Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la función updatePosition usado en diferentes programas (CVE-2009-3720)
    Severidad: MEDIA
    Fecha de publicación: 03/11/2009
    Fecha de última actualización: 22/02/2024
    La función updatePosition en lib/xmltok_impl.c en libexpat en Expat v2.0.1, usado en Python, PyXML, w3c-libwww, ay otros programas, permite a atacantes dependientes de contexto, provocar una denegación de servicio (caída de aplicación) a través de un documento XML con una secuencia de caracteres UTF-8 manipulada que provoca un desbordamiento de búfer fuera de límite (over-read). Vulnerabilidad distinta de CVE-2009-2625.
  • Vulnerabilidad en SourceCodester Book Borrower System 1.0 (CVE-2023-6440)
    Severidad: MEDIA
    Fecha de publicación: 30/11/2023
    Fecha de última actualización: 22/02/2024
    Una vulnerabilidad fue encontrada en SourceCodester Book Borrower System 1.0 y clasificada como problemática. Este problema afecta un procesamiento desconocido del archivo endpoint/add-book.php. La manipulación del argumento Título del libro/Autor del libro conduce a cross site scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-246443.
  • Vulnerabilidad en Denis Kobozev CSV Importer (CVE-2023-49775)
    Severidad: Pendiente de análisis
    Fecha de publicación: 17/12/2023
    Fecha de última actualización: 22/02/2024
    Vulnerabilidad de Cross-Site Request Forgery (CSRF) en Denis Kobozev CSV Importer. Este problema afecta a CSV Importer: desde n/a hasta 0.3.8.
  • Vulnerabilidad en Praveen Goswami Advanced Category Template (CVE-2023-50835)
    Severidad: Pendiente de análisis
    Fecha de publicación: 19/12/2023
    Fecha de última actualización: 22/02/2024
    Vulnerabilidad de Cross Site Request Forgery (CSRF) en Praveen Goswami Advanced Category Template. Este problema afecta a Advanced Category Template: desde n/a hasta 0.1.
  • Vulnerabilidad en Sourcecodester Online Food Menu 1.0 (CVE-2024-24134)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/01/2024
    Fecha de última actualización: 22/02/2024
    Sourcecodester Online Food Menu 1.0 es vulnerable a Cross Site Scripting (XSS) a través de los campos 'Menu Name' y 'Description' en la sección Update Menu.
  • Vulnerabilidad en Sourcecodester Product Inventory with Export to Excel 1.0 (CVE-2024-24135)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/01/2024
    Fecha de última actualización: 22/02/2024
    Product Name y Product Code en la sección 'Add Product' de Sourcecodester Product Inventory with Export to Excel 1.0 son vulnerables a ataques XSS.
  • Vulnerabilidad en Stimulsoft GmbH Stimulsoft Dashboard.JS (CVE-2024-24397)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/02/2024
    Fecha de última actualización: 22/02/2024
    Vulnerabilidad de Cross Site Scripting en Stimulsoft GmbH Stimulsoft Dashboard.JS anterior a v.2024.1.2 permite a un atacante remoto ejecutar código arbitrario a través de un payload manipulado en el campo ReportName.
  • Vulnerabilidad en PDF Generator For Fluent Forms – The Contact Form Plugin para WordPress (CVE-2023-6953)
    Severidad: Pendiente de análisis
    Fecha de publicación: 05/02/2024
    Fecha de última actualización: 22/02/2024
    El complemento PDF Generator For Fluent Forms – The Contact Form Plugin para WordPress es vulnerable a Cross-Site Scripting Almacenado a través de los parámetros de contenido del encabezado, el cuerpo del PDF y el pie de página en todas las versiones hasta la 1.1.7 incluida, debido a una sanitización de entrada insuficiente y salida que se escapa. Esto hace posible que los atacantes inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. El nivel de explotación depende de a quién un administrador le concede el derecho de crear formularios. Este nivel puede ser tan bajo como colaborador, pero de forma predeterminada es administrador.
  • Vulnerabilidad en Daily Habit Tracker v.1.0 (CVE-2024-24495)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/02/2024
    Fecha de última actualización: 22/02/2024
    Vulnerabilidad de inyección SQL en delete-tracker.php en Daily Habit Tracker v.1.0 permite a un atacante remoto ejecutar código arbitrario a través de una solicitud GET manipulada.
  • Vulnerabilidad en Daily Habit Tracker v.1.0 (CVE-2024-24496)
    Severidad: Pendiente de análisis
    Fecha de publicación: 08/02/2024
    Fecha de última actualización: 22/02/2024
    Un problema en Daily Habit Tracker v.1.0 permite a un atacante remoto manipular rastreadores a través de los componentes home.php, add-tracker.php, delete-tracker.php y update-tracker.php.
  • Vulnerabilidad en Sourcecodester Event Student Attendance System 1.0 (CVE-2024-25302)
    Severidad: Pendiente de análisis
    Fecha de publicación: 09/02/2024
    Fecha de última actualización: 22/02/2024
    Sourcecodester Event Student Attendance System 1.0 permite la inyección SQL a través del parámetro 'student'.