Vulnerabilidades

El plugin Ajax Load More – Infinite Scroll, Load More, & Lazy Load para WordPress es vulnerable a acceso no autorizado de datos debido a una autorización incorrecta en la función parse_custom_args() en todas las versiones hasta la 7.8.1, inclusive. Esto hace posible para atacantes no autenticados exponer los títulos y extractos de publicaciones privadas, en borrador, pendientes, programadas y en la papelera.

El plugin NEX-Forms – Ultimate Forms para WordPress es vulnerable a acceso no autorizado a datos debido a una comprobación de capacidad faltante en el constructor de la clase NF5_Export_Forms en todas las versiones hasta la 9.1.8, inclusive. Esto hace posible que atacantes no autenticados exporten configuraciones de formularios, que pueden incluir datos sensibles, como direcciones de correo electrónico, credenciales de la API de PayPal y claves de integración de terceros al enumerar el parámetro nex_forms_Id.

HotCRP es un software de revisión de conferencias. Las versiones de HotCRP desde octubre de 2025 hasta enero de 2026 entregaron documentos de todo tipo con Content-Disposition en línea, haciendo que se renderizaran en el navegador del usuario en lugar de descargarse. (El comportamiento previsto era que solo 'text/plain', 'application/pdf', 'image/gif', 'image/jpeg' e 'image/png' se entregaran en línea, aunque añadir 'save=0' a la URL del documento podía solicitar la entrega en línea para cualquier documento.) Esto hizo que los usuarios que hacían clic en un enlace de documento fueran vulnerables a ataques de cross-site scripting. Un documento HTML o SVG subido se ejecutaría en el navegador del visor con acceso a sus credenciales de HotCRP, y Javascript en ese documento podría eventualmente hacer llamadas arbitrarias a la API de HotCRP. Los documentos maliciosos podían subirse a campos de envío con tipo 'carga de archivo' o 'adjunto', o como adjuntos a comentarios. Los campos de carga de PDF no eran vulnerables. Una búsqueda de documentos subidos a hotcrp.com no encontró evidencia de explotación. La vulnerabilidad fue introducida en el commit aa20ef288828b04550950cf67c831af8a525f508 (11 de octubre de 2025), presente en versiones de desarrollo y v3.2, y corregida en el commit 8933e86c9f384b356dc4c6e9e2814dee1074b323 y v3.2.1. Además, c3d88a7e18d52119c65df31c2cc994edd2beccc5 y v3.2.1 eliminan el soporte para 'save=0'.

AirControl 1.4.2 contiene una vulnerabilidad de ejecución remota de código de pre-autenticación que permite a atacantes no autenticados ejecutar comandos de sistema arbitrarios mediante inyección maliciosa de expresiones Java. Los atacantes pueden explotar el endpoint /.seam creando una URL especialmente diseñada con expresiones Java incrustadas para ejecutar comandos con los privilegios de sistema de la aplicación.

Navigate CMS 2.8.7 contiene una vulnerabilidad de inyección SQL autenticada que permite a los atacantes filtrar información de la base de datos manipulando el parámetro 'sidx' en los comentarios. Los atacantes pueden explotar la vulnerabilidad para extraer claves de activación de usuario utilizando técnicas de inyección SQL ciega basada en tiempo, lo que podría permitir el restablecimiento de contraseña para cuentas administrativas.

Crystal Shard http-protection 0.2.0 contiene una vulnerabilidad de suplantación de IP que permite a los atacantes eludir el middleware de protección manipulando los encabezados de solicitud. Los atacantes pueden fijar valores de IP consistentes en los encabezados X-Forwarded-For, X-Client-IP y X-Real-IP para eludir las comprobaciones de seguridad y obtener acceso no autorizado.

Navigate CMS 2.8.7 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes subir extensiones maliciosas a través de una página HTML manipulada. Los atacantes pueden engañar a los administradores autenticados para que ejecuten cargas de archivos arbitrarias aprovechando la funcionalidad de carga de extensiones sin validación adicional.

Online-Exam-System 2015 contiene una vulnerabilidad de inyección SQL en el módulo de comentarios que permite a los atacantes manipular consultas de base de datos a través del parámetro 'fid'. Los atacantes pueden inyectar código SQL malicioso en el parámetro 'fid' para potencialmente extraer, modificar o eliminar información de la base de datos.

*** Pendiente de traducción *** 10-Strike Bandwidth Monitor 3.9 contains a buffer overflow vulnerability that allows attackers to bypass SafeSEH, ASLR, and DEP protections through carefully crafted input. Attackers can exploit the vulnerability by sending a malicious payload to the application's registration key input, enabling remote code execution and launching arbitrary system commands.

*** Pendiente de traducción *** OpenCTI 3.3.1 is vulnerable to a reflected cross-site scripting (XSS) attack via the /graphql endpoint. An attacker can inject arbitrary JavaScript code by sending a crafted GET request with a malicious payload in the query string, leading to execution of JavaScript in the victim's browser. For example, a request to /graphql?'"-->alert('Raif_Berkay') will trigger an alert. This vulnerability was discovered by Raif Berkay Dincel and confirmed on Linux Mint and Windows 10.

Sistem Informasi Pengumuman Kelulusan Online 1.0 contiene una vulnerabilidad de falsificación de petición en sitios cruzados que permite a los atacantes añadir usuarios administradores no autorizados a través del endpoint tambahuser.PHP. Los atacantes pueden elaborar un formulario HTML malicioso para enviar credenciales de administrador y crear nuevas cuentas administrativas sin el consentimiento de la víctima.

Frigate 3.36.0.9 contiene una vulnerabilidad local de desbordamiento de búfer en el campo de entrada de la línea de comandos que permite a los atacantes ejecutar código arbitrario. Los atacantes pueden crear una carga útil maliciosa para desbordar el búfer, eludir DEP y ejecutar comandos como iniciar calc.exe a través de una secuencia de entrada especialmente diseñada.