Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la función storagePoolLookupByTargetPath en la API virStoragePoolLookupByTargetPath de libvirt (CVE-2021-3667)
    Severidad: MEDIA
    Fecha de publicación: 02/03/2022
    Fecha de última actualización: 10/02/2025
    Se ha encontrado un problema de bloqueo inapropiado en la API virStoragePoolLookupByTargetPath de libvirt. Ocurre en la función storagePoolLookupByTargetPath, donde un objeto virStoragePoolObj bloqueado no es liberado apropiadamente al fallar el permiso ACL. Los clientes que son conectados al socket de lectura-escritura con permisos ACL limitados podrían usar este fallo para adquirir el bloqueo e impedir que otros usuarios accedan a las APIs de pools/volúmenes de almacenamiento, resultando en una condición de denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
  • Vulnerabilidad en Grafana (CVE-2023-4822)
    Severidad: MEDIA
    Fecha de publicación: 16/10/2023
    Fecha de última actualización: 10/02/2025
    Grafana es una plataforma de código abierto para monitorización y observabilidad. La vulnerabilidad afecta las instancias de Grafana con varias organizaciones y permite a un usuario con permisos de Organization Admin en una organización cambiar los permisos asociados con los roles de Organization Viewer, Organization Editor and Organization Admin en todas las organizaciones. También permite que un Organization Admin asigne o revoque cualquier permiso que tenga para cualquier usuario a nivel mundial. Esto significa que cualquier Organization Admin puede elevar sus propios permisos en cualquier organización de la que ya sea miembro, y elevar o restringir los permisos de cualquier otro usuario. La vulnerabilidad no permite que un usuario se convierta en miembro de una organización de la que aún no es miembro, ni agregue otros usuarios a una organización de la que el usuario actual no es miembro.
  • Vulnerabilidad en Gestpay para WooCommerce para WordPress (CVE-2024-0432)
    Severidad: MEDIA
    Fecha de publicación: 28/02/2024
    Fecha de última actualización: 10/02/2025
    El complemento Gestpay para WooCommerce para WordPress es vulnerable a la Cross-Site Request Forgery en todas las versiones hasta la 20221130 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función 'ajax_delete_card'. Esto hace posible que atacantes no autenticados eliminen el token de tarjeta predeterminado de un usuario mediante una solicitud falsificada, siempre que puedan engañar al administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Gestpay para WooCommerce para WordPress (CVE-2024-0433)
    Severidad: MEDIA
    Fecha de publicación: 28/02/2024
    Fecha de última actualización: 10/02/2025
    El complemento Gestpay para WooCommerce para WordPress es vulnerable a la Cross-Site Request Forgery en todas las versiones hasta la 20221130 incluida. Esto se debe a una validación nonce faltante o incorrecta en la función 'ajax_unset_default_card'. Esto hace posible que atacantes no autenticados eliminen el estado predeterminado de un token de tarjeta para un usuario a través de una solicitud falsificada, siempre que puedan engañar a un administrador del sitio para que realice una acción como hacer clic en un enlace.
  • Vulnerabilidad en Netentsec NS-ASG Application Security Gateway 6.3 (CVE-2024-2647)
    Severidad: ALTA
    Fecha de publicación: 19/03/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en Netentsec NS-ASG Application Security Gateway 6.3 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /admin/singlelogin.php. La manipulación del argumento loginId conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-257285. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Netentsec NS-ASG Application Security Gateway 6.3 (CVE-2024-3040)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en Netentsec NS-ASG Application Security Gateway 6.3 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /admin/list_crl_conf. La manipulación del argumento CRLId conduce a la inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-258429. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en Netentsec NS-ASG Application Security Gateway 6.3 (CVE-2024-3041)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en Netentsec NS-ASG Application Security Gateway 6.3 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /protocol/log/listloginfo.php. La manipulación conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-258430 es el identificador asignado a esta vulnerabilidad. NOTA: Se contactó primeramente con el proveedor sobre esta divulgación, pero no respondió de ninguna manera.
