Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en PHPJabbers Cleaning Business Software v1.0 (CVE-2023-51331)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 22/04/2025
    PHPJabbers Cleaning Business Software v1.0 es afectado por una vulnerabilidad de inyección CSV que permite a un atacante ejecutar código remoto. La vulnerabilidad existe debido a una validación de entrada insuficiente en la sección Idiomas. Etiqueta cualquier campo de parámetros en System Options que se utiliza para construir el archivo CSV.
  • Vulnerabilidad en PHPJabbers Meeting Room Booking System v1.0 (CVE-2023-51332)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 22/04/2025
    La falta de limitación de velocidad en la función 'Forgot Password' de PHPJabbers Meeting Room Booking System v1.0 permite a los atacantes enviar una cantidad excesiva de correo electrónico a un usuario legítimo, lo que lleva a una posible denegación de servicio (DoS) a través de una gran cantidad de mensajes de correo electrónico generados.
  • Vulnerabilidad en libming v0.4.8 (CVE-2025-26304)
    Severidad: ALTA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 22/04/2025
    Se ha identificado una pérdida de memoria en la función parseSWF_EXPORTASSETS en util/parser.c de libming v0.4.8.
  • Vulnerabilidad en libming v0.4.8 (CVE-2025-26305)
    Severidad: ALTA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 22/04/2025
    Se ha identificado una pérdida de memoria en la función parseSWF_SOUNDINFO en util/parser.c de libming v0.4.8, que permite a los atacantes provocar una denegación de servicio a través de un archivo SWF manipulado.
  • Vulnerabilidad en phpcmsv9 v.9.6.3 (CVE-2025-25958)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 22/04/2025
    Vulnerabilidades de Cross-Site Scripting en phpcmsv9 v.9.6.3 permiten a un atacante remoto escalar privilegios a través de un script especialmente manipulado.
  • Vulnerabilidad en phpcmsv9 v.9.6.3 (CVE-2025-25960)
    Severidad: MEDIA
    Fecha de publicación: 20/02/2025
    Fecha de última actualización: 22/04/2025
    La vulnerabilidad de Cross-Site Scripting en phpcmsv9 v.9.6.3 permite a un atacante remoto escalar privilegios a través de la interfaz de menú del centro de miembros del administrador en segundo plano.
  • Vulnerabilidad en MRCMS v3.1.2 (CVE-2025-25767)
    Severidad: MEDIA
    Fecha de publicación: 21/02/2025
    Fecha de última actualización: 22/04/2025
    Una vulnerabilidad de escalada de privilegios verticales en el componente /controller/UserController.java de MRCMS v3.1.2 permite a los atacantes eliminar usuarios arbitrariamente a través de una solicitud manipulada específicamente.
  • Vulnerabilidad en RAGFlow (CVE-2025-27135)
    Severidad: ALTA
    Fecha de publicación: 25/02/2025
    Fecha de última actualización: 22/04/2025
    RAGFlow es un motor RAG (Retrieval-Augmented Generation) de código abierto. Las versiones 0.15.1 y anteriores son vulnerables a la inyección SQL. El componente ExeSQL extrae la sentencia SQL de la entrada y la envía directamente a la consulta de la base de datos. En el momento de la publicación, no hay ninguna versión parcheada disponible.
  • Vulnerabilidad en Tenda AC10 V4.0si_V16.03.10.20 (CVE-2025-25454)
    Severidad: ALTA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 22/04/2025
    Tenda AC10 V4.0si_V16.03.10.20 es vulnerable al desbordamiento de búfer en AdvSetMacMtuWan a través de wanSpeed2.
  • Vulnerabilidad en Tenda AC10 V4.0si_V16.03.10.20 (CVE-2025-25455)
    Severidad: ALTA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 22/04/2025
    Tenda AC10 V4.0si_V16.03.10.20 es vulnerable al desbordamiento del búfer en AdvSetMacMtuWan a través de wanMTU2.
  • Vulnerabilidad en Tenda AC10 V4.0si_V16.03.10.20 (CVE-2025-25457)
    Severidad: ALTA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 22/04/2025
    Tenda AC10 V4.0si_V16.03.10.20 es vulnerable al desbordamiento del búfer en AdvSetMacMtuWan a través de cloneType2.
  • Vulnerabilidad en Sourcecodester Online ID Generator System 1.0 (CVE-2024-40074)
    Severidad: MEDIA
    Fecha de publicación: 16/04/2025
    Fecha de última actualización: 22/04/2025
    Se descubrió que Sourcecodester Online ID Generator System 1.0 contiene Cross Site Scripting (XSS) almacenado a través de id_generator/classes/SystemSettings.php?f=update_settings, y el punto de vulnerabilidad está en el parámetro POST 'short_name'.
  • Vulnerabilidad en personal-management-system Personal Management System 1.4.65 (CVE-2025-29454)
    Severidad: MEDIA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 22/04/2025
    Un problema en personal-management-system Personal Management System 1.4.65 permite que un atacante remoto obtenga información confidencial a través de la función de carga.
  • Vulnerabilidad en personal-management-system Personal Management System 1.4.65 (CVE-2025-29455)
    Severidad: MEDIA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 22/04/2025
    Un problema en personal-management-system Personal Management System 1.4.65 permite que un atacante remoto obtenga información confidencial a través de la función "Ideas de viaje".
  • Vulnerabilidad en personal-management-system Personal Management System 1.4.65 (CVE-2025-29453)
    Severidad: MEDIA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 22/04/2025
    Un problema en personal-management-system Personal Management System 1.4.65 permite que un atacante remoto obtenga información confidencial a través del componente my-contacts-settings.
  • Vulnerabilidad en personal-management-system Personal Management System 1.4.65 (CVE-2025-29456)
    Severidad: MEDIA
    Fecha de publicación: 17/04/2025
    Fecha de última actualización: 22/04/2025
    Un problema en personal-management-system Personal Management System 1.4.65 permite que un atacante remoto obtenga información confidencial a través de la función de creación de notas.
  • Vulnerabilidad en Tenda AC15 (CVE-2025-3786)
    Severidad: ALTA
    Fecha de publicación: 18/04/2025
    Fecha de última actualización: 22/04/2025
    Se detectó una vulnerabilidad en Tenda AC15 hasta la versión 15.03.05.19, clasificada como crítica. Este problema afecta a la función fromSetWirelessRepeat del archivo /goform/WifiExtraSet. La manipulación del argumento "mac" provoca un desbordamiento del búfer. El ataque puede iniciarse remotamente. Se ha hecho público el exploit y puede que sea utilizado.