Inicio / Alerta Temprana / Vulnerabilidades
Suscribirse a INCIBE-CERT - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.incibe-cert.es/feed/vulnerabilities) o Boletines (https://www.incibe-cert.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en varias entradas dentro de la configuración del curso en el plugin LearnPress de WordPress (CVE-2021-24702)

Gravedad: 
Sin asignar
Fecha publicación : 
18/10/2021
Última modificación: 
18/10/2021
Descripción:  
El plugin LearnPress de WordPress versiones anteriores a 4.1.3.1, no sanea o escapa apropiadamente de varias entradas dentro de la configuración del curso, que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting cuando la capacidad unfiltred_html no está permitida

Vulnerabilidad en Ghostscript en el plugin PDF Light Viewer de WordPress (CVE-2021-24684)

Gravedad: 
Sin asignar
Fecha publicación : 
18/10/2021
Última modificación: 
18/10/2021
Descripción:  
El plugin PDF Light Viewer de WordPress versiones anteriores a 1.4.12, permite a usuarios con roles de autor ejecutar un comando de Sistema Operativo arbitrario en el servidor por medio de una inyección de comandos del Sistema Operativo cuando es invocado Ghostscript

Vulnerabilidad en la API REST en el plugin Find My Blocks de WordPress (CVE-2021-24677)

Gravedad: 
Sin asignar
Fecha publicación : 
18/10/2021
Última modificación: 
18/10/2021
Descripción:  
El plugin Find My Blocks de WordPress versiones anteriores a 3.4.0, no tiene comprobaciones de autorización en su API REST, que podría permitir a usuarios no autenticados enumerar títulos de entradas privadas

Vulnerabilidad en la página donde se inserta el shortcode [avatar_upload] en el plugin One User Avatar de WordPress (CVE-2021-24675)

Gravedad: 
Sin asignar
Fecha publicación : 
18/10/2021
Última modificación: 
18/10/2021
Descripción:  
El plugin One User Avatar de WordPress versiones anteriores a 2.3.7, no comprueba CSRF cuando es actualizado el avatar en la página donde se inserta el shortcode [avatar_upload]. Como resultado, los atacantes podrían hacer que el usuario conectado cambie su avatar por medio de un ataque de tipo CSRF

Vulnerabilidad en los atributos link y target del shortcode en el plugin One User Avatar de WordPress (CVE-2021-24672)

Gravedad: 
Sin asignar
Fecha publicación : 
18/10/2021
Última modificación: 
18/10/2021
Descripción:  
El plugin One User Avatar de WordPress versiones anteriores a 2.3.7, no escapa de los atributos link y target de su shortcode, permitiendo a usuarios con un rol tan bajo como el de Contribuyente llevar a cabo ataques de tipo Cross-Site Scripting Almacenado

Vulnerabilidad en el plugin Scroll Baner de WordPress (CVE-2021-24642)

Gravedad: 
Sin asignar
Fecha publicación : 
18/10/2021
Última modificación: 
18/10/2021
Descripción:  
El plugin Scroll Baner de WordPress versiones hasta 1.0, no presenta una comprobación de tipo CSRF cuando guarda sus configuraciones, ni lleva a cabo ningún tipo de saneo, escape o comprobación de las mismas. Esto podría permitir a atacantes hacer que los administradores registrados los cambien y podría conllevar a RCE (por medio de una carga de archivos) así como un ataque de tipo XSS

Vulnerabilidad en los campos de los formularios en el plugin Customer Service Software & Support Ticket System de WordPress (CVE-2021-24622)

Gravedad: 
Sin asignar
Fecha publicación : 
18/10/2021
Última modificación: 
18/10/2021
Descripción:  
El plugin Customer Service Software & Support Ticket System de WordPress versiones anteriores a 5.10.4, no sanea ni escapa los campos de los formularios antes de mostrarlos en la lista, que podría permitir a usuarios con altos privilegios llevar a cabo ataques de tipo Cross-Site Scripting incluso cuando la capacidad unfiltered_html no está permitida

Vulnerabilidad en el parámetro op_edit POST en el plugin GamePress de WordPress (CVE-2021-24617)

Gravedad: 
Sin asignar
Fecha publicación : 
18/10/2021
Última modificación: 
18/10/2021
Descripción:  
El plugin GamePress de WordPress versiones hasta 1.1.0, no escapa del parámetro op_edit POST antes de devolverlo a las páginas de Opciones de Juego, conllevando a problemas de tipo Cross-Site Scripting Reflejado

Vulnerabilidad en el plugin Gutenberg PDF Viewer Block de WordPress (CVE-2021-24760)

Gravedad: 
Sin asignar
Fecha publicación : 
18/10/2021
Última modificación: 
18/10/2021
Descripción:  
El plugin Gutenberg PDF Viewer Block de WordPress versiones anteriores a 1.0.1, no sanea ni escapa de su bloque, que podría permitir a usuarios con un rol tan bajo como el de Contribuyente llevar a cabo ataques de tipo Cross-Site Scripting

Vulnerabilidad en los parámetros QR en el plugin Wechat Reward de WordPress (CVE-2021-24615)

Gravedad: 
Sin asignar
Fecha publicación : 
18/10/2021
Última modificación: 
18/10/2021
Descripción:  
El plugin Wechat Reward de WordPress versiones hasta 1.7 no sanea ni escapa de sus parámetros QR, ni presenta ninguna comprobación de tipo CSRF, permitiendo a atacantes hacer que un administrador conectado cambie los parámetros y llevar a cabo ataques de tipo Cross-Site Scripting

Páginas