WooPayments – Fully Integrated Solution Built and Supported by Woo: desde n/a hasta 5.9.0.
  • Vulnerabilidad en Phpbits Creative Studio Genesis Simple Love (CVE-2023-49772)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de deserialización de datos no confiables en Phpbits Creative Studio Genesis Simple Love. Este problema afecta a Genesis Simple Love: desde n/a hasta 2.0.
  • Vulnerabilidad en Glen Don L. Mongaya Drag and Drop Multiple File Upload for WooCommerce (CVE-2022-45377)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de carga de archivos con tipo peligroso sin restricciones en Glen Don L. Mongaya Drag and Drop Multiple File Upload for WooCommerce. Este problema afecta a Drag and Drop Multiple File Upload for WooCommerce: desde n/a hasta 1.0.8.
  • Vulnerabilidad en xtemos WoodMart - Multipurpose WooCommerce Theme (CVE-2023-32242)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de deserialización de datos no confiables en xtemos WoodMart - Multipurpose WooCommerce Theme. Este problema afecta a WoodMart - Multipurpose WooCommerce Theme: desde n/a hasta 1.0.36.
  • Vulnerabilidad en AppMySite AppMySite – Create an app with the Best Mobile App Builder (CVE-2023-49762)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de exposición de información confidencial a un actor no autorizado en AppMySite AppMySite – Create an app with the Best Mobile App Builder. Este problema afecta a AppMySite – Create an app with the Best Mobile App Builder: desde n/a hasta 3.11.0.
  • Vulnerabilidad en Hakan Demiray Sayfa Sayac (CVE-2023-49778)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de deserialización de datos no confiables en Hakan Demiray Sayfa Sayac. Este problema afecta a Sayfa Sayac: desde n/a hasta 2.6.
  • Vulnerabilidad en PenciDesign Soledad – Multipurpose, Newspaper, Blog & WooCommerce WordPress Theme (CVE-2023-49826)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de deserialización de datos no confiables en PenciDesign Soledad – Multipurpose, Newspaper, Blog & WooCommerce WordPress Theme. Este problema afecta a Soledad – Multipurpose, Newspaper, Blog & WooCommerce WordPress Theme: desde n/a hasta 8.4.1.
  • Vulnerabilidad en Winwar Media WordPress Email Marketing Plugin – WP Email Capture (CVE-2023-28421)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Exposición de información confidencial a una vulnerabilidad de actor no autorizado en Winwar Media WordPress Email Marketing Plugin – WP Email Capture. Este problema afecta a WordPress Email Marketing Plugin – WP Email Capture: desde n/a hasta 3.10.
  • Vulnerabilidad en Smackcoders Export All Posts, Products, Orders, Refunds & Users (CVE-2023-2487)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Exposición de información confidencial a una vulnerabilidad de actor no autorizado en Smackcoders Export All Posts, Products, Orders, Refunds & Users. Este problema afecta a Export All Posts, Products, Orders, Refunds & Users: desde n/a hasta 2.4.1.
  • Vulnerabilidad en HM Plugin WordPress Job Board and Recruitment Plugin – JobWP (CVE-2023-48288)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de exposición de información confidencial a un actor no autorizado en HM Plugin WordPress Job Board and Recruitment Plugin – JobWP. Este problema afecta a WordPress Job Board and Recruitment Plugin – JobWP: desde n/a hasta 2.1.
  • Vulnerabilidad en BigCommerce BigCommerce For WordPress (CVE-2023-49162)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de exposición de información confidencial a un actor no autorizado en BigCommerce BigCommerce para WordPress. Este problema afecta a BigCommerce para WordPress: desde n/a hasta 5.0.6.
  • Vulnerabilidad en Hal Gatewood Dashicons + Custom Post Types (CVE-2023-22674)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Missing Authorization, vulnerabilidad de Cross-Site Request Forgery (CSRF) en Hal Gatewood Dashicons + Custom Post Types. Este problema afecta a Dashicons + Custom Post Types: desde n/a hasta 1.0.2.
  • Vulnerabilidad en A WP Life Event Monster – Event Management, Tickets Booking, Upcoming Event (CVE-2023-47525)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    La neutralización incorrecta de la entrada durante la vulnerabilidad de generación de páginas web ('cross-site Scripting') en A WP Life Event Monster – Event Management, Tickets Booking, Upcoming Event permite XSS almacenado. Este problema afecta a Event Monster – Event Management, Tickets Booking, Upcoming Event : desde n/a hasta 1.3.2.
  • Vulnerabilidad en Sajjad Hossain Sagor WP Edit Username (CVE-2023-47527)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Sajjad Hossain Sagor WP Edit Username permite XSS almacenado. Este problema afecta a WP Edit Username: desde n/a hasta 1.0.5.
  • Vulnerabilidad en Wipeout Media CSS & JavaScript Toolbox (CVE-2023-50823)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('cross-site Scripting') en Wipeout Media CSS & JavaScript Toolbox permite XSS almacenado. Este problema afecta a CSS & JavaScript Toolbox: desde n/a hasta 11.7.
