Instituto Nacional de ciberseguridad. Sección Incibe

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Hewlett Packard Enterprise Integrated Lights-Out 5 (CVE-2021-46846)
    Severidad: MEDIA
    Fecha de publicación: 12/12/2022
    Fecha de última actualización: 02/05/2025
    Vulnerabilidad de Cross-Site Scripting en Hewlett Packard Enterprise Integrated Lights-Out 5.
  • Vulnerabilidad en Projectworlds Visitor Management System en PHP v.1.0 (CVE-2024-22983)
    Severidad: ALTA
    Fecha de publicación: 28/02/2024
    Fecha de última actualización: 02/05/2025
    Vulnerabilidad de inyección SQL en Projectworlds Visitor Management System en PHP v.1.0 permite a un atacante remoto escalar privilegios a través del parámetro de nombre en el endpoint myform.php.
  • Vulnerabilidad en Best Courier v.1.0 (CVE-2024-24407)
    Severidad: MEDIA
    Fecha de publicación: 28/03/2024
    Fecha de última actualización: 02/05/2025
    Vulnerabilidad de inyección SQL en el sistema de gestión Best Courier v.1.0 permite a un atacante remoto obtener información confidencial a través del componente print_pdets.php.
  • Vulnerabilidad en Cloudlog 2.6.15 (CVE-2024-48259)
    Severidad: ALTA
    Fecha de publicación: 14/10/2024
    Fecha de última actualización: 02/05/2025
    Cloudlog 2.6.15 permite la inyección SQL de request_form Oqrs.php a través de station_id o callsign.
  • Vulnerabilidad en Best courier management system in php v.1.0 (CVE-2024-48580)
    Severidad: CRÍTICA
    Fecha de publicación: 25/10/2024
    Fecha de última actualización: 02/05/2025
    La vulnerabilidad de inyección SQL en Best courier management system in php v.1.0 permite a un atacante remoto ejecutar código arbitrario a través del parámetro de correo electrónico de la solicitud de inicio de sesión.
  • Vulnerabilidad en 1000projects Bookstore Management System PHP MySQL Project 1.0 (CVE-2024-55496)
    Severidad: CRÍTICA
    Fecha de publicación: 17/12/2024
    Fecha de última actualización: 02/05/2025
    Se ha encontrado una vulnerabilidad en 1000projects Bookstore Management System PHP MySQL Project 1.0. Este problema afecta a algunas funciones desconocidas de add_company.php. Las acciones sobre el parámetro delete dan como resultado una inyección SQL.
  • Vulnerabilidad en SourceCodester Responsive E-Learning System 1.0 (CVE-2020-36084)
    Severidad: CRÍTICA
    Fecha de publicación: 05/02/2025
    Fecha de última actualización: 02/05/2025
    La vulnerabilidad de inyección SQL en SourceCodester Responsive E-Learning System 1.0 permite a atacantes remotos inyectar una consulta SQL en el parámetro /elearning/delete_teacher_students.php?id= a través del campo id.
  • Vulnerabilidad en FeMiner wms wms 1.0 (CVE-2025-25994)
    Severidad: ALTA
    Fecha de publicación: 14/02/2025
    Fecha de última actualización: 02/05/2025
    La vulnerabilidad de inyección SQL en FeMiner wms wms 1.0 permite a un atacante remoto obtener información confidencial a través de los parámetros date1, date2, id.
  • Vulnerabilidad en FeMiner wms 1.0 (CVE-2025-25992)
    Severidad: MEDIA
    Fecha de publicación: 14/02/2025
    Fecha de última actualización: 02/05/2025
    La vulnerabilidad de inyección SQL en FeMiner wms 1.0 permite a un atacante remoto obtener información confidencial a través del componente inquire_inout_item.php.
  • Vulnerabilidad en FeMiner wms wms 1.0 (CVE-2025-25993)
    Severidad: MEDIA
    Fecha de publicación: 14/02/2025
    Fecha de última actualización: 02/05/2025
    Vulnerabilidad de inyección SQL en FeMiner wms wms 1.0 permite a un atacante remoto obtener información confidencial a través del parámetro "itemid".
  • Vulnerabilidad en OS4ED openSIS (CVE-2025-22928)
    Severidad: CRÍTICA
    Fecha de publicación: 03/04/2025
    Fecha de última actualización: 02/05/2025
    Se descubrió que OS4ED openSIS v7.0 a v9.1 contenía una vulnerabilidad de inyección SQL a través del parámetro cp_id en /modules/messages/Inbox.php.
  • Vulnerabilidad en Docker jenkins/ssh-agent (CVE-2025-32754)
    Severidad: CRÍTICA
    Fecha de publicación: 10/04/2025
    Fecha de última actualización: 02/05/2025
    En las imágenes Docker jenkins/ssh-agent 6.11.1 y anteriores, las claves de host SSH se generan durante la creación de imágenes basadas en Debian, lo que provoca que todos los contenedores basados en imágenes de la misma versión utilicen las mismas claves de host SSH, lo que permite a los atacantes insertarse en la ruta de red entre el cliente SSH (normalmente el controlador Jenkins) y el agente de compilación SSH para hacerse pasar por este último.