  • Vulnerabilidad en SourceCodester Prison Management System 1.1 (CVE-2024-3436)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Prison Management System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /Admin/edit-photo.php del componente Avatar Handler. La manipulación del argumento avatar conduce a una carga sin restricciones. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259630 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-3437)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Prison Management System 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo /Admin/add-admin.php del componente Avatar Handler. La manipulación del argumento avatar conduce a una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259631.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-3438)
    Severidad: ALTA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Prison Management System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /Admin/login.php. La manipulación conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259691.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-3439)
    Severidad: ALTA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Prison Management System 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo /Account/login.php es afectada por esta vulnerabilidad. La manipulación conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259692.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-3440)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Prison Management System 1.0. Ha sido declarada crítica. Una función desconocida del archivo /Admin/edit_profile.php es afectada por esta vulnerabilidad. La manipulación conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-259693.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-3441)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Prison Management System 1.0. Ha sido calificada como crítica. Una función desconocida del archivo /Employee/edit-profile.php es afectada por esta vulnerabilidad. La manipulación conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-259694 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-3442)
    Severidad: MEDIA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Prison Management System 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo /Employee/delete_leave.php. La manipulación conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-259695.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-3443)
    Severidad: BAJA
    Fecha de publicación: 08/04/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Prison Management System 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo /Employee/apply_leave.php. La manipulación del argumento txtstart_date/txtend_date conduce a cross site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-259696.
  • Vulnerabilidad en WPOmnia KB Support (CVE-2024-33589)
    Severidad: MEDIA
    Fecha de publicación: 29/04/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de autorización faltante en WPOmnia KB Support. Este problema afecta a KB Support: desde n/a hasta 1.6.0.
  • Vulnerabilidad en Progress Software Corporation (CVE-2024-3543)
    Severidad: MEDIA
    Fecha de publicación: 02/05/2024
    Fecha de última actualización: 10/02/2025
    El uso de un algoritmo de cifrado de contraseña reversible permite a los atacantes descifrar contraseñas. El atacante puede descifrar fácilmente la información confidencial y las credenciales robadas pueden usarse para acciones arbitrarias que corrompan el sistema.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-4500)
    Severidad: MEDIA
    Fecha de publicación: 05/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Prison Management System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /Employee/edit-photo.php. La manipulación del argumento userImage conduce a una carga sin restricciones. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-263104.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-4512)
    Severidad: BAJA
    Fecha de publicación: 06/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Prison Management System 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo /Employee/edit-profile.php. La manipulación del argumento txtfullname/txtdob/txtaddress/txtqualification/cmddept/cmdemployeetype/txtappointment conduce a cross site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-263116.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-4528)
    Severidad: BAJA
    Fecha de publicación: 06/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Prison Management System 1.0. Ha sido declarada problemática. Una función desconocida del archivo /Admin/user-record.php es afectada por esta vulnerabilidad. La manipulación del argumento txtfullname conduce a cross site scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-263131.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-4644)
    Severidad: BAJA
    Fecha de publicación: 08/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Prison Management System 1.0 y clasificada como problemática. Esta vulnerabilidad afecta a un código desconocido del archivo /Employee/changepassword.php. La manipulación del argumento txtold_password/txtnew_password/txtconfirm_password conduce a cross site scripting. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-263488.
  • Vulnerabilidad en SourceCodester Prison Management System 1.0 (CVE-2024-4645)
    Severidad: MEDIA
    Fecha de publicación: 08/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Prison Management System 1.0 y clasificada como problemática. Este problema afecta un procesamiento desconocido del archivo /Admin/changepassword.php. La manipulación del argumento txtold_password/txtnew_password/txtconfirm_password conduce a cross site scripting. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-263489.
  • Vulnerabilidad en SourceCodester Online Discussion Forum Site 1.0 (CVE-2024-4920)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en el sitio del foro de discusión en línea SourceCodester 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo RegisterH.php. La manipulación del argumento ima conduce a una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-264455.
  • Vulnerabilidad en SourceCodester Employee and Visitor Gate Pass Logging System 1.0 (CVE-2024-4921)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Employee and Visitor Gate Pass Logging System 1.0 y clasificada como crítica. Una función desconocida del archivo /employee_gatepass/classes/Users.php?f=ssave es afectada por esta vulnerabilidad. La manipulación del argumento img conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-264456.
