Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en D-Link DIR-823G A1V1.0.2B05 (CVE-2024-27655)
Severidad: ALTA
Fecha de publicación: 29/02/2024
Fecha de última actualización: 21/04/2025
Se descubrió que D-Link DIR-823G A1V1.0.2B05 contenía un desbordamiento del búfer a través del parámetro SOAPACTION. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una entrada manipulada y posiblemente la ejecución remota de código.
Vulnerabilidad en D-Link DIR-823G A1V1.0.2B05 (CVE-2024-27656)
Severidad: ALTA
Fecha de publicación: 29/02/2024
Fecha de última actualización: 21/04/2025
Se descubrió que D-Link DIR-823G A1V1.0.2B05 contenía un desbordamiento del búfer a través del parámetro Cookie. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una entrada manipulada y posiblemente la ejecución remota de código.
Vulnerabilidad en D-Link DIR-823G A1V1.0.2B05 (CVE-2024-27657)
Severidad: ALTA
Fecha de publicación: 29/02/2024
Fecha de última actualización: 21/04/2025
Se descubrió que D-Link DIR-823G A1V1.0.2B05 contenía un desbordamiento del búfer a través del parámetro User-Agent. Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una entrada manipulada y posiblemente la ejecución remota de código.
Vulnerabilidad en D-Link DIR-823G A1V1.0.2B05 (CVE-2024-27658)
Severidad: MEDIA
Fecha de publicación: 29/02/2024
Fecha de última actualización: 21/04/2025
Se descubrió que D-Link DIR-823G A1V1.0.2B05 contenía desreferencias de puntero nulo en sub_4484A8(). Esta vulnerabilidad permite a los atacantes provocar una denegación de servicio (DoS) mediante una entrada manipulada.
Vulnerabilidad en ZZCMS v2023 (CVE-2024-43005)
Severidad: MEDIA
Fecha de publicación: 16/08/2024
Fecha de última actualización: 21/04/2025
Una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el componente dl_liuyan_save.php de ZZCMS v2023 permite a los atacantes ejecutar código arbitrario en el contexto del navegador de un usuario mediante la inyección de un payload manipulado.
Vulnerabilidad en ZZCMS2023 (CVE-2024-43006)
Severidad: MEDIA
Fecha de publicación: 16/08/2024
Fecha de última actualización: 21/04/2025
Existe una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en ZZCMS2023 en el archivo Ask/show.php en la línea 21. Un atacante puede explotar esta vulnerabilidad enviando una solicitud POST especialmente manipulada a /user/ask_edit.php?action=add. que incluye código JavaScript malicioso en el parámetro 'contenido'. Cuando un usuario visita la página Ask/show_{newsid}.html, el script inyectado se ejecuta en el contexto del navegador del usuario, lo que genera un posible robo de cookies, tokens de sesión u otra información confidencial.
Vulnerabilidad en ZZCMS 2023 (CVE-2024-43009)
Severidad: MEDIA
Fecha de publicación: 16/08/2024
Fecha de última actualización: 21/04/2025
Existe una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en user/login.php en la línea 24 en ZZCMS 2023 y versiones anteriores. La aplicación inserta directamente el valor del encabezado HTTP_REFERER en la respuesta HTML sin una desinfección adecuada. Un atacante puede aprovechar esta vulnerabilidad engañando a un usuario para que visite una URL especialmente manipulada, que incluye un encabezado Referer malicioso. Esto puede llevar a la ejecución de código JavaScript arbitrario en el contexto del navegador de la víctima, lo que podría resultar en secuestro de sesión, alteración u otras actividades maliciosas.
Vulnerabilidad en ZZCMS 2023 (CVE-2024-43011)
Severidad: MEDIA
Fecha de publicación: 16/08/2024
Fecha de última actualización: 21/04/2025
Existe una vulnerabilidad de eliminación arbitraria de archivos en el archivo admin/del.php en la línea 62 en ZZCMS 2023 y versiones anteriores. Debido a una validación y desinfección insuficientes de la entrada del usuario para las rutas de los archivos, un atacante puede aprovechar esta vulnerabilidad utilizando técnicas de recorrido de directorio para eliminar archivos arbitrarios en el servidor. Esto puede provocar la eliminación de archivos críticos, lo que podría alterar el funcionamiento normal del sistema.
Vulnerabilidad en Pligg CMS v2.0.2 (CVE-2024-42612)
Severidad: ALTA
Fecha de publicación: 20/08/2024
Fecha de última actualización: 21/04/2025
Se descubrió que Pligg CMS v2.0.2 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/domain_management.php?whitelist_add
Vulnerabilidad en Pligg CMS v2.0.2 (CVE-2024-42619)
Severidad: ALTA
Fecha de publicación: 20/08/2024
Fecha de última actualización: 21/04/2025
Se descubrió que Pligg CMS v2.0.2 contiene una vulnerabilidad de Cross-Site Request Forgery (CSRF) a través de /admin/domain_management.php?id=0&list=whitelist&remove=pligg.com
Vulnerabilidad en publiccms V4.0.202302.e (CVE-2024-42523)
Severidad: ALTA
Fecha de publicación: 23/08/2024
Fecha de última actualización: 21/04/2025
publiccms V4.0.202302.e y anteriores es vulnerable a cualquier carga de archivos a través de publiccms/admin/cmsTemplate/saveMetaData
Vulnerabilidad en ArrowCMS (CVE-2024-42914)
Severidad: CRÍTICA
Fecha de publicación: 23/08/2024
Fecha de última actualización: 21/04/2025
Existe una vulnerabilidad de inyección de encabezado de host en la funcionalidad de contraseña olvidada de ArrowCMS versión 1.0.0. Al enviar un encabezado de host especialmente manipulado en la solicitud de contraseña olvidada, es posible enviar enlaces de restablecimiento de contraseña a los usuarios que, una vez que se hace clic, conducen a un servidor controlado por el atacante y, por lo tanto, filtran el token de restablecimiento de contraseña. Esto puede permitir que un atacante restablezca las contraseñas de otros usuarios.