  • Vulnerabilidad en Brian Batt Insert or Embed Articulate Content into WordPress (CVE-2023-50824)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('cross-site Scripting') en Brian Batt Insert or Embed Articulate Content into WordPress permite XSS almacenado. Este problema afecta a Insert or Embed Articulate Content into WordPress: desde n/a hasta 4.3000000021.
  • Vulnerabilidad en David Vongries Ultimate Dashboard – Custom WordPress Dashboard (CVE-2023-50828)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('cross-site Scripting') en David Vongries Ultimate Dashboard – Custom WordPress Dashboard permite XSS almacenado. Este problema afecta a Ultimate Dashboard – Custom WordPress Dashboard: desde n/a hasta 3.7.11.
  • Vulnerabilidad en automad (CVE-2023-7035)
    Severidad: BAJA
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Una vulnerabilidad fue encontrada en automad hasta 1.10.9 y clasificada como problemática. Una función desconocida del archivo packages\standard\templates\post.php del componente Configuration Handler es afectada por esta vulnerabilidad. La manipulación del argumento sitename conduce a cross site scripting. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-248684. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna forma.
  • Vulnerabilidad en S-CMS v5.0 (CVE-2023-51051)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Se descubrió que S-CMS v5.0 contenía una vulnerabilidad de inyección SQL a través del parámetro A_textauth en /admin/ajax.php.
  • Vulnerabilidad en S-CMS v5.0 (CVE-2023-51052)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Se descubrió que S-CMS v5.0 contenía una vulnerabilidad de inyección SQL a través del parámetro A_formauth en /admin/ajax.php.
  • Vulnerabilidad en Automad (CVE-2023-7036)
    Severidad: MEDIA
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Se encontró una vulnerabilidad en automad hasta 1.10.9. Ha sido clasificada como problemática. Esto afecta la función de carga del archivo FileCollectionController.php del componente Content Type Handler. La manipulación conduce a una carga sin restricciones. Es posible iniciar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-248685. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna forma.
  • Vulnerabilidad en Automad (CVE-2023-7037)
    Severidad: MEDIA
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Se encontró una vulnerabilidad en automad hasta 1.10.9. Ha sido declarada crítica. Esta vulnerabilidad afecta la función de importación del archivo FileController.php. La manipulación del argumento importUrl conduce a server-side request forgery. El ataque se puede iniciar de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-248686 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna forma.
  • Vulnerabilidad en Aerin Loan Repayment Calculator and Application Form (CVE-2023-50829)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Aerin Loan Repayment Calculator and Application Form permite XSS almacenado. Este problema afecta a Loan Repayment Calculator and Application Form: desde n/a hasta 2.9.3.
  • Vulnerabilidad en Seosbg Seos Contact Form (CVE-2023-50830)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en Seosbg Seos Contact Form permite XSS almacenado. Este problema afecta a Seos Contact Form: desde n/a hasta 1.8.0.
  • Vulnerabilidad en VillaTheme CURCY – Multi Currency for WooCommerce (CVE-2023-50831)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-site Scripting') en VillaTheme CURCY – Multi Currency for WooCommerce permite XSS almacenado. Este problema afecta a CURCY – Multi Currency for WooCommerce: desde n/a hasta 2.2.0.
  • Vulnerabilidad en ExtendThemes Colibri Page Builder (CVE-2023-50833)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de neutralización incorrecta de la entrada durante la generación de páginas web ('Cross-Site Scripting') en ExtendThemes Colibri Page Builder permite XSS almacenado. Este problema afecta a Colibri Page Builder: desde n/a hasta 1.0.239.
  • Vulnerabilidad en Automad (CVE-2023-7038)
    Severidad: MEDIA
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Se encontró una vulnerabilidad en automad hasta 1.10.9. Ha sido calificada como problemática. Este problema afecta a un procesamiento desconocido del archivo /dashboard?controller=UserCollection::createUser del componente User Creation Handler. La manipulación conduce a cross-site request forgery. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-248687. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna forma.
  • Vulnerabilidad en Online Matrimonial Project v1.0 (CVE-2023-46791)
    Severidad: Pendiente de análisis
    Fecha de publicación: 21/12/2023
    Fecha de última actualización: 29/12/2023
    Online Matrimonial Project v1.0 es vulnerable a múltiples vulnerabilidades de inyección SQL no autenticada. El atributo 'filename' del parámetro multiparte 'pic3' del recurso functions.php no valida los caracteres recibidos y se envían sin filtrar a la base de datos.
  • Vulnerabilidad en Cacti v1.2.25 (CVE-2023-50569)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 29/12/2023
    Vulnerabilidad de Cross Site Scripting (XSS) reflejado en Cacti v1.2.25, permite a atacantes remotos escalar privilegios al cargar un archivo de plantilla xml a través de templates_import.php.