  • Vulnerabilidad en SourceCodester Simple Image Stack Website 1.0 (CVE-2024-4922)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Simple Image Stack Website 1.0 y clasificada como problemática. Esto afecta a una parte desconocida. La manipulación del argumento page conduce a Cross Site Scripting. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-264459.
  • Vulnerabilidad en SourceCodester School Intramurals Student Attendance Management System 1.0 (CVE-2024-4925)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester School Intramurals Student Attendance Management System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /intrams_sams/manage_course.php. La manipulación del argumento id conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-264461.
  • Vulnerabilidad en SourceCodester School Intramurals Student Attendance Management System 1.0 (CVE-2024-4926)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester School Intramurals Student Attendance Management System 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo /intrams_sams/manage_student.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-264462 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Best Courier Management System 1.0 (CVE-2024-4945)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Best Courier Management System 1.0. Ha sido clasificada como problemática. Una función desconocida del archivo view_parcel.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-264480.
  • Vulnerabilidad en SourceCodester Online Art Gallery Management System 1.0 (CVE-2024-4946)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Online Art Gallery Management System 1.0. Ha sido declarada crítica. Una función desconocida del archivo admin/adminHome.php es afectada por esta vulnerabilidad. La manipulación del argumento sliderpic conduce a una carga sin restricciones. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-264481.
  • Vulnerabilidad en SourceCodester SchoolWebTech 1.0 (CVE-2024-4966)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester SchoolWebTech 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo /improve/home.php es afectada por esta vulnerabilidad. La manipulación del argumento image conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-264534 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Interactive Map con Marker 1.0 (CVE-2024-4967)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Interactive Map con Marker 1.0. Ha sido declarada crítica. Una función desconocida del archivo /endpoint/delete-mark.php es afectada por esta vulnerabilidad. La manipulación del argumento mark conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-264535.
  • Vulnerabilidad en SourceCodester Interactive Map con Marker 1.0 (CVE-2024-4968)
    Severidad: MEDIA
    Fecha de publicación: 16/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Interactive Map con Marker 1.0. Ha sido calificada como problemática. Una función desconocida del archivo Marker Name del componente Add Marker es afectada por esta vulnerabilidad. La manipulación conduce a cross-site scripting. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-264536.
  • Vulnerabilidad en SourceCodester Online Birth Certificate Management System 1.0 (CVE-2024-5045)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Online Birth Certificate Management System 1.0. Ha sido declarada problemática. Esta vulnerabilidad afecta a código desconocido del archivo /admin. La manipulación conduce a archivos o directorios accesibles. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-264742 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Online Examination System 1.0 (CVE-2024-5046)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Online Examination System 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo Registeracc.php. La manipulación del argumento email conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-264743.
  • Vulnerabilidad en SourceCodester Student Management System 1.0 (CVE-2024-5047)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Student Management System 1.0 y clasificada como crítica. Una función desconocida del archivo /student/controller.php es afectada por esta vulnerabilidad. La manipulación del argumento photo da lugar a una subida sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-264744.
  • Vulnerabilidad en SourceCodester Gas Agency Management System 1.0 (CVE-2024-5051)
    Severidad: MEDIA
    Fecha de publicación: 17/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Gas Agency Management System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo edituser.php. La manipulación del argumento id conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-264748.
  • Vulnerabilidad en SourceCodester Best House Rental Management System 1.0 (CVE-2024-5093)
    Severidad: MEDIA
    Fecha de publicación: 18/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Best House Rental Management System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo login.php. La manipulación del argumento username/password conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-265072.
  • Vulnerabilidad en SourceCodester Best House Rental Management System 1.0 (CVE-2024-5094)
    Severidad: MEDIA
    Fecha de publicación: 18/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Best House Rental Management System 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo view_paid.php. La manipulación del argumento id conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-265073.
  • Vulnerabilidad en SourceCodester Simple Inventory System 1.0 (CVE-2024-5097)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Simple Inventory System 1.0 y clasificada como problemática. Una función desconocida del archivo /tableedit.php#page=editprice es afectada por esta vulnerabilidad. La manipulación del argumento itemnumber conduce a cross-site request forgery. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-265080.