Vulnerabilidad en Automad 2.0.0-alpha.4 (CVE-2024-40111)
Severidad: MEDIA
Fecha de publicación: 23/08/2024
Fecha de última actualización: 21/04/2025
Se ha identificado una vulnerabilidad de cross site scripting (XSS) persistente (almacenado) en Automad 2.0.0-alpha.4. Esta vulnerabilidad permite a un atacante inyectar código JavaScript malicioso en el cuerpo de la plantilla. El código inyectado se almacena dentro del archivo plano CMS y se ejecuta en el navegador de cualquier usuario que visite el foro.
Vulnerabilidad en Elementor Website Builder – More than Just a Page Builder para WordPress (CVE-2024-8236)
Severidad: MEDIA
Fecha de publicación: 26/11/2024
Fecha de última actualización: 21/04/2025
El complemento Elementor Website Builder – More than Just a Page Builder para WordPress es vulnerable a cross-site scripting almacenada a través del parámetro 'url' del widget de ícono en todas las versiones hasta la 3.25.7 incluida, debido a una desinfección de entrada y un escape de salida insuficientes. Esto permite que atacantes autenticados, con acceso de nivel de colaborador y superior, inyecten secuencias de comandos web arbitrarias en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada.
Vulnerabilidad en Autolab (CVE-2024-53260)
Severidad: MEDIA
Fecha de publicación: 27/11/2024
Fecha de última actualización: 21/04/2025
Autolab es un servicio de gestión de cursos que permite la calificación automática de tareas de programación. Un usuario puede modificar su nombre y apellido para incluir una fórmula válida de Excel o de una hoja de cálculo. Cuando un instructor descarga la lista de su curso y la abre, este nombre se evaluará como una fórmula. Esto podría provocar una fuga de información de los estudiantes en la lista del curso al enviar los datos a un punto final remoto. Este problema se ha corregido en el repositorio de código fuente y se espera que la solución se publique en la próxima versión. Se recomienda a los usuarios que apliquen manualmente el parche a sus sistemas o que esperen a la próxima versión. No se conocen workarounds para esta vulnerabilidad.
Vulnerabilidad en ZZCMS 2023 (CVE-2024-52724)
Severidad: CRÍTICA
Fecha de publicación: 02/12/2024
Fecha de última actualización: 21/04/2025
Se descubrió que ZZCMS 2023 contiene una vulnerabilidad de inyección SQL en /q/show.php.
Vulnerabilidad en HCL DevOps Deploy / HCL Launch (CVE-2024-42195)
Severidad: BAJA
Fecha de publicación: 05/12/2024
Fecha de última actualización: 21/04/2025
HCL DevOps Deploy / HCL Launch es vulnerable a la inyección de HTML. Esta vulnerabilidad puede permitir que un usuario incorpore etiquetas HTML arbitrarias en la interfaz de usuario web, lo que podría provocar la divulgación de información confidencial.
Vulnerabilidad en Piranha CMS 11.1 (CVE-2024-55341)
Severidad: MEDIA
Fecha de publicación: 20/12/2024
Fecha de última actualización: 21/04/2025
Una vulnerabilidad de cross-site scripting (XSS) almacenado en Piranha CMS 11.1 permite a atacantes remotos ejecutar JavaScript arbitrario en el navegador web de un usuario, creando una página a través de /manager/pages y luego agregando un contenido Markdown con el payload XSS.
Vulnerabilidad en Theora (CVE-2024-56431)
Severidad: CRÍTICA
Fecha de publicación: 25/12/2024
Fecha de última actualización: 21/04/2025
oc_huff_tree_unpack en huffdec.c en libtheora en Theora hasta 1.0 7180717 tiene un desplazamiento negativo a la izquierda no válido.
Vulnerabilidad en TCPDF (CVE-2024-56519)
Severidad: ALTA
Fecha de publicación: 27/12/2024
Fecha de última actualización: 21/04/2025
Se descubrió un problema en TCPDF anterior a 6.8.0. setSVGStyles no desinfecta el atributo font-family SVG.
Vulnerabilidad en TCPDF (CVE-2024-56521)
Severidad: CRÍTICA
Fecha de publicación: 27/12/2024
Fecha de última actualización: 21/04/2025
Se descubrió un problema en TCPDF antes de la versión 6.8.0. Si se utiliza libcurl, CURLOPT_SSL_VERIFYHOST y CURLOPT_SSL_VERIFYPEER se configuran de forma no segura.
Vulnerabilidad en SmartAgent v1.1.0 (CVE-2024-50713)
Severidad: CRÍTICA
Fecha de publicación: 27/12/2024
Fecha de última actualización: 21/04/2025
Se descubrió que SmartAgent v1.1.0 contenía una vulnerabilidad de inyección SQL a través del parámetro id en /tests/interface.php.