  • Vulnerabilidad en Point of Sales and Inventory Management System 1.0 (CVE-2023-7075)
    Severidad: MEDIA
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 29/12/2023
    Se encontró una vulnerabilidad en los proyectos de código Point of Sales and Inventory Management System 1.0 y se clasificó como problemática. Una función desconocida del archivo /main/checkout.php es afectada por esta vulnerabilidad. La manipulación del argumento pt conduce a cross site scripting. El ataque puede lanzarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. VDB-248846 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en IBM AIX (CVE-2023-45165)
    Severidad: Pendiente de análisis
    Fecha de publicación: 22/12/2023
    Fecha de última actualización: 29/12/2023
    IBM AIX 7.2 y 7.3 podrían permitir que un usuario local sin privilegios aproveche una vulnerabilidad en el cliente SMB de AIX para provocar una denegación de servicio. ID de IBM X-Force: 267963.
  • Vulnerabilidad en Backup Migration plugin for WordPress (CVE-2023-6971)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/12/2023
    Fecha de última actualización: 29/12/2023
    Backup Migration plugin for WordPress es vulnerable a la inclusión remota de archivos en las versiones 1.0.8 a 1.3.9 a través del encabezado HTTP 'content-dir'. Esto hace posible que atacantes no autenticados incluyan archivos remotos en el servidor, lo que resulta en la ejecución de código. NOTA: La explotación exitosa de esta vulnerabilidad requiere que el php.ini del servidor de destino esté configurado con 'allow_url_include' establecido en 'on'. Esta característica está obsoleta a partir de PHP 7.4 y está deshabilitada de forma predeterminada, pero aún se puede habilitar explícitamente en versiones posteriores de PHP.
  • Vulnerabilidad en Backup Migration plugin for WordPress (CVE-2023-6972)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/12/2023
    Fecha de última actualización: 29/12/2023
    Backup Migration plugin for WordPress es vulnerable a Path Traversal en todas las versiones hasta la 1.3.9 inclusive a través de 'content-backups' y 'content-name', 'content-manifest' o 'content-bmitmp' y Encabezados HTTP 'identidad de contenido'. Esto hace posible que atacantes no autenticados eliminen archivos arbitrarios, incluido el archivo wp-config.php, lo que puede hacer posible la toma de control del sitio y la ejecución remota de código.
  • Vulnerabilidad en Backup Migration plugin for WordPress (CVE-2023-7002)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/12/2023
    Fecha de última actualización: 29/12/2023
    Backup Migration plugin for WordPress es vulnerable a la inyección de comandos del sistema operativo en todas las versiones hasta la 1.3.9 inclusive a través del parámetro 'url'. Esta vulnerabilidad permite a atacantes autenticados, con permisos de nivel de administrador y superiores, ejecutar comandos arbitrarios en el sistema operativo host.
  • Vulnerabilidad en Widget Settings Importer/Exporter Plugin for WordPress (CVE-2020-36769)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/12/2023
    Fecha de última actualización: 29/12/2023
    Widget Settings Importer/Exporter Plugin for WordPress es vulnerable a Cross-Site Scripting almacenado a través de la acción AJAX wp_ajax_import_widget_dataparameter en versiones hasta la 1.5.3 inclusive debido a una sanitización de entrada y un escape de salida insuficientes. Esto hace posible que atacantes autenticados con permisos de nivel de suscriptor y superiores inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en Divi theme for WordPress (CVE-2023-6744)
    Severidad: Pendiente de análisis
    Fecha de publicación: 23/12/2023
    Fecha de última actualización: 29/12/2023
    Divi theme for WordPress es vulnerable a Cross-Site Scripting almacenado a través del código corto 'et_pb_text' del complemento en todas las versiones hasta la 4.23.1 inclusive debido a una sanitización de entrada insuficiente y a un escape de salida en los datos de campo personalizados proporcionados por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en PHPGurukul Nipah Virus Testing Management System 1.0 (CVE-2023-7099)
    Severidad: MEDIA
    Fecha de publicación: 25/12/2023
    Fecha de última actualización: 29/12/2023
    Una vulnerabilidad fue encontrada en PHPGurukul Nipah Virus Testing Management System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo bwdates-report-result.php. La manipulación del argumento fromdate conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-248951.
  • Vulnerabilidad en PHPGurukul Restaurant Table Booking System 1.0 (CVE-2023-7100)
    Severidad: MEDIA
    Fecha de publicación: 25/12/2023
    Fecha de última actualización: 29/12/2023
    Una vulnerabilidad fue encontrada en PHPGurukul Restaurant Table Booking System 1.0 y clasificada como crítica. Una función desconocida del archivo /admin/bwdates-report-details.php es afectada por esta vulnerabilidad. La manipulación del argumento fdate conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. La explotación ha sido divulgada al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-248952.
  • Vulnerabilidad en Concrete CMS 9 (CVE-2023-48652)
    Severidad: Pendiente de análisis
    Fecha de publicación: 25/12/2023
    Fecha de última actualización: 29/12/2023
    Concrete CMS 9 anterior a 9.2.3 es vulnerable a Cross Site Request Forgery (CSRF) a través de /ccm/system/dialogs/logs/delete_all/submit. Un atacante puede obligar a un usuario administrador a eliminar los registros de informes del servidor en una aplicación web en la que está actualmente autenticado.