  • Vulnerabilidad en SourceCodester Simple Inventory System 1.0 (CVE-2024-5098)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Simple Inventory System 1.0 y clasificada como crítica. Una función desconocida del archivo login.php es afectada por esta vulnerabilidad. La manipulación del argumento username conduce a la inyección de SQL. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-265081.
  • Vulnerabilidad en SourceCodester Simple Inventory System 1.0 (CVE-2024-5099)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Simple Inventory System 1.0 y clasificada como crítica. Una función desconocida del archivo updateprice.php es afectada por esta vulnerabilidad. La manipulación del argumento ITEM conduce a la inyección SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-265082 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Simple Inventory System 1.0 (CVE-2024-5100)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Simple Inventory System 1.0. Ha sido clasificada como crítica. Una parte desconocida del archivo tableedit.php afecta a esta vulnerabilidad. La manipulación del argumento from/to conduce a la inyección SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-265083.
  • Vulnerabilidad en SourceCodester Simple Inventory System 1.0 (CVE-2024-5101)
    Severidad: MEDIA
    Fecha de publicación: 19/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Simple Inventory System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta a un código desconocido del archivo updateproduct.php. La manipulación del argumento ITEM conduce a la inyección SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-265084.
  • Vulnerabilidad en SourceCodester Online Examination System 1.0 (CVE-2024-5116)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Online Examination System 1.0 y clasificada como crítica. Una función desconocida del archivo save.php es afectada por esta vulnerabilidad. La manipulación del argumento vote conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-265196.
  • Vulnerabilidad en SourceCodester Event Registration System 1.0 (CVE-2024-5117)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Event Registration System 1.0 y clasificada como crítica. Una parte desconocida del archivo portal.php afecta a esta vulnerabilidad. La manipulación del argumento username/password conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-265197.
  • Vulnerabilidad en SourceCodester Event Registration System 1.0 (CVE-2024-5118)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Event Registration System 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /admin/login.php. La manipulación del argumento username/password conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-265198 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Event Registration System 1.0 (CVE-2024-5119)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Event Registration System 1.0 y clasificada como crítica. Este problema afecta algún procesamiento desconocido del archivo /classes/Master.php?f=load_registration. La manipulación del argumento last_id/event_id conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-265199.
  • Vulnerabilidad en SourceCodester Event Registration System 1.0 (CVE-2024-5120)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Event Registration System 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo /registrar/?page=registration es afectada por esta vulnerabilidad. La manipulación del argumento e conduce a la inyección SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-265200.
  • Vulnerabilidad en SourceCodester Event Registration System 1.0 (CVE-2024-5121)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Event Registration System 1.0. Ha sido declarada problemática. Una funcionalidad desconocida del archivo /registrar/?page=registration es afectada por esta vulnerabilidad. La manipulación del argumento e conduce a cross site scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-265201.
  • Vulnerabilidad en SourceCodester Event Registration System 1.0 (CVE-2024-5122)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Event Registration System 1.0. Ha sido calificada como crítica. Una función desconocida del archivo /registrar/ es afectada por esta vulnerabilidad. La manipulación del argumento search conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-265202 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Event Registration System 1.0 (CVE-2024-5123)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Event Registration System 1.0 y clasificada como problemática. Esto afecta a una parte desconocida del archivo /registrar/. La manipulación del argumento searchbar conduce a cross site scripting. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-265203.
  • Vulnerabilidad en SourceCodester Vehicle Management System (CVE-2024-5145)
    Severidad: MEDIA
    Fecha de publicación: 20/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Vehicle Management System hasta 1.0 y clasificada como crítica. Este problema afecta un procesamiento desconocido del archivo /newdriver.php del componente HTTP POST Request Handler. La manipulación del argumento file conduce a una carga sin restricciones. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-265289.
  • Vulnerabilidad en SourceCodester Online Hospital Management System 1.0 (CVE-2024-5362)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Online Hospital Management System 1.0 y clasificada como crítica. Una función desconocida del archivo departamentDoctor.php es afectada por esta vulnerabilidad. La manipulación del argumento deptid conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-266274 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Best House Rental Management System (CVE-2024-5363)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Best House Rental Management System hasta 1.0 y clasificada como crítica. Una función desconocida del archivo enable_user.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-266275.