Vulnerabilidad en Smart Agent v.1.1.0 (CVE-2024-50715)
Severidad: ALTA
Fecha de publicación: 27/12/2024
Fecha de última actualización: 21/04/2025
Un problema en Smart Agent v.1.1.0 de smarts-srl.com permite a un atacante remoto obtener información confidencial mediante la inyección de comandos mediante un parámetro no higienizado vulnerable definido en el componente /youtubeInfo.php.
Vulnerabilidad en Smart Agent v.1.1.0 (CVE-2024-50716)
Severidad: CRÍTICA
Fecha de publicación: 27/12/2024
Fecha de última actualización: 21/04/2025
La vulnerabilidad de inyección SQL en Smart Agent v.1.1.0 permite a un atacante remoto ejecutar código arbitrario a través del parámetro id en el componente /sendPushManually.php.
Vulnerabilidad en Dcat Admin v2.2.0-beta (CVE-2024-54774)
Severidad: MEDIA
Fecha de publicación: 27/12/2024
Fecha de última actualización: 21/04/2025
Dcat Admin v2.2.0-beta contiene una vulnerabilidad de cross-site scripting (XSS) en /admin/articles/create.
Vulnerabilidad en prepare_to_draw_into_mask de SkBlurMaskFilterImpl.cpp (CVE-2024-43767)
Severidad: ALTA
Fecha de publicación: 03/01/2025
Fecha de última actualización: 21/04/2025
En prepare_to_draw_into_mask de SkBlurMaskFilterImpl.cpp, existe un posible desbordamiento de pila debido a una validación de entrada incorrecta. Esto podría provocar la ejecución remota de código sin necesidad de privilegios de ejecución adicionales. No se necesita la interacción del usuario para la explotación.
Vulnerabilidad en skia_alloc_func de SkDeflate.cpp (CVE-2024-43768)
Severidad: ALTA
Fecha de publicación: 03/01/2025
Fecha de última actualización: 21/04/2025
En skia_alloc_func de SkDeflate.cpp, existe una posible escritura fuera de los límites debido a un desbordamiento de enteros. Esto podría provocar una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. No se necesita interacción del usuario para la explotación.
Vulnerabilidad en isPackageDeviceAdmin de PackageManagerService.java (CVE-2024-43769)
Severidad: ALTA
Fecha de publicación: 03/01/2025
Fecha de última actualización: 21/04/2025
En isPackageDeviceAdmin de PackageManagerService.java, existe un posible caso extremo que podría impedir la desinstalación de CloudDpc debido a un error lógico en el código. Esto podría provocar una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales. No se necesita interacción del usuario para la explotación.
Vulnerabilidad en PhpSpreadsheet (CVE-2024-56365)
Severidad: ALTA
Fecha de publicación: 03/01/2025
Fecha de última actualización: 21/04/2025
PhpSpreadsheet es una librería PHP para leer y escribir archivos de hojas de cálculo. Las versiones anteriores a 3.7.0, 2.3.5, 2.1.6 y 1.29.7 son vulnerables a ataques de cross site scripting no autorizado reflejado en el constructor de la clase `Downloader`. Mediante el script `/vendor/phpoffice/phpspreadsheet/samples/download.php`, un atacante puede realizar un ataque de cross site scripting. Las versiones 3.7.0, 2.3.5, 2.1.6 y 1.29.7 contienen un parche para el problema.
Vulnerabilidad en PhpSpreadsheet (CVE-2024-56366)
Severidad: ALTA
Fecha de publicación: 03/01/2025
Fecha de última actualización: 21/04/2025
PhpSpreadsheet es una librería PHP para leer y escribir archivos de hojas de cálculo. Las versiones anteriores a 3.7.0, 2.3.5, 2.1.6 y 1.29.7 son vulnerables a ataques de cross site scripting no autorizado reflejado en el archivo `Accounting.php`. Mediante el script `/vendor/phpoffice/phpspreadsheet/samples/Wizards/NumberFormat/Accounting.php`, un atacante puede realizar un ataque de cross site scripting. Las versiones 3.7.0, 2.3.5, 2.1.6 y 1.29.7 contienen un parche para el problema.
Vulnerabilidad en PhpSpreadsheet (CVE-2024-56408)
Severidad: ALTA
Fecha de publicación: 03/01/2025
Fecha de última actualización: 21/04/2025
PhpSpreadsheet es una librería PHP para leer y escribir archivos de hojas de cálculo. Las versiones anteriores a 3.7.0, 2.3.5, 2.1.6 y 1.29.7 no tienen ningún tipo de desinfección en el archivo `/vendor/phpoffice/phpspreadsheet/samples/Engineering/Convert-Online.php`, lo que genera la posibilidad de un ataque de cross site scripting. Las versiones 3.7.0, 2.3.5, 2.1.6 y 1.29.7 contienen un parche para el problema.
Vulnerabilidad en PhpSpreadsheet (CVE-2024-56409)
Severidad: ALTA
Fecha de publicación: 03/01/2025
Fecha de última actualización: 21/04/2025
PhpSpreadsheet es una librería PHP para leer y escribir archivos de hojas de cálculo. Las versiones anteriores a 3.7.0, 2.3.5, 2.1.6 y 1.29.7 son vulnerables a ataques de cross site scripting no autorizado reflejado en el archivo `Currency.php`. Mediante el script `/vendor/phpoffice/phpspreadsheet/samples/Wizards/NumberFormat/Currency.php`, un atacante puede realizar un ataque de cross site scripting. Las versiones 3.7.0, 2.3.5, 2.1.6 y 1.29.7 contienen un parche para el problema.
Vulnerabilidad en Modem (CVE-2024-20151)
Severidad: MEDIA
Fecha de publicación: 06/01/2025
Fecha de última actualización: 21/04/2025
En Modem, es posible que se produzca una escritura fuera de los límites debido a una comprobación incorrecta de los límites. Esto podría provocar una escalada local de privilegios si un actor malintencionado ya ha obtenido el privilegio del sistema. No se necesita la interacción del usuario para la explotación. ID de parche: MOLY01399339; ID de problema: MSV-1928.
Vulnerabilidad en wlan STA driver (CVE-2024-20152)
Severidad: MEDIA
Fecha de publicación: 06/01/2025
Fecha de última actualización: 21/04/2025
En wlan STA driver, existe una posible aserción alcanzable debido a una gestión inadecuada de excepciones. Esto podría provocar una denegación de servicio local si un actor malintencionado ya obtuvo el privilegio de System. No se necesita la interacción del usuario para la explotación. ID de parche: WCNCR00389047 / ALPS09136505; ID de problema: MSV-1798.
Vulnerabilidad en ChestnutCMS (CVE-2024-56828)
Severidad: CRÍTICA
Fecha de publicación: 06/01/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad de carga de archivos en ChestnutCMS hasta la versión 1.5.0. Según el análisis del código, se determinó que el endpoint de la API /api/member/avatar recibe una cadena base64 como entrada. Esta cadena se pasa luego al método memberService.uploadAvatarByBase64 para su procesamiento. Dentro del servicio, se analiza la imagen codificada en base64. Por ejemplo, dada una cadena como: data:image/html;base64,PGh0bWw+PGltZyBzcmM9eCBvbmVycm9yPWFsZXJ0KDEpPjwvaHRtbD4= el contenido después de la coma se extrae y se decodifica utilizando Base64.getDecoder().decode(). La subcadena desde el undécimo carácter hasta la primera aparición de un punto y coma (;) se asigna a la variable de sufijo (que representa la extensión del archivo). Luego, el contenido decodificado se escribe en un archivo. Sin embargo, la extensión del archivo no está validada y, dado que esta funcionalidad está expuesta al frontend, plantea riesgos de seguridad importantes.
Vulnerabilidad en Aklamator INfeed para WordPress (CVE-2024-12717)
Severidad: MEDIA
Fecha de publicación: 09/01/2025
Fecha de última actualización: 21/04/2025
El complemento Aklamator INfeed para WordPress hasta la versión 2.0.0 no desinfecta ni escapa a algunas de sus configuraciones, lo que podría permitir que usuarios con privilegios elevados como el administrador realicen ataques de Cross-Site Scripting almacenado incluso cuando la capacidad unfiltered_html no está permitida (por ejemplo, en una configuración de varios sitios).
Vulnerabilidad en Aklamator INfeed para WordPress (CVE-2024-12731)
Severidad: MEDIA
Fecha de publicación: 09/01/2025
Fecha de última actualización: 21/04/2025
El complemento Aklamator INfeed para WordPress hasta la versión 2.0.0 no desinfecta ni escapa un parámetro antes de mostrarlo nuevamente en la página, lo que genera un error de Cross-Site Scripting reflejado que podría usarse contra usuarios con privilegios elevados, como el administrador.
Vulnerabilidad en iceCMS v2.2.0 (CVE-2025-22983)
Severidad: ALTA
Fecha de publicación: 14/01/2025
Fecha de última actualización: 21/04/2025
Un problema de control de acceso en el componente /square/getAllSquare/circle de iceCMS v2.2.0 permite a atacantes no autenticados acceder a información confidencial.
Vulnerabilidad en JeeWMS (CVE-2024-57760)
Severidad: MEDIA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
Se descubrió que JeeWMS anterior a v2025.01.01 contenía una vulnerabilidad de inyección SQL a través del parámetro ReportId en /core/CGReportDao.java.
Vulnerabilidad en Google Chrome (CVE-2025-0434)
Severidad: ALTA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
El acceso a la memoria fuera de los límites en la versión 8 de Google Chrome anterior a la versión 132.0.6834.83 permitió que un atacante remoto explotara potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: alta)
Vulnerabilidad en Google Chrome (CVE-2025-0435)
Severidad: MEDIA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
Una implementación inadecuada en la navegación en Google Chrome en Android anterior a la versión 132.0.6834.83 permitió que un atacante remoto suplantara la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: alta)
Vulnerabilidad en Google Chrome (CVE-2025-0436)
Severidad: ALTA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
Un desbordamiento de enteros en Skia en Google Chrome anterior a la versión 132.0.6834.83 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)
Vulnerabilidad en Google Chrome (CVE-2025-0438)
Severidad: ALTA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
El desbordamiento del búfer de pila en el rastreo de Google Chrome anterior a la versión 132.0.6834.83 permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: alta)
Vulnerabilidad en Google Chrome (CVE-2025-0439)
Severidad: MEDIA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
Race in Frames en Google Chrome anterior a la versión 132.0.6834.83 permitía que un atacante remoto que convencía a un usuario para que realizara gestos específicos de la interfaz de usuario realizara una suplantación de la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Vulnerabilidad en Google Chrome (CVE-2025-0440)
Severidad: MEDIA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
Una implementación inadecuada en Pantalla completa en Google Chrome en Windows anterior a la versión 132.0.6834.83 permitió que un atacante remoto suplantara la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Vulnerabilidad en Google Chrome (CVE-2025-0441)
Severidad: MEDIA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
Una implementación inadecuada de Fenced Frames en Google Chrome anterior a la versión 132.0.6834.83 permitió que un atacante remoto obtuviera información potencialmente confidencial del sistema a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Vulnerabilidad en Google Chrome (CVE-2025-0442)
Severidad: MEDIA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
Una implementación inadecuada en Pagos en Google Chrome anterior a la versión 132.0.6834.83 permitió que un atacante remoto convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario para realizar una suplantación de la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Vulnerabilidad en Google Chrome (CVE-2025-0443)
Severidad: ALTA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
La validación de datos insuficiente en las extensiones de Google Chrome anteriores a la versión 132.0.6834.83 permitió que un atacante remoto convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario para realizar una escalada de privilegios a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: media)
Vulnerabilidad en Google Chrome (CVE-2025-0446)
Severidad: MEDIA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
Una implementación inadecuada en las extensiones de Google Chrome anteriores a la versión 132.0.6834.83 permitió que un atacante remoto que convenciera a un usuario para que realizara gestos específicos de la interfaz de usuario realizara una suplantación de la interfaz de usuario a través de una extensión de Chrome manipulada. (Gravedad de seguridad de Chromium: baja)
Vulnerabilidad en Google Chrome (CVE-2025-0447)
Severidad: ALTA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
Una implementación inadecuada en Navigation en Google Chrome anterior a la versión 132.0.6834.83 permitió que un atacante remoto realizara una escalada de privilegios a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: baja)
Vulnerabilidad en Google Chrome (CVE-2025-0448)
Severidad: MEDIA
Fecha de publicación: 15/01/2025
Fecha de última actualización: 21/04/2025
Una implementación inadecuada en la composición de Google Chrome anterior a la versión 132.0.6834.83 permitió que un atacante remoto suplantara la interfaz de usuario a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: baja)
Vulnerabilidad en Google Chrome (CVE-2025-0762)
Severidad: ALTA
Fecha de publicación: 29/01/2025
Fecha de última actualización: 21/04/2025
Use after free en DevTools en Google Chrome anterior a la versión 132.0.6834.159 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una extensión de Chrome manipulado. (Gravedad de seguridad de Chromium: media)
Vulnerabilidad en Google Chrome (CVE-2025-3071)
Severidad: MEDIA
Fecha de publicación: 02/04/2025
Fecha de última actualización: 21/04/2025
Una implementación inadecuada en las Navegaciones de Google Chrome anterior a la versión 135.0.7049.52 permitía que un atacante remoto, al convencer a un usuario para que realizara gestos específicos de la interfaz de usuario, eludiera la política del mismo origen mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
Vulnerabilidad en Google Chrome (CVE-2025-3072)
Severidad: MEDIA
Fecha de publicación: 02/04/2025
Fecha de última actualización: 21/04/2025
Una implementación incorrecta en las pestañas personalizadas de Google Chrome anterior a la versión 135.0.7049.52 permitía que un atacante remoto, al convencer a un usuario para que realizara gestos específicos de la interfaz de usuario, realizara una suplantación de la misma mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
Vulnerabilidad en Google Chrome (CVE-2025-3073)
Severidad: MEDIA
Fecha de publicación: 02/04/2025
Fecha de última actualización: 21/04/2025
Una implementación incorrecta del autocompletado en Google Chrome anterior a la versión 135.0.7049.52 permitía que un atacante remoto, al convencer a un usuario para que realizara gestos específicos de la interfaz de usuario, realizara una suplantación de la misma mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
Vulnerabilidad en Google Chrome (CVE-2025-3074)
Severidad: MEDIA
Fecha de publicación: 02/04/2025
Fecha de última actualización: 21/04/2025
Una implementación incorrecta en Descargas de Google Chrome anterior a la versión 135.0.7049.52 permitía a un atacante remoto suplantar la interfaz de usuario mediante una página HTML manipulada. (Gravedad de seguridad de Chromium: Baja)
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30705)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: PS). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Connectors de Oracle MySQL (CVE-2025-30706)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Connectors de Oracle MySQL (componente: Connector/J). Las versiones compatibles afectadas son 9.0.0-9.2.0. Esta vulnerabilidad, difícil de explotar, permite a un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometer MySQL Connectors. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de MySQL Connectors. Puntuación base de CVSS 3.1: 7,5 (impactos en confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30715)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Components Services). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle Common Applications de Oracle E-Business Suite (CVE-2025-30716)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en Oracle Common Applications de Oracle E-Business Suite (componente: CRM User Management Framework). Las versiones compatibles afectadas son la 12.2.3-12.2.14. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red vía HTTP comprometer Oracle Common Applications. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o en el acceso completo a todos los datos accesibles de Oracle Common Applications. Puntuación base de CVSS 3.1: 7.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle Configurator de Oracle E-Business Suite (CVE-2025-30728)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en Oracle Configurator de Oracle E-Business Suite (componente: Core). Las versiones compatibles afectadas son 12.2.3-12.2.14. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red vía HTTP comprometer Oracle Configurator. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Configurator. Puntuación base de CVSS 3.1: 7.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en RAS de Oracle Database Server (CVE-2025-30701)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el componente de seguridad RAS de Oracle Database Server. Las versiones compatibles afectadas son 19.3-19.26, 21.3-21.17 y 23.4-23.7. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios bajos, con privilegios de cuenta de usuario y acceso a la red a través de Oracle Net, comprometer la seguridad RAS. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de seguridad RAS, así como en el acceso no autorizado a datos críticos o al acceso completo a todos los datos accesibles de seguridad RAS. Puntuación base CVSS 3.1: 7.3 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30703)
Severidad: BAJA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques con éxito pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de MySQL Server. Puntuación base de CVSS 3.1: 2.7 (Afecta a la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30704)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Components Services). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, difícil de explotar, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.4 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle Applications Technology Stack de Oracle E-Business Suite (CVE-2025-30731)
Severidad: BAJA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto Oracle Applications Technology Stack de Oracle E-Business Suite (componente: Configuración). Las versiones compatibles afectadas son 12.2.3-12.2.14. Esta vulnerabilidad, difícil de explotar, permite que un atacante no autenticado con acceso a la infraestructura donde se ejecuta Oracle Applications Technology Stack lo comprometa. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado para actualizaciones, inserciones o eliminaciones de algunos datos accesibles de Oracle Applications Technology Stack, así como acceso no autorizado para lecturas a un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 3.6 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N).
Vulnerabilidad en Oracle Application Object Library de Oracle E-Business Suite (CVE-2025-30732)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en Oracle Application Object Library de Oracle E-Business Suite (componente principal). Las versiones compatibles afectadas son la 12.2.3 a la 12.2.14. Esta vulnerabilidad, fácilmente explotable, permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle Application Object Library. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad se encuentra en Oracle Application Object Library, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a actualizaciones, inserciones o eliminaciones de algunos datos accesibles de Oracle Application Object Library, así como acceso no autorizado a lecturas de un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 6.1 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en RDBMS Listener de Oracle Database Server (CVE-2025-30733)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el componente RDBMS Listener de Oracle Database Server. Las versiones compatibles afectadas son 19.3-19.26, 21.3-21.17 y 23.4-23.7. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red a través de Oracle Net comprometer el componente RDBMS Listener. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o en el acceso completo a todos los datos accesibles del componente RDBMS Listener. Puntuación base de CVSS 3.1: 6.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N).
Vulnerabilidad en PeopleSoft Enterprise CC Common Application Objects de Oracle PeopleSoft (CVE-2025-30735)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto PeopleSoft Enterprise CC Common Application Objects de Oracle PeopleSoft (componente: Configuración de Páginas y Campos). La versión compatible afectada es la 9.2. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios reducidos y acceso a la red vía HTTP comprometer los PeopleSoft Enterprise CC Common Application Objects. Los ataques con éxito pueden resultar en la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de PeopleSoft Enterprise CC Common Application Objects, así como en el acceso no autorizado a datos críticos o a todos los datos accesibles de PeopleSoft Enterprise CC Common Application Objects. Puntuación base de CVSS 3.1: 8.1 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Java VM de Oracle Database Server (CVE-2025-30736)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el componente Java VM de Oracle Database Server. Las versiones compatibles afectadas son 19.3-19.26, 21.3-21.17 y 23.4-23.7. Esta vulnerabilidad, difícil de explotar, permite a un atacante no autenticado con acceso a la red a través de múltiples protocolos comprometer Java VM. Los ataques con éxito pueden resultar en la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Java VM, así como en el acceso no autorizado a datos críticos o a todos los datos accesibles de Java VM. Puntuación base de CVSS 3.1: 7.4 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en JD Edwards EnterpriseOne Tools de Oracle JD Edwards (CVE-2025-30740)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto JD Edwards EnterpriseOne Tools de Oracle JD Edwards (componente: Web Runtime SEC). Las versiones compatibles afectadas son 9.2.0.0-9.2.9.2. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometer JD Edwards EnterpriseOne Tools. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o en el acceso completo a todos los datos accesibles de JD Edwards EnterpriseOne Tools. Puntuación base de CVSS 3.1: 6.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30685)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle Hospitality Simphony de Oracle Food and Beverage Applications (CVE-2025-30686)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto Oracle Hospitality Simphony de Oracle Food and Beverage Applications (componente: EMC). Las versiones compatibles afectadas son la 19.1-19.7. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometer Oracle Hospitality Simphony. Los ataques exitosos a esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Hospitality Simphony, así como en actualizaciones, inserciones o eliminaciones no autorizadas de algunos de los datos accesibles de Oracle Hospitality Simphony y la posibilidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de Oracle Hospitality Simphony. Puntuación base de CVSS 3.1: 7.6 (impactos en confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30687)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 6.5 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30688)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 6.5 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30689)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle Solaris de Oracle Systems (CVE-2025-30690)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en Oracle Solaris de Oracle Systems (componente: Sistema de archivos). La versión compatible afectada es la 11. Esta vulnerabilidad, difícil de explotar, permite que un atacante con privilegios elevados, con acceso a la infraestructura donde se ejecuta Oracle Solaris, comprometa Oracle Solaris. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad se encuentra en Oracle Solaris, pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle Solaris. Puntuación base de CVSS 3.1: 7.2 (impactos en confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:H).
Vulnerabilidad en Oracle iSupplier Portal de Oracle E-Business Suite (CVE-2025-30692)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto Oracle iSupplier Portal de Oracle E-Business Suite (componente: Adjuntos). Las versiones compatibles afectadas son 12.2.7-12.2.14. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer Oracle iSupplier Portal. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o en el acceso completo a todos los datos accesibles de Oracle iSupplier Portal. Puntuación base de CVSS 3.1: 6.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30693)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques con éxito pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server, así como actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de MySQL Server. Puntuación base de CVSS 3.1: 5.5 (Afecta a la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30696)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: PS). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle Applications Framework de Oracle E-Business Suite (CVE-2025-30711)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en Oracle Applications Framework de Oracle E-Business Suite (componente: Adjuntos, Carga de archivos). Las versiones compatibles afectadas son 12.2.3-12.2.14. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometer Oracle Applications Framework. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad se encuentra en Oracle Applications Framework, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de Oracle Applications Framework, así como en accesos de lectura no autorizados a un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 5.4 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2025-30712)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). La versión compatible afectada es la 7.1.6. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados, con acceso a la infraestructura donde se ejecuta Oracle VM VirtualBox, comprometer Oracle VM VirtualBox. Si bien la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos críticos o de todos los datos accesibles de Oracle VM VirtualBox, así como en el acceso no autorizado a datos críticos o a todos los datos accesibles de Oracle VM VirtualBox, y en la posibilidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de Oracle VM VirtualBox. Puntuación base de CVSS 3.1: 8.1 (Afecta a la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L).
Vulnerabilidad en PeopleSoft Enterprise HCM Talent Acquisition Manager de Oracle PeopleSoft (CVE-2025-30713)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en PeopleSoft Enterprise HCM Talent Acquisition Manager de Oracle PeopleSoft (componente: Oferta de empleo). La versión compatible afectada es la 9.2. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer PeopleSoft Enterprise HCM Talent Acquisition Manager. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad se encuentra en PeopleSoft Enterprise HCM Talent Acquisition Manager, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de PeopleSoft Enterprise HCM Talent Acquisition Manager, así como en accesos de lectura no autorizados a un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 5,4 (impactos en la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en MySQL Connectors de Oracle MySQL (CVE-2025-30714)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Connectors de Oracle MySQL (componente: Connector/Python). Las versiones compatibles afectadas son 9.0.0-9.2.0. Esta vulnerabilidad, difícil de explotar, permite a un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometer MySQL Connectors. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o el acceso completo a todos los datos accesibles de MySQL Connectors. Puntuación base de CVSS 3.1: 4.8 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle BI Publisher de Oracle Analytics (CVE-2025-30724)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en Oracle BI Publisher de Oracle Analytics (componente: Servicios XML). Las versiones compatibles afectadas son 7.6.0.0.0 y 12.2.1.4.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red vía HTTP comprometer Oracle BI Publisher. Los ataques con éxito pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle BI Publisher. Puntuación base de CVSS 3.1: 7.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle VM VirtualBox de Oracle Virtualization (CVE-2025-30725)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). La versión compatible afectada es la 7.1.6. Esta vulnerabilidad, difícil de explotar, permite a un atacante con privilegios elevados iniciar sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer Oracle VM VirtualBox. Si bien la vulnerabilidad se encuentra en Oracle VM VirtualBox, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo de Oracle VM VirtualBox, así como actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de Oracle VM VirtualBox y accesos de lectura no autorizados a un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 6.7 (Afecta a la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:H).
Vulnerabilidad en Oracle Application Object Library de Oracle E-Business Suite (CVE-2025-30726)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto Oracle Application Object Library de Oracle E-Business Suite (componente: Core). Las versiones compatibles afectadas son 12.2.3-12.2.14. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red vía HTTP comprometer Oracle Application Object Library. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Application Object Library. Puntuación base de CVSS 3.1: 5.3 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30684)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30683)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-21584)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DDL). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-21585)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30682)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con pocos privilegios y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 6.5 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en XML Database de Oracle Database Server (CVE-2025-30694)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el componente XML Database de Oracle Database Server. Las versiones compatibles afectadas son 19.3-19.26, 21.3-21.17 y 23.4-23.7. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios bajos, con privilegios de cuenta de usuario y acceso a la red a través de HTTP, comprometer XML Database. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad se encuentra en XML Database, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de XML Database, así como en accesos de lectura no autorizados a un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 5.4 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30695)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques con éxito pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server, así como actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de MySQL Server. Puntuación base de CVSS 3.1: 5.5 (Afecta a la integridad y la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H).
Vulnerabilidad en PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2025-30697)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Panel Processor). Las versiones compatibles afectadas son las 8.60, 8.61 y 8.62. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con pocos privilegios y acceso a la red a través de HTTP comprometer PeopleSoft Enterprise PeopleTools. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad afecta a PeopleSoft Enterprise PeopleTools, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de PeopleSoft Enterprise PeopleTools, así como en accesos de lectura no autorizados a un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 5.4 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2025-30699)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Procedimiento Almacenado). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Server. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle Solaris de Oracle Systems (CVE-2025-30700)
Severidad: BAJA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Módulo de autenticación conectable). La versión compatible afectada es la 11. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios reducidos y acceso a la red a través de HTTP comprometer Oracle Solaris. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Solaris. Puntuación base de CVSS 3.1: 3.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N).
Vulnerabilidad en Oracle iStore de Oracle E-Business Suite (CVE-2025-30707)
Severidad: ALTA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en Oracle iStore de Oracle E-Business Suite (componente: Gestión de Usuarios). Las versiones compatibles afectadas son 12.2.3-12.2.14. Esta vulnerabilidad, fácilmente explotable, permite a un atacante no autenticado con acceso a la red vía HTTP comprometer Oracle iStore. Los ataques exitosos de esta vulnerabilidad pueden resultar en acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle iStore. Puntuación base de CVSS 3.1: 7.5 (Afecta a la confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en JD Edwards EnterpriseOne Tools de Oracle JD Edwards (CVE-2025-30709)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto JD Edwards EnterpriseOne Tools de Oracle JD Edwards (componente: Web Runtime SEC). Las versiones compatibles afectadas son 9.2.0.0-9.2.9.2. Esta vulnerabilidad, fácilmente explotable, permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa JD Edwards EnterpriseOne Tools. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad se encuentra en JD Edwards EnterpriseOne Tools, los ataques pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de JD Edwards EnterpriseOne Tools, así como en accesos de lectura no autorizados a un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 6.1 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en MySQL Cluster de Oracle MySQL (CVE-2025-30710)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: NDBCluster Plugin). Las versiones compatibles afectadas son 8.0.0-8.0.41, 8.4.0-8.4.4 y 9.0.0-9.2.0. Esta vulnerabilidad, fácilmente explotable, permite a un atacante con privilegios elevados y acceso a la red a través de múltiples protocolos comprometer MySQL Cluster. Los ataques exitosos a esta vulnerabilidad pueden provocar un bloqueo o un fallo repetitivo (DOS completo) de MySQL Cluster. Puntuación base de CVSS 3.1: 4.9 (Afecta a la disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Oracle CRM Technical Foundation de Oracle E-Business Suite (CVE-2025-21582)
Severidad: MEDIA
Fecha de publicación: 15/04/2025
Fecha de última actualización: 21/04/2025
Vulnerabilidad en Oracle CRM Technical Foundation de Oracle E-Business Suite (componente: Preferencias). Las versiones compatibles afectadas son la 12.2.3-12.2.14. Esta vulnerabilidad, fácilmente explotable, permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa Oracle CRM Technical Foundation. Los ataques exitosos requieren la interacción humana de una persona distinta al atacante y, si bien la vulnerabilidad afecta a Oracle CRM Technical Foundation, pueden afectar significativamente a otros productos (cambio de alcance). Los ataques exitosos de esta vulnerabilidad pueden resultar en actualizaciones, inserciones o eliminaciones no autorizadas de algunos datos accesibles de Oracle CRM Technical Foundation, así como en accesos de lectura no autorizados a un subconjunto de dichos datos. Puntuación base de CVSS 3.1: 6.1 (Afecta a la confidencialidad y la integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en SourceCodester Company Website CMS 1.0 (CVE-2025-29710)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 21/04/2025
SourceCodester Company Website CMS 1.0 es vulnerable a Cross Site Scripting (XSS) a través de /dashboard/Services.
Vulnerabilidad en dlink DIR 832x 240802 (CVE-2025-29040)
Severidad: CRÍTICA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 21/04/2025
Un problema en dlink DIR 832x 240802 permite que un atacante remoto ejecute código arbitrario a través del valor de la clave target_addr y la función 0x41737c
Vulnerabilidad en dlink DIR 832x 240802 (CVE-2025-29041)
Severidad: CRÍTICA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 21/04/2025
Un problema en dlink DIR 832x 240802 permite que un atacante remoto ejecute código arbitrario a través del valor de la clave target_addr y la función 0x41710c
Vulnerabilidad en Netgear- R61 router V1.0.1.28 (CVE-2025-29044)
Severidad: CRÍTICA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 21/04/2025
La vulnerabilidad de desbordamiento de búfer en Netgear- R61 router V1.0.1.28 permite que un atacante remoto ejecute código arbitrario a través del valor de la clave QUERY_STRING
Vulnerabilidad en ALFA_CAMPRO-co-2.29 (CVE-2025-29045)
Severidad: CRÍTICA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 21/04/2025
La vulnerabilidad de desbordamiento de búfer en ALFA_CAMPRO-co-2.29 permite que un atacante remoto ejecute código arbitrario a través del valor de clave newap_text_0
Vulnerabilidad en iOS, iPadOS, macOS Sonoma, macOS Ventura y macOS Monterey (CVE-2023-42961)
Severidad: MEDIA
Fecha de publicación: 11/04/2025
Fecha de última actualización: 21/04/2025
Se solucionó un problema de gestión de rutas mejorando la validación. Este problema se solucionó en iOS 17 y iPadOS 17, iOS 16.7 y iPadOS 16.7, macOS Sonoma 14, macOS Ventura 13.6 y macOS Monterey 12.7. Un proceso en un entorno aislado podría eludir las restricciones de este entorno.
Vulnerabilidad en macOS (CVE-2023-42982)
Severidad: MEDIA
Fecha de publicación: 11/04/2025
Fecha de última actualización: 21/04/2025
Procesar un archivo puede provocar una denegación de servicio o potencialmente revelar el contenido de la memoria. Este problema se solucionó en macOS 14. Se mejoró la compatibilidad con las comprobaciones.
Vulnerabilidad en macOS (CVE-2023-42983)
Severidad: MEDIA
Fecha de publicación: 11/04/2025
Fecha de última actualización: 21/04/2025
Procesar un archivo puede provocar una denegación de servicio o potencialmente revelar el contenido de la memoria. Este problema se solucionó en macOS 14. Se mejoró la compatibilidad con las comprobaciones.