Vulnerabilidad en el plugin Newsletters para WordPress (CVE-2024-8247) permite a atacantes autenticados elevar sus privilegios a nivel administrador. Afecta a versiones <= 4.9.9.2 y requiere permisos específicos en la administración del plugin. Se recomienda actualizar de inmediato para mitigar este riesgo.

Esta vulnerabilidad permitiría a usuarios no autenticados obtener acceso de administrador del sitio web. Afecta a versiones del plugin anteriores a la 6.4 debido a un hash de seguridad débil. CVE-2024-28000 Severidad: Crítica 9.8

Atacantes no autenticados pueden inyectar un objeto PHP. La presencia adicional de una cadena POP permite a los atacantes ejecutar código de forma remota y eliminar archivos arbitrarios. Afecta a todas las versiones del complemento anteriores a la versión 3.14.2, que se lanzó el 7 de agosto de 2024.

Una vulnerabilidad en Microsoft Defender SmartScreen, identificada como CVE-2024-21412 y solucionada en febrero, continúa siendo explotada globalmente en ataques de robo de información. Este fallo, con una alta gravedad y puntuación CVSS de 8,1, ha sido aprovechado por diversos ladrones de información como Lumma Stealer, Water Hydra, DarkGate, Meduza y ACR. La explotación de esta vulnerabilidad provocaría el robo de información sensible de los dispositivos afectados.

Un actor de amenaza ha publicando evidencia de un acceso no autorizado a un sistema gubernamental, misma que ha sido verificada, sin embargo no se trata de una cuenta administrativa.