  • Vulnerabilidad en SourceCodester Best House Rental Management System (CVE-2024-5364)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Best House Rental Management System hasta 1.0 y clasificada como crítica. Una función desconocida del archivo enable_tenant.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-266276.
  • Vulnerabilidad en SourceCodester Best House Rental Management System (CVE-2024-5365)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en SourceCodester Best House Rental Management System hasta 1.0 y clasificada como crítica. Esto afecta a una parte desconocida del archivo Manage_Payment.php. La manipulación del argumento id conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-266277.
  • Vulnerabilidad en SourceCodester Best House Rental Management System (CVE-2024-5366)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en SourceCodester Best House Rental Management System hasta 1.0 y clasificada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo edit-cate.php. La manipulación del argumento id conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-266278 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en SourceCodester Vehicle Management System 1.0 (CVE-2024-5377)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Vehicle Management System 1.0. Ha sido clasificada como crítica. Esto afecta a una parte desconocida del archivo /newvehicle.php. La manipulación del archivo de argumentos conduce a una carga sin restricciones. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-266289.
  • Vulnerabilidad en SourceCodester School Intramurals Student Attendance Management System 1.0 (CVE-2024-5378)
    Severidad: MEDIA
    Fecha de publicación: 26/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester School Intramurals Student Attendance Management System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta al código desconocido del archivo /manage_sy.php. La manipulación del argumento id conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-266290 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en itsourcecode Online Student Enrollment System 1.0 (CVE-2024-5390)
    Severidad: MEDIA
    Fecha de publicación: 27/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en itsourcecode Online Student Enrollment System 1.0 y clasificada como crítica. Una función desconocida del archivo listofstudent.php es afectada por esta vulnerabilidad. La manipulación del argumento lname conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-266304.
  • Vulnerabilidad en itsourcecode Online Student Enrollment System 1.0 (CVE-2024-5391)
    Severidad: MEDIA
    Fecha de publicación: 27/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en itsourcecode Online Student Enrollment System 1.0 y clasificada como crítica. Una función desconocida del archivo listofsubject.php es afectada por esta vulnerabilidad. La manipulación del argumento subjcode conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-266305.
  • Vulnerabilidad en itsourcecode Online Student Enrollment System 1.0 (CVE-2024-5392)
    Severidad: MEDIA
    Fecha de publicación: 27/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en itsourcecode Online Student Enrollment System 1.0 y clasificada como crítica. Una función desconocida del archivo editSubject.php es afectada por esta vulnerabilidad. La manipulación del argumento id conduce a la inyección de SQL. El ataque puede lanzarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-266306 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en itsourcecode Online Student Enrollment System 1.0 (CVE-2024-5393)
    Severidad: MEDIA
    Fecha de publicación: 27/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en itsourcecode Online Student Enrollment System 1.0. Ha sido clasificada como crítica. Una parte desconocida del archivo listofcourse.php afecta a esta vulnerabilidad. La manipulación del argumento idno conduce a la inyección de SQL. Es posible iniciar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-266307.
  • Vulnerabilidad en itsourcecode Online Student Enrollment System 1.0 (CVE-2024-5394)
    Severidad: MEDIA
    Fecha de publicación: 27/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en itsourcecode Online Student Enrollment System 1.0. Ha sido declarada crítica. Esta vulnerabilidad afecta a un código desconocido del archivo newDept.php. La manipulación del argumento nombredepto conduce a la inyección de SQL. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-266308.
  • Vulnerabilidad en itsourcecode Online Student Enrollment System 1.0 (CVE-2024-5395)
    Severidad: MEDIA
    Fecha de publicación: 27/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en itsourcecode Online Student Enrollment System 1.0. Ha sido calificada como crítica. Este problema afecta un procesamiento desconocido del archivo listofinstructor.php. La manipulación del argumento FullName conduce a la inyección de SQL. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-266309.
  • Vulnerabilidad en itsourcecode Online Student Enrollment System 1.0 (CVE-2024-5396)
    Severidad: MEDIA
    Fecha de publicación: 27/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad ha sido encontrada en itsourcecode Online Student Enrollment System 1.0 y clasificada como crítica. Una función desconocida del archivo newfaculty.php es afectada por esta vulnerabilidad. La manipulación del nombre del argumento conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-266310 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en itsourcecode Online Student Enrollment System 1.0 (CVE-2024-5397)
    Severidad: MEDIA
    Fecha de publicación: 27/05/2024
    Fecha de última actualización: 10/02/2025
    Una vulnerabilidad fue encontrada en itsourcecode Online Student Enrollment System 1.0 y clasificada como crítica. Una función desconocida del archivo instructorSubjects.php es afectada por esta vulnerabilidad. La manipulación del argumento instructorId conduce a la inyección de SQL. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador asociado de esta vulnerabilidad es VDB-266311.
  • Vulnerabilidad en SourceCodester Stock Management System 1.0 (CVE-2024-5515)
    Severidad: MEDIA
    Fecha de publicación: 30/05/2024
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Stock Management System 1.0. Ha sido clasificada como crítica. Una función desconocida del archivo createBrand.php es afectada por esta vulnerabilidad. La manipulación del argumento brandName conduce a la inyección SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. VDB-266586 es el identificador asignado a esta vulnerabilidad.
  • Vulnerabilidad en WP Travel Engine (CVE-2024-32798)
    Severidad: ALTA
    Fecha de publicación: 09/06/2024
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de autorización faltante en WP Travel Engine. Este problema afecta a WP Travel Engine: desde n/a hasta 5.8.0.
  • Vulnerabilidad en Dylan James Zephyr Project Manager (CVE-2024-37484)
    Severidad: ALTA
    Fecha de publicación: 09/07/2024
    Fecha de última actualización: 10/02/2025
    La vulnerabilidad de gestión de privilegios inadecuada en Dylan James Zephyr Project Manager permite la escalada de privilegios. Este problema afecta a Zephyr Project Manager: desde n/a hasta 3.3.97.
  • Vulnerabilidad en ProfileGrid – User Profiles, Groups and Communities para WordPress (CVE-2024-6410)
    Severidad: MEDIA
    Fecha de publicación: 10/07/2024
    Fecha de última actualización: 10/02/2025
    El complemento ProfileGrid – User Profiles, Groups and Communities para WordPress para WordPress es vulnerable a la referencia directa a objetos inseguros en todas las versiones hasta la 5.8.9 incluida a través de la función 'pm_upload_image' debido a la falta de validación en una clave controlada por el usuario. Esto hace posible que atacantes autenticados, con acceso de nivel de suscriptor y superior, cambien la imagen de perfil de cualquier usuario.
  • Vulnerabilidad en ProfileGrid – User Profiles, Groups and Communities para WordPress (CVE-2024-6411)
    Severidad: ALTA
    Fecha de publicación: 10/07/2024
    Fecha de última actualización: 10/02/2025
    El complemento ProfileGrid – User Profiles, Groups and Communities para WordPress es vulnerable a la escalada de privilegios en todas las versiones hasta la 5.8.9 incluida. Esto se debe a una falta de validación de los datos proporcionados por el usuario en la acción AJAX 'pm_upload_image'. Esto hace posible que los atacantes autenticados, con acceso de nivel de suscriptor y superior, actualicen sus capacidades de usuario a Administrador.
  • Vulnerabilidad en Apache Superset (CVE-2024-39887)
    Severidad: MEDIA
    Fecha de publicación: 16/07/2024
    Fecha de última actualización: 10/02/2025
    Existe una vulnerabilidad de inyección SQL en Apache Superset debido a una neutralización inadecuada de elementos especiales utilizados en los comandos SQL. Específicamente, ciertas funciones específicas del motor no están marcadas, lo que permite a los atacantes eludir la autorización SQL de Apache Superset. Para mitigar esto, se introdujo una nueva clave de configuración denominada DISALLOWED_SQL_FUNCTIONS. Esta clave no permite el uso de las siguientes funciones de PostgreSQL: versión, query_to_xml, inet_server_addr e inet_client_addr. Se pueden agregar funciones adicionales a esta lista para una mayor protección. Este problema afecta a Apache Superset: antes de 4.0.2. Se recomienda a los usuarios actualizar a la versión 4.0.2, que soluciona el problema.
  • Vulnerabilidad en Cooked (CVE-2024-39678)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2024
    Fecha de última actualización: 10/02/2025
    Cooked es un complemento de recetas para WordPress. El complemento Cooked es vulnerable a la Cross-Site Request Forgery (CSRF) en versiones hasta la 1.7.15.4 incluida debido a una validación nonce faltante o incorrecta en el controlador de acciones AJAX. Esta vulnerabilidad podría permitir a un atacante engañar a los usuarios para que realicen una acción que no pretendían realizar con su autenticación actual. Este problema se solucionó en la versión 1.8.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Cooked (CVE-2024-39679)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2024
    Fecha de última actualización: 10/02/2025
    Cooked es un complemento de recetas para WordPress. El complemento Cooked para WordPress es vulnerable a la Cross-Site Request Forgery (CSRF) en versiones hasta la 1.7.15.4 incluida debido a una validación nonce faltante o incorrecta en el controlador de acciones AJAX. Esta vulnerabilidad podría permitir a un atacante engañar a los usuarios para que realicen una acción que no pretendían realizar con su autenticación actual. Este problema se solucionó en la versión 1.8.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Cooked para WordPress (CVE-2024-39680)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2024
    Fecha de última actualización: 10/02/2025
    Cooked es un complemento de recetas para WordPress. El complemento Cooked para WordPress es vulnerable a la Cross-Site Request Forgery (CSRF) en versiones hasta la 1.7.15.4 incluida debido a una validación nonce faltante o incorrecta en el controlador de acciones AJAX. Esta vulnerabilidad podría permitir a un atacante engañar a los usuarios para que realicen una acción que no pretendían realizar con su autenticación actual. Este problema se solucionó en la versión 1.8.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Cooked (CVE-2024-39681)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2024
    Fecha de última actualización: 10/02/2025
    Cooked es un complemento de recetas para WordPress. El complemento Cooked para WordPress es vulnerable a la Cross-Site Request Forgery (CSRF) en versiones hasta la 1.7.15.4 incluida debido a una validación nonce faltante o incorrecta en el controlador de acciones AJAX. Esta vulnerabilidad podría permitir a un atacante engañar a los usuarios para que realicen una acción que no pretendían realizar con su autenticación actual. Este problema se solucionó en la versión 1.8.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en Cooked (CVE-2024-39682)
    Severidad: MEDIA
    Fecha de publicación: 18/07/2024
    Fecha de última actualización: 10/02/2025
    Cooked es un complemento de recetas para WordPress. El complemento Cooked para WordPress es vulnerable a la inyección de HTML en versiones hasta la 1.7.15.4 incluida debido a una sanitización de entrada y un escape de salida insuficientes. Esta vulnerabilidad permite a atacantes autenticados con acceso de nivel de colaborador y superior inyectar HTML arbitrario en páginas que se mostrarán cada vez que un usuario acceda a una página comprometida. Este problema se solucionó en la versión 1.8.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
  • Vulnerabilidad en complemento Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress (CVE-2024-6703)
    Severidad: MEDIA
    Fecha de publicación: 27/07/2024
    Fecha de última actualización: 10/02/2025
    El complemento Contact Form Plugin by Fluent Forms for Quiz, Survey, and Drag & Drop WP Form Builder para WordPress es vulnerable a Cross Site Scripting almacenado a través de los parámetros 'description' y 'btn_txt' en todas las versiones hasta la 5.1 incluida. .19 debido a una sanitización de la entrada y escape de salida insuficientes. Esto hace posible que los atacantes con permisos de Administrador de formularios y rol de usuario Suscriptor+ inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
  • Vulnerabilidad en KB Support – WordPress Help Desk and Knowledge Base para WordPress (CVE-2024-8548)
    Severidad: ALTA
    Fecha de publicación: 01/10/2024
    Fecha de última actualización: 10/02/2025
    El complemento KB Support – WordPress Help Desk and Knowledge Base para WordPress es vulnerable a modificaciones no autorizadas y pérdida de datos debido a la falta de comprobación de capacidad en varias funciones en todas las versiones hasta la 1.6.6 incluida. Esto permite que atacantes autenticados, con acceso de nivel de suscriptor o superior, realicen múltiples acciones administrativas, como responder a tickets arbitrarios, actualizar el estado de cualquier publicación, eliminar cualquier publicación, agregar notas a tickets, marcar o desmarcar tickets y agregar o eliminar participantes de tickets.
  • Vulnerabilidad en Vulnerabilidad en KB Support – WordPress Help Desk and Knowledge Base para WordPress (CVE-2024-8632) (CVE-2024-8632)
    Severidad: MEDIA
    Fecha de publicación: 01/10/2024
    Fecha de última actualización: 10/02/2025
    El complemento KB Support – WordPress Help Desk y Knowledge Base para WordPress es vulnerable al acceso no autorizado y a la modificación de datos debido a una falta de comprobación de capacidad en las funciones 'kbs_ajax_load_front_end_replies' y 'kbs_ajax_mark_reply_as_read' en todas las versiones hasta la 1.6.6 incluida. Esto permite que atacantes no autenticados lean las respuestas de cualquier ticket y marquen cualquier respuesta como leída.
  • Vulnerabilidad en GLPI (CVE-2024-38370)
    Severidad: MEDIA
    Fecha de publicación: 15/11/2024
    Fecha de última actualización: 10/02/2025
    GLPI es un paquete de software gratuito de gestión de activos y TI. A partir de la versión 9.2.0 y anteriores a la 11.0.0, es posible descargar un documento desde la API sin los derechos correspondientes. Actualice a la versión 10.0.16.
  • Vulnerabilidad en brandtoss WP Mailster (CVE-2024-53803)
    Severidad: MEDIA
    Fecha de publicación: 06/12/2024
    Fecha de última actualización: 10/02/2025
    La vulnerabilidad de autorización faltante en brandtoss WP Mailster permite explotar niveles de seguridad de control de acceso configurados incorrectamente. Este problema afecta a WP Mailster: desde n/a hasta 1.8.16.0.
  • Vulnerabilidad en SourceCodester Online Eyewear Shop 1.0 (CVE-2025-0173)
    Severidad: MEDIA
    Fecha de publicación: 02/01/2025
    Fecha de última actualización: 10/02/2025
    Se encontró una vulnerabilidad en SourceCodester Online Eyewear Shop 1.0 y se clasificó como crítica. Este problema afecta a algunas funciones desconocidas del archivo /orders/view_order.php. La manipulación del argumento id conduce a una inyección SQL. El ataque puede ejecutarse de forma remota. El exploit se ha revelado al público y puede utilizarse.
  • Vulnerabilidad en KB Support KB Support (CVE-2025-24741)
    Severidad: MEDIA
    Fecha de publicación: 27/01/2025
    Fecha de última actualización: 10/02/2025
    Vulnerabilidad de redirección de URL a un sitio no confiable ("Open Redirect") en KB Support KB Support. Este problema afecta a KB Support: desde n/a hasta 1.6.7.
  • Vulnerabilidad en SourceCodester Online Courseware 1.0 (CVE-2025-0800)
    Severidad: MEDIA
    Fecha de publicación: 29/01/2025
    Fecha de última actualización: 10/02/2025
    Se ha encontrado una vulnerabilidad clasificada como problemática en SourceCodester Online Courseware 1.0. Se trata de una función desconocida del archivo /pcci/admin/saveeditt.php del componente Edit Teacher. La manipulación del argumento fname conduce a Cross Site Scripting. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede ser utilizado.
  • Vulnerabilidad en SourceCodester Best Employee Management System 1.0 (CVE-2025-0802)
    Severidad: MEDIA
    Fecha de publicación: 29/01/2025
    Fecha de última actualización: 10/02/2025
    Se ha encontrado una vulnerabilidad clasificada como crítica en SourceCodester Best Employee Management System 1.0. Esta vulnerabilidad afecta a una funcionalidad desconocida del archivo /admin/View_user.php del componente Administrative endpoint. La manipulación conduce a controles de acceso inadecuados. El ataque puede ejecutarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse.