Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en PHPJabbers Cleaning Business Software v1.0 (CVE-2023-51331)
Severidad: MEDIA
Fecha de publicación: 20/02/2025
Fecha de última actualización: 22/04/2025
PHPJabbers Cleaning Business Software v1.0 es afectado por una vulnerabilidad de inyección CSV que permite a un atacante ejecutar código remoto. La vulnerabilidad existe debido a una validación de entrada insuficiente en la sección Idiomas. Etiqueta cualquier campo de parámetros en System Options que se utiliza para construir el archivo CSV.
-
Vulnerabilidad en PHPJabbers Meeting Room Booking System v1.0 (CVE-2023-51332)
Severidad: MEDIA
Fecha de publicación: 20/02/2025
Fecha de última actualización: 22/04/2025
La falta de limitación de velocidad en la función 'Forgot Password' de PHPJabbers Meeting Room Booking System v1.0 permite a los atacantes enviar una cantidad excesiva de correo electrónico a un usuario legítimo, lo que lleva a una posible denegación de servicio (DoS) a través de una gran cantidad de mensajes de correo electrónico generados.
-
Vulnerabilidad en libming v0.4.8 (CVE-2025-26304)
Severidad: ALTA
Fecha de publicación: 20/02/2025
Fecha de última actualización: 22/04/2025
Se ha identificado una pérdida de memoria en la función parseSWF_EXPORTASSETS en util/parser.c de libming v0.4.8.
-
Vulnerabilidad en libming v0.4.8 (CVE-2025-26305)
Severidad: ALTA
Fecha de publicación: 20/02/2025
Fecha de última actualización: 22/04/2025
Se ha identificado una pérdida de memoria en la función parseSWF_SOUNDINFO en util/parser.c de libming v0.4.8, que permite a los atacantes provocar una denegación de servicio a través de un archivo SWF manipulado.
-
Vulnerabilidad en phpcmsv9 v.9.6.3 (CVE-2025-25958)
Severidad: MEDIA
Fecha de publicación: 20/02/2025
Fecha de última actualización: 22/04/2025
Vulnerabilidades de Cross-Site Scripting en phpcmsv9 v.9.6.3 permiten a un atacante remoto escalar privilegios a través de un script especialmente manipulado.
-
Vulnerabilidad en phpcmsv9 v.9.6.3 (CVE-2025-25960)
Severidad: MEDIA
Fecha de publicación: 20/02/2025
Fecha de última actualización: 22/04/2025
La vulnerabilidad de Cross-Site Scripting en phpcmsv9 v.9.6.3 permite a un atacante remoto escalar privilegios a través de la interfaz de menú del centro de miembros del administrador en segundo plano.
-
Vulnerabilidad en MRCMS v3.1.2 (CVE-2025-25767)
Severidad: MEDIA
Fecha de publicación: 21/02/2025
Fecha de última actualización: 22/04/2025
Una vulnerabilidad de escalada de privilegios verticales en el componente /controller/UserController.java de MRCMS v3.1.2 permite a los atacantes eliminar usuarios arbitrariamente a través de una solicitud manipulada específicamente.
-
Vulnerabilidad en RAGFlow (CVE-2025-27135)
Severidad: ALTA
Fecha de publicación: 25/02/2025
Fecha de última actualización: 22/04/2025
RAGFlow es un motor RAG (Retrieval-Augmented Generation) de código abierto. Las versiones 0.15.1 y anteriores son vulnerables a la inyección SQL. El componente ExeSQL extrae la sentencia SQL de la entrada y la envía directamente a la consulta de la base de datos. En el momento de la publicación, no hay ninguna versión parcheada disponible.
-
Vulnerabilidad en Tenda AC10 V4.0si_V16.03.10.20 (CVE-2025-25454)
Severidad: ALTA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 22/04/2025
Tenda AC10 V4.0si_V16.03.10.20 es vulnerable al desbordamiento de búfer en AdvSetMacMtuWan a través de wanSpeed2.
-
Vulnerabilidad en Tenda AC10 V4.0si_V16.03.10.20 (CVE-2025-25455)
Severidad: ALTA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 22/04/2025
Tenda AC10 V4.0si_V16.03.10.20 es vulnerable al desbordamiento del búfer en AdvSetMacMtuWan a través de wanMTU2.
-
Vulnerabilidad en Tenda AC10 V4.0si_V16.03.10.20 (CVE-2025-25457)
Severidad: ALTA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 22/04/2025
Tenda AC10 V4.0si_V16.03.10.20 es vulnerable al desbordamiento del búfer en AdvSetMacMtuWan a través de cloneType2.
-
Vulnerabilidad en Sourcecodester Online ID Generator System 1.0 (CVE-2024-40074)
Severidad: MEDIA
Fecha de publicación: 16/04/2025
Fecha de última actualización: 22/04/2025
Se descubrió que Sourcecodester Online ID Generator System 1.0 contiene Cross Site Scripting (XSS) almacenado a través de id_generator/classes/SystemSettings.php?f=update_settings, y el punto de vulnerabilidad está en el parámetro POST 'short_name'.
-
Vulnerabilidad en personal-management-system Personal Management System 1.4.65 (CVE-2025-29454)
Severidad: MEDIA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 22/04/2025
Un problema en personal-management-system Personal Management System 1.4.65 permite que un atacante remoto obtenga información confidencial a través de la función de carga.
-
Vulnerabilidad en personal-management-system Personal Management System 1.4.65 (CVE-2025-29455)
Severidad: MEDIA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 22/04/2025
Un problema en personal-management-system Personal Management System 1.4.65 permite que un atacante remoto obtenga información confidencial a través de la función "Ideas de viaje".
-
Vulnerabilidad en personal-management-system Personal Management System 1.4.65 (CVE-2025-29453)
Severidad: MEDIA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 22/04/2025
Un problema en personal-management-system Personal Management System 1.4.65 permite que un atacante remoto obtenga información confidencial a través del componente my-contacts-settings.
-
Vulnerabilidad en personal-management-system Personal Management System 1.4.65 (CVE-2025-29456)
Severidad: MEDIA
Fecha de publicación: 17/04/2025
Fecha de última actualización: 22/04/2025
Un problema en personal-management-system Personal Management System 1.4.65 permite que un atacante remoto obtenga información confidencial a través de la función de creación de notas.
-
Vulnerabilidad en Tenda AC15 (CVE-2025-3786)
Severidad: ALTA
Fecha de publicación: 18/04/2025
Fecha de última actualización: 22/04/2025
Se detectó una vulnerabilidad en Tenda AC15 hasta la versión 15.03.05.19, clasificada como crítica. Este problema afecta a la función fromSetWirelessRepeat del archivo /goform/WifiExtraSet. La manipulación del argumento "mac" provoca un desbordamiento del búfer